Que prévoit l’IA Act ?
— Parlons de l’IA Act, qui vient percuter et peut-être motiver justement les entreprises qui sont peut-être aujourd’hui un peu perdues dans ces questions d’éthiques et de régulation. Pouvez-vous nous apporter quelques repères sur l’IA Act, ce qu’il prévoit, mais aussi sa genèse et son calendrier d’application ?
L’IA Act est donc le premier texte obligatoire sur l’IA, mais il est vrai que, depuis les années 2010, il existe de nombreuses chartes éthiques notamment créés par les entreprises, qui définissaient des principes assez larges sur ce qu’on appelait l’éthique de l’IA. Puis ce mouvement sur les chartes éthiques de l’IA a commencé à s’accélérer vers 2017-2018. Les réflexions étaient d’abord plus axées sur la robotique, puis ensuite sur l’IA. En 2019 sont publiées les lignes directrices en matière d’éthique du groupe d’experts de haut niveau sur l’IA de la Commission européenne, ou HLEG, l’acronyme anglais. Ce sont également de grands principes, des valeurs à respecter dans le développement et le déploiement, et même en général le cycle de vie d’une IA. Mais cela marque vraiment un tournant dans l’intérêt de l’Europe pour ces questions-là. Puis différentes publications se sont succédé jusqu’à l’arrivée en avril 2021 d’une proposition de règlement par la Commission européenne, le fameux IA Act.
Il a fallu du temps pour que cela rentre en application. D’abord, deux institutions, le Conseil et le Parlement européens ont proposé des amendements au texte, puis elles se sont réunies avec la Commission dans ce qu’on appelle un trilogue, pour s’accorder sur une version du texte votée en décembre 2023, entrée en application en août 2024 avec effectivement des exigences qui vont commencer à s’appliquer dès 2025.
Que dit ce texte ? Tout d’abord, il adopte une approche dite « par les risques », c’est-à-dire qu’on a une pyramide des risques, avec à chaque fois des exigences différentes qui vont s’appliquer.
Tout en haut les risques inacceptables, interdits par l’Union européenne, notamment le cas du crédit social ou de la reconnaissance faciale dans certaines conditions. Juste en dessous, une catégorie de risques qui s’appelle les systèmes à haut risque, avec des obligations beaucoup plus strictes. Puis des risques limités, c’est-à-dire des systèmes soumis à des exigences de transparence. Enfin, une dernière catégorie ne rentrant pas tout à fait dans cette pyramide-là, les modèles d’IA à usage général, notamment l’IA générative, qu’on peut utiliser dans différents cas d’applications.
À l’intérieur de cette catégorie-là, on distingue en plus les IA à risque systémique, les très gros modèles, qui vont poser un risque plus élevé, par exemple GPT-4, qui dépasse un certain seuil en termes de complexité.
— Le calendrier d’entrée en vigueur de ces différentes réglementations est progressif et va se déployer par niveau de risque, entre 2025 et 2026. Mais je crois que tous les textes normatifs ne sont pas encore finalisés ; quelles sont les modalités de cette mise en œuvre ?
Des normes sont prévues, des normes techniques, je reviendrai dessus : elles doivent entrer en vigueur pour 2025, avant l’application des exigences en août 2026. Concernant les systèmes d’IA à usage général, ce sera en août 2025, parce qu’il n’y aura pas besoin de normes, mais qu’ils vont s’appuyer, notamment, sur des codes de pratique, c’est le mot utilisé par la Commission européenne, qui viendront définir, préciser un peu plus les exigences pour les IA à usage général.
Des normes pour l’IA
— Avant de regarder plus précisément la question des IA haut risque sur laquelle vous vous êtes penchée dans votre thèse, quelle est la façon générale de faire une norme pour l’IA ? On peut légitimement s’interroger sur la faisabilité d’exigences techniques sur des choses qui sont très subjectives, comme l’équité ou l’explicabilité ?
Faire une norme pour IA, avant tout, c’est définir des termes. Que signifie transparence ? Que signifie, par exemple, avoir des données représentatives ? Une norme sur IA, cela peut aussi être donner des formules, des méthodes de test. Ce peut être de donner des seuils, mais on le voit assez peu pour l’IA. Pour prendre l’exemple d’un jouet, vous devez le tester avant de le vendre sur le marché européen, le tester pour la résistance au feu, vous mettez le jouet dans un four et puis vous regardez son comportement, à quelle température il résiste. Puis il y a des seuils à respecter, combien de degrés pendant combien de minutes, etc. Mais pour l’IA, définir des seuils ainsi est assez difficile. D’abord parce que la technologie est assez peu mature et, quand la technique évolue vite, il est difficile de fixer des seuils qui correspondent à un certain état de l’art.
Après, il existe aussi des critères très subjectifs avec l’IA comme l’équité et l’explicabilité. Définir un seuil est vraiment un choix très fort. Par exemple, on sait que les IA auront toujours des biais. C’est ainsi qu’une IA fonctionne. C’est-à-dire qu’un système d’IA qui sert à trier des CV de candidats va avoir un biais en faveur des personnes qui ont fait de longues études. C’est un critère logique, c’est un biais fonctionnel. Par contre, si ce même système a un biais en faveur des hommes, c’est-à-dire que s’il sélectionne plus souvent des hommes parce que ce sont des hommes, à compétence égale, dans ce cas on va dire qu’il y a une discrimination, c’est normal. C’est un biais qui n’est pas voulu.
Décider quel biais sont voulus ou non et fixer un seuil sur une quantité raisonnable de biais est très difficile et profondément éthique. Mais si on veut évaluer les systèmes d’IA, il va être nécessaire de prendre ce genre de décision.
Pour éviter d’avoir à fixer des seuils arbitraires, les organismes qui développent des normes se sont concentrés sur des normes de gouvernance, qui portent différents noms, notamment les normes de systèmes de management, de management de qualité, etc. Au lieu de définir des propriétés sur les produits eux-mêmes, on définit des exigences sur le système de production, c’est-à-dire sur les processus qui mènent à la création du produit. En fait, les entreprises doivent mettre en place des garde-fous et définir des critères de qualité. Lors des contrôles, le respect des garde-fous et des critères définis sera vérifié. Cela a l’avantage d’être très flexible et assez adapté au monde industriel, mais effectivement vous ne contrôlez jamais vraiment complètement le système. Les critères acceptables sont fixés directement par l’entreprise.
— Pour rebondir sur le sujet des biais qui ne sont pas forcément suffisamment traités, vous disiez que l’on avait été moins regardant sur la sortie des données produites par les modèles, que sur le contrôle des données d’entrée, pour vérifier si elles étaient de qualité, donc c’est aussi peut-être une lacune ?
Oui, tout à fait, c’est une des critiques que j’adresse, c’est que la notion de biais dans l’IA Act n’est pas très présente. Il est vrai que les données sont une source de biais importante, on parle de garbage in, garbage out en informatique, c’est-à-dire que si vous avez des données biaisées en entrée, vous aurez un système biaisé en sortie. Mais cela n’est pas forcément une condition nécessaire et un système entraîné sur des données équilibrées peut quand même être biaisé. Cela peut venir de l’apprentissage du modèle, ou du problème lui-même qui est plus difficile sur une catégorie de données.
Par exemple, on sait qu’en reconnaissance faciale, il est plus difficile de reconnaître des visages d’enfants, parce qu’ils se ressemblent plus facilement, il est également plus difficile parfois de reconnaître des visages de femmes, parce qu’elles ont tendance à porter plus de maquillage qui peut gommer les traits de la peau.
Ces problèmes sont réellement plus difficiles à traiter et je trouve que ce sujet n’est pas assez adressé dans l’IA Act qui va juste regarder les critères de qualité des données.
— Pour revenir maintenant sur le fait que les exigences sont restées assez générales dans l’IA Act, et que de ce fait beaucoup de latitude est donnée aux entreprises pour mettre en place des codes de conduite ; dans une précédence étude sur les chartes éthiques des entreprises et des ONG, vous aviez justement pointé le fait que les exigences des chartes éthiques des entreprises étaient elles-mêmes très générales. Donc ne sommes-nous pas un peu coincés ?
Oui, c’est un peu le problème. L’une des choses sur lesquelles vraiment j’insiste, c’est qu’il y a besoin de préciser ces exigences, que ce soit effectivement sur les chartes éthiques en amont, qui définissent des principes très généraux, ou que ce soit maintenant même dans les normes, où finalement, parfois on tourne un peu en boucle, et on dit que c’est aux entreprises de définir leurs propres critères. En fait, à la fois dans les chartes et dans les normes, pour moi, il y a besoin d’aller plus loin. C’est pour cela qu’on parle d’opérationnaliser, c’est-à-dire comment faire pour mettre en application tout cela. Il existe des moyens de le faire sur les biais, il y a des pistes dans la recherche permettant de faire de la mitigation de biais, ajouter des contraintes au niveau de l’entraînement, par exemple, pour pouvoir adhérer à un certain critère d’équité. Donc on sait faire certaines choses, c’est pareil pour l’explicabilité, des méthodes d’explications sont connues, etc. Certes, c’est assez récent, mais des choses pourraient être précisées dans les normes, et aujourd’hui, le niveau reste très général.
Hauts risques
— Vos recherches portent précisément sur la catégorie des IA dites « à haut risque ». N’y a-t-il pas aussi un travail de régulation sectorielle, une brique sectorielle à ajouter ?
Oui, tout à fait. C’est une des choses sur lesquelles j’insiste, il est nécessaire d’aller vraiment dans le détail, encore une fois technique et sectoriel. Car c’est à la fois une question de contexte et de secteur, et à la fois une question de technologie. Par exemple, pour définir l’équité, il est besoin de définir le contexte, le secteur, etc. Les biais dans le secteur médical ne seront pas forcément les mêmes que dans le secteur judiciaire. De plus, il existe aussi le contexte de la technologie, c’est-à-dire qu’une technologie sur un modèle de langue ne présente pas les mêmes biais que la reconnaissance faciale, par exemple.
Donc à la fois sur le secteur et sur la technologie, il y a besoin d’aller plus dans le détail. Aujourd’hui, les normes définies sont horizontales pour tous les systèmes d’IA. L’IA en général, c’est trop vague. L’IA, ça peut être dans le domaine médical, dans la justice, mais ça peut être un chatbot ou un système de reconnaissance d’image.
Ce sont beaucoup trop de choses différentes pour arriver à définir des critères généraux. Pour ma part, je suis très axée sur le recentrage des normes sur leur verticalité.
— Pour entrer dans l’opérationnel, qui pourra prendre en charge l’adaptation de cette régulation de l’IA ? Cela demande des compétences techniques voire technologiques, en plus des compétences sectorielles…
Il est sûr que des réglementations sectorielles ne viendront pas compléter l’IA Act. Parce que cela créerait des problèmes légaux, tout simplement, d’avoir une loi sectorielle dans le domaine de la médecine, qui viendrait s’attaquer aux questions de l’IA en médecine. Finalement, cela rajouterait de l’incertitude légale par rapport aux exigences qui sont déjà appliquées par l’IAI Act. Par contre, cela pourrait tout à fait être du ressort des normes. C’est ainsi que j’insiste sur les normes techniques, que ce soient les normes ISO, ou européennes, celles du CEN-CENELEC. C’est l’endroit où, à mon sens, il est possible de renforcer l’opérationnalisation et une forme de verticalité. Après, il peut y avoir des codes de conduite volontaires mis en place par les entreprises pour préciser un peu plus les choses.
— Au vu de ce qu’il reste encore à faire, existe-t-il un risque que le règlement entre en vigueur alors que toutes les normes ne sont pas terminées ? Peut-il y avoir une sorte de transition avant que les normes ne soient prêtes ?
Oui, c’est le risque. Parce que l’IA Act, et notamment pour les systèmes d’IA à haut risque, délègue énormément aux normes. Que se passe-t-il si, effectivement, les normes ne sont pas prêtes au moment où les exigences de l’IA Act sont censées rentrer en vigueur ?
