La révolution de l’IA

Bien que l’IA ne soit pas une nouveauté (l’article fondateur d’Alan Turing sur les machines de calcul et l’intelligence a été publié pour la première fois en 1950), au cours des dernières années, nous avons observé une croissance exponentielle tant des capacités de l’IA que de son adoption. Il ne fait aucun doute pourquoi : des technologies d’IA innovantes ont révolutionné pratiquement tous les secteurs, de la santé aux services financiers en passant par les industries créatives. 

Les dernières avancées en IA générative - avec la publication de modèles tels que GPT-4 d’Open AI, Gemini de Google et Llama de Meta - n’ont fait qu’accélérer cette tendance à mesure que ces technologies deviennent plus largement accessibles. Mais avec un accès accru viennent des risques accrus : les deepfakes et la désinformation, les biais algorithmiques et la discrimination, les préoccupations liées à la sécurité et à la confidentialité des données, entre autres.    

‍

L’importance des normes

Les nouvelles formes de technologie qui ont le potentiel de transformer notre manière de vivre s’accompagnent également de nombreux risques. Lorsque l’on se penche sur l’histoire et que l’on cherche à analyser comment différentes technologies sont devenues si profondément intégrées à notre vie moderne, un schéma récurrent se dessine. Pour instaurer une véritable confiance dans ces nouveaux systèmes, des normes ont été mises en place, soit par la réglementation, soit par les pratiques du marché.

À titre d’exemple, l’invention des systèmes électriques commerciaux dans les années 1880 a complètement transformé la société et permis d’accroître la productivité, l’efficacité et la croissance économique. Cependant, l’électricité a également exposé les individus à des dangers tels que l’électrocution et les incendies, provoquant des blessures et des décès. Au tournant du XXe siècle, les premières directives de sécurité électrique au Royaume-Uni ont été introduites afin de gérer les risques liés à cette nouvelle technologie et de prévenir les accidents. Elles ont été suivies d’une série de normes relatives à l’électricité qui garantissaient que les installations étaient correctement construites et entretenues afin d’éviter les risques d’incendie. La normalisation de la fourniture d’électricité et de son installation a permis l’adoption généralisée de l’électricité - à la fin des années 1930, deux tiers des foyers britanniques étaient équipés en électricité, contre 6 % en 1919.

Un exemple plus récent concerne la sécurité de l’information. L’expansion d’Internet au cours des 30 dernières années a créé une industrie technologique florissante et a profondément transformé la manière dont les entreprises sont gérées et dont les services sont proposés. Pourtant, Internet a également entraîné une explosion de la cybercriminalité, parmi d’autres risques. Les menaces peuvent aller des attaques de phishing aux violations de données graves et au cyberterrorisme, de nouveaux types de cybercriminalité faisant régulièrement la une des journaux. 

‍

En réponse à ces risques, des normes de sécurité de l’information ont été élaborées. La norme ISO/IEC 27001 fournit aux organisations « des lignes directrices pour établir, mettre en œuvre, maintenir et améliorer en continu un système de management de la sécurité de l’information ». Même si ISO/IEC 27001 est une norme et non une réglementation, elle est devenue largement reconnue et requise dans les secteurs qui s’appuient sur des systèmes d’information ou conservent des archives numériques. 

Les exemples ne manquent pas - des voitures aux avions, en passant par la sécurité alimentaire et les dispositifs médicaux. À travers les âges, les normes ont fourni un cadre pour l’adoption en toute sécurité de technologies innovantes, permettant à celles-ci de se développer tout en contribuant à atténuer et à gérer leurs risques. Pourquoi le développement de l’IA ferait-il exception ?

‍

Quels sont les avantages des normes dans le domaine de l’IA ?

Les normes ont donc le potentiel de garantir à l’IA le même impact positif sur le monde que d’autres technologies transformatrices. Toutefois, pour que ces normes soient efficaces, nous devons d’abord examiner les types de risques qu’elles devraient chercher à atténuer. Nous avons présenté ci-dessous certaines des principales considérations.

‍

1. Atténuer les biais, la discrimination ou les préjudices causés aux individus

Les systèmes d’IA utilisent de grands volumes de données pour prendre des décisions qui touchent les personnes dans une grande variété de tâches, du recrutement au prêt, en passant même par les décisions pénales, l’immigration et l’octroi des prestations sociales. Les algorithmes sont entraînés sur des jeux de données, à partir desquels ils apprennent quelles devraient être les bonnes sorties. L’utilisation de l’IA peut accélérer la prise de décision, de sorte que, par exemple, les pouvoirs publics puissent traiter davantage de demandes d’asile ou de prestations dans le même laps de temps, réduisant ainsi les retards et améliorant la satisfaction à l’égard de leurs services. 

Cependant, des éléments ont montré que les algorithmes reproduisent parfois les biais humains, voire les aggravent, en particulier à l’égard des minorités. Une enquête du Guardian de 2023 a révélé des éléments indiquant que certains outils du gouvernement britannique produisaient des résultats discriminatoires, conduisant des dizaines de personnes à se voir retirer leurs prestations sans raison. Les biais et la discrimination exposent les organisations à d’importants risques réputationnels, ainsi qu’à des poursuites coûteuses. 

Les normes permettent aux organisations de détecter et de signaler rapidement les biais algorithmiques potentiels, afin qu’ils puissent être corrigés avant tout préjudice. Par exemple, le NIST AI Risk Management Framework et ISO 42001 (qui sont chacun examinés plus en détail ci-dessous) imposent d’évaluer le risque de biais et d’examiner la qualité des jeux de données utilisés. Une exigence courante consiste en une évaluation initiale des risques, axée sur la possibilité d’un biais inhérent au contexte du système d’IA, c’est-à-dire les désavantages historiques ou structurels auxquels certains groupes démographiques sont confrontés et que les algorithmes pourraient reproduire. 

‍

2. Une transparence et une responsabilité accrues

Les individus devraient comprendre comment, quand et à quelles fins un système d’IA est utilisé. Cela devrait être expliqué dans un langage accessible à un large éventail de parties prenantes. Malheureusement, les utilisateurs ne savent pas toujours qu’un système d’IA se trouve derrière une décision précise (par exemple, l’approbation d’une demande de crédit). Même lorsqu’ils savent que l’IA est utilisée, ils ne disposent généralement pas de suffisamment d’informations sur la manière dont le système est parvenu à cette décision.

Parce que les systèmes d’IA fonctionnent avec un haut degré d’autonomie, ils peuvent prendre des décisions d’une manière que les développeurs n’avaient ni prévue ni anticipée. La responsabilité est essentielle, car elle peut contribuer à identifier les risques dès le départ - par exemple, au moyen de techniques d’assurance telles que les évaluations d’impact. Les normes garantissent que les individus et les organisations assument la responsabilité des actions et des décisions des systèmes d’IA et qu’un être humain intervient toujours dans la boucle.

Les normes exigent souvent que les organisations documentent des informations sur leurs systèmes d’IA, notamment les sources de données, les cas d’usage, les processus de prise de décision, les indicateurs de performance et les limitations potentielles. Ces informations sont essentielles pour comprendre et communiquer le fonctionnement des algorithmes ainsi que leurs performances. De nombreuses normes renforcent la transparence en favorisant l’étiquetage des produits, afin que l’utilisateur sache qu’il interagit avec un système d’IA. Le guide de politique en matière d’IA d’Enzai fournit de précieuses recommandations sur la mise en œuvre de mesures de transparence et de responsabilité tout au long du cycle de vie du système d’IA.
‍

3. Une gestion des risques renforcée

L’IA offre de formidables opportunités, mais comporte également de nombreux risques. Ces risques incluent, par exemple, le risque d’hallucinations (lorsque de grands modèles de langage génèrent de fausses informations), la violation de la propriété intellectuelle et les atteintes à la confidentialité des données. Une gestion efficace des risques réduit la probabilité d’effets négatifs et aide les organisations à instaurer la confiance avec leurs parties prenantes tout en préservant leur réputation.

Les registres des risques et les évaluations des risques, courants dans les normes de gouvernance de l’IA, permettent aux organisations d’identifier, d’évaluer et d’atténuer les risques associés aux technologies d’IA.  

‍

4. Une sécurité et une fiabilité améliorées

Parce que les systèmes d’IA sont utilisés dans de nombreux domaines critiques - la santé, la sécurité nationale et les infrastructures en sont quelques exemples - il existe un besoin impérieux de fiabilité et de sécurité. Les systèmes d’IA doivent être techniquement sécurisés, fonctionner comme prévu et résister aux menaces de sécurité telles que les cyberattaques. Selon le National Institute of Standards and Technology (NIST), « des adversaires peuvent délibérément semer la confusion au sein des systèmes d’IA, voire les “empoisonner”, afin de les faire dysfonctionner ».

En définissant des critères de performance, de précision, d’évolutivité et de résilience, les organisations peuvent développer des systèmes d’IA robustes et fiables, mieux à même de résister aux attaques et de les détecter rapidement lorsqu’elles se produisent. 

‍

5. La conformité aux lois et réglementations

Les organisations doivent se conformer aux lois et réglementations applicables régissant l’utilisation des technologies d’IA. Même si de nouvelles lois sont en cours d’adoption pour traiter spécifiquement les risques liés à l’IA, comme l’EU AI Act, la législation existante ne peut tout simplement pas être ignorée parce que le produit ou le service comporte un élément d’IA. Les lois sur la protection des données, les réglementations de protection des consommateurs, les lois anti-discrimination et les réglementations sectorielles sont déjà en place. Le non-respect de ces obligations peut entraîner des actions en justice, des amendes, des sanctions et une atteinte à la réputation. 

Les normes ne sont pas obligatoires de la même manière que les réglementations, mais elles permettent de se conformer aux réglementations existantes tout en garantissant que les organisations adoptent les meilleures pratiques dans leur domaine. Les normes spécifiques à l’IA peuvent couvrir des éléments tels que les indicateurs de performance, les évaluations des risques, l’analyse des cas d’usage et de nombreuses autres mesures visant à garantir une gestion efficace des risques et à créer un registre vérifiable des décisions prises.

‍

6. Une confiance accrue du public

Une confiance accrue du public peut conduire à de meilleurs taux d’acceptation et d’adoption des technologies d’IA, ainsi qu’à des relations plus solides avec les parties prenantes et à un avantage concurrentiel sur le marché, dans la mesure où le public accorde de la valeur aux considérations éthiques et à la fiabilité. Pour que l’IA atteigne une certaine échelle et devienne cette force au service du bien que nous souhaitons tous voir dans le monde, elle doit gagner la confiance du public. Fixer des normes élevées quant à la manière dont la technologie est conçue, déployée et utilisée peut y contribuer.

‍

Normes et cadres de gouvernance de l’IA 

Heureusement, il existe désormais un certain nombre de normes différentes dans le domaine de l’IA qui peuvent aider les organisations à naviguer dans les risques exposés ci-dessus. Certains des principaux organismes mondiaux de normalisation, tels que le National Institute for Standards in Technology (NIST), l’Institute of Electrical and Electronics Engineers (IEEE) et l’International Organization for Standardization (ISO), ont récemment publié des cadres que les organisations peuvent utiliser pour adopter des normes élevées dans le cadre de leurs programmes d’IA. 

Nous présentons ci-dessous un bref aperçu de certaines d’entre elles.

ISO/IEC JTC 1/SC 42

L’ISO, en collaboration avec la Commission électrotechnique internationale (IEC), a mis en place un groupe de travail technique conjoint chargé d’élaborer des normes relatives à l’IA, ce qui a abouti à la publication d’ISO 42001. Ces normes, qui permettent aux organisations d’adopter un système de gestion de l’IA (AIMS) efficace, couvrent divers aspects de l’IA, notamment la terminologie, les considérations éthiques et les méthodes d’évaluation. 

L’équipe travaille désormais sur une nouvelle norme - ISO 42006 - qui définira les lignes directrices permettant aux auditeurs de mesurer efficacement dans quelle mesure les organisations individuelles sont conformes aux exigences d’ISO 42001, et ce processus d’audit permettra aux organisations d’obtenir régulièrement des certifications attestant de leur conformité (à l’instar du processus de sécurité de l’information dans le cadre d’ISO 27001, décrit plus en détail précédemment).

‍

Remarque : Enzai a été l’une des premières organisations au monde à proposer un système complet de gestion de l’IA pleinement conforme aux exigences d’ISO 42001.

Le cadre de gestion des risques liés à l’IA de NIST

Le National Institute of Standards and Technology (NIST), aux États-Unis, a élaboré un cadre de gestion des risques spécialement conçu pour les systèmes d’IA. Ce cadre fournit des orientations sur l’identification, l’évaluation et l’atténuation des risques associés aux technologies d’IA et est structuré en quatre volets correspondant aux fonctions clés de la gouvernance de l’IA : (1) gouverner ; (2) cartographier ; (3) mesurer ; et (4) gérer. De nombreuses organisations en Amérique du Nord ont adopté le NIST AI Risk Management Framework comme référence.

Nous avons rédigé un article de blog présentant les exigences du NIST AI RMF - consultez-le ici. Notre solution de gouvernance de l’IA garantit que les organisations peuvent opérer en parfaite conformité avec ces exigences.

Les principes de l’IA de l’OCDE

L’un des premiers efforts les plus marquants visant à établir une base de référence pour des normes élevées dans le domaine de l’IA est venu de l’Organisation de coopération et de développement économiques (OCDE). L’OCDE a adopté un ensemble de principes pratiques et flexibles pour le développement et l’utilisation responsables de l’IA en mai 2019 (et leur définition de l’IA a depuis été largement reprise dans le texte final de l’EU AI Act). Les principes de l’IA de l’OCDE comprennent des principes fondés sur les valeurs, tels que la transparence, l’équité et la responsabilité, ainsi que des recommandations à l’intention des décideurs publics.

Au-delà des principes, l’Observatoire des politiques de l’IA de l’OCDE propose un catalogue d’outils et de mesures conçus pour aider les organisations à développer et à utiliser une IA digne de confiance, y compris la plateforme de gouvernance de l’IA d’Enzai. 

World Ethical Data Foundation (WEDF) : « Me-We-It » : une norme ouverte

La norme ouverte de la WEDF est un forum en ligne gratuit et en direct, conçu autour de trois objectifs : (1) fournir des conseils pour construire une IA plus éthique afin d’aider le secteur à redémarrer sur des bases saines ; (2) aider le public à comprendre le processus de construction des systèmes d’IA ; et (3) créer un espace dans lequel le public peut poser librement toutes ses questions à la communauté de l’IA et de la science des données. 

Le cadre est divisé en trois sections, « Me », « We » et « It ». La WEDF les décrit comme suit : « Me » correspond aux « questions que chaque personne travaillant sur l’IA devrait se poser elle-même avant de commencer et tout au long du processus ». « We » correspond aux « questions que le groupe devrait se poser lui-même - en particulier afin de définir la diversité nécessaire pour réduire autant que possible les biais humains. « It » correspond aux « questions que nous devrions poser aux individus et au groupe, dans la mesure où elles concernent le modèle créé et l’impact qu’il peut avoir sur notre monde ».

Adopter des normes de gouvernance de l’IA

‍

Si votre organisation cherche à mettre en œuvre des normes de gouvernance de l’IA ou à améliorer ses pratiques existantes, il peut être difficile de savoir par où commencer. Notre méthode Start Fast contient tout ce dont vous avez besoin en trois étapes simples : (1) créer ou sélectionner des politiques et des évaluations ; (2) élaborer votre registre de l’IA ; et (3) commencer vos évaluations. La plateforme Enzai propose, prête à l’emploi, des politiques et des cadres d’évaluation prêts à l’emploi, afin de vous permettre d’adopter des normes de premier ordre qui vous distingueront de vos pairs. 

‍

Si vous souhaitez en savoir plus sur la manière dont Enzai peut aider votre organisation à adopter des normes de gouvernance de l’IA et à se conformer aux réglementations à venir, contactez-nous dès aujourd’hui.

‍

Enzai est la principale plateforme de gouvernance de l’IA en entreprise, conçue pour aider les organisations à passer d’une politique abstraite à une supervision opérationnelle. Notre plateforme de gestion des risques liés à l’IA fournit l’infrastructure spécialisée nécessaire pour gérer la gouvernance de l’IA agentique, maintenir un inventaire de l’IA complet et garantir la conformité au règlement européen sur l’IA. En automatisant des flux de travail complexes, Enzai permet aux entreprises de faire évoluer l’adoption de l’IA en toute confiance tout en restant alignées sur des normes mondiales telles que ISO 42001 et NIST.