Futur règlement européen sur l’IA : comment s’y préparer ?

Les organisations ont, en tout cas, tout à gagner à déchiffrer les éléments de cette proposition qui sera, sans doute, amenée à être amendée, mais dont l’esprit et les objectifs, eux, changeront peu. Anticiper l’évolution du cadre légal peut en effet transformer cette nouvelle « contrainte » en bénéfices.

Un projet avec la même philosophie pragmatique que le RGPD

Concrètement, la proposition de la Commission européenne classe les usages de l’IA en fonction des risques qui en découlent.
Elle en distingue quatre : l’usage avec un risque inacceptable, l’usage avec un risque élevé (applications RH, attribution de crédits, médecine, justice, etc.), l’usage avec un risque acceptable, l’usage qui ne pose pas de problème.
Le premier type d’IA (scoring social, reconnaissance biométrique dans l’espace public, etc.) sera tout bonnement interdit. Le quatrième, avec un risque minime, ne sera pas, ou peu, concerné.

Les deux autres – risques élevés et acceptables – devront se conformer à un ensemble d’obligations pour assurer de la bonne éthique de l’IA (non-discrimination, respect de la vie privée, etc.), de sa robustesse, ou encore de la qualité des données d’entraînement.
Les principes énoncés sont suffisamment larges pour être applicables à de multiples cas, mais aussi suffisamment stricts pour être efficients et obliger à se poser des questions. On retrouve ici le même pragmatisme, et le même équilibre entre principes généraux et impératifs d’actions concrètes, qui étaient à l’œuvre dans le RGPD.

Un règlement très tourné vers les produits

Autre preuve de ce pragmatisme, la Commission prévoit des « Sandboxes », qui doivent encore être précisées, mais dont l’idée est de permettre aux entreprises de tester leurs projets d’IA dans un « bac à sable » avec l’aide bienveillante d’un régulateur, pour trouver les moyens d’arriver à la conformité.

Point très important, le règlement vise aussi bien l’IA « pure » – les algorithmes, les logiciels à base d’IA – que l’IA embarquée dans des objets (comme les jouets, les voitures ou l’IoT).Il concerne, de ce fait, toutes les parties prenantes de la chaîne de valeur de l’IA, des développeurs aux revendeurs ; en étant très tourné vers les produits et les applications concrètes des algorithmes.

L’objectif ? Susciter la confiance dans l’IA.

Le futur règlement complète en ce sens parfaitement les « Guidelines for a Trustworthy AI » qui, elles, visaient à encadrer les processus et les bonnes pratiques autour de l’Intelligence Artificielle.
« Pourquoi un tel règlement ? », se sont questionnés certains, craignant de voir les initiatives bridées en Europe. La réponse a été donnée par la vice-présidente de la Commission elle-même, Margrethe Vestager, lors de la présentation du projet. « Avec ces règles qui feront date, l’UE prend l’initiative d’élaborer de nouvelles normes mondiales qui garantiront que l’IA soit digne de confiance », expliquait-elle en soulignant l’importance de la notion de confiance.
« En matière d’intelligence artificielle, la confiance n’est pas un luxe, mais une nécessité absolue », insistait-elle, fort justement. Loin de brider l’IA, le règlement veut, au contraire, gagner l’adhésion des utilisateurs et des citoyens pour favoriser son essor.
Et quoi de mieux pour susciter de la confiance que d’encadrer en amont d’éventuelles dérives plutôt que de tenter de les réguler en aval, une fois que le mal est fait ?

Pas un désavantage concurrentiel pour les Européens (sous certaines conditions)

En évoquant une dimension « mondiale » – tout comme pour le RGPD – Margrethe Vestager ne laisse par ailleurs planer aucun doute sur un éventuel déséquilibre entre les acteurs européens d’une part (qui auraient des contraintes supplémentaires à supporter) et les acteurs non européens (qui en seraient supposément exemptés). Tout produit à base d’IA qui voudra s’attaquer à un marché européen devra se conformer aux exigences du règlement. Que le produit et les algorithmes soient européens, chinois ou américains.

Le désavantage concurrentiel que certains craignent peut même se transformer en avantage pour les Européens, avec un label de conformité ou un marquage de la Commission qui assure le respect d’un cahier des charges et d’une charte qui sécurise les consommateurs, les utilisateurs et les citoyens.

Mais pour en tirer un bénéfice, il faut se pencher sur cette évolution, la comprendre, prendre le temps de tâtonner, de se tromper, et finalement de trouver les solutions pour faire une IA éthique, efficace, acceptée et conforme.

Des actions que l’on peut déjà mettre en place

Voici quelques sujets qui découlent de la proposition sur lesquels il est possible – et certainement souhaitable – de se pencher rapidement :

•  Lister les usages de l’IA dans l’organisation pour évaluer leurs types de risques (et déterminer dans quelles catégories elles tombent) ;
• Commencer un travail de documentation : champs d’application prévus initialement, fonctionnement de l’IA (quelles données en entrées, quelles données en sortie, etc.), notice d’utilisation pour les utilisateurs ;
• Tracer et qualifier les données d’entraînement (sont-elles internes, externes, acquises de manière légale et éthique, sont-elles de qualité, à compléter, à nettoyer, etc. ?)
• Décrire comment les éventuels biais et déviations seront suivis et corrigés ; comment l’IA est et sera sécurisée ; et comment sera assurée la gestion de la qualité
• Anticiper une procédure de rappel produit et la détailler dans le cas où l’IA dysfonctionnerait

Cette liste de mesures concrètes n’est pas exhaustive. Mais elle montre bien que derrière un règlement apparemment « conceptuel » se cachent des actions bien concrètes, précisées en 8 points dans l’Annexe 4 du projet.

Une gouvernance transverse pour piloter la conformité des IA

La problématique est, on le voit, encore plus transverse qu’avec le RGPD. Elle concerne aussi bien les juristes que les Data Scientists, l’IT, les métiers ou la production.

Logiquement, c’est donc un groupe de travail transverse, avec une gouvernance globale, qui devra chapeauter ce projet interne. Il pourra être composé du Chief Data Officer, du DPO, du RSSI, d’un représentant de l’IT, d’un responsable de la Data Science, d’opérationnels, de juristes, d’ingénieur qualité, etc.

Et qui sait ? Un jour, un nouveau poste spécialement dédié à l’éthique et à la conformité de l’IA verra-t-il le jour ? En attendant, un défi plus proche se profile. Comme dans tout groupe interdisciplinaire – le RGPD l’a bien montré – il faut fluidifier les échanges, trouver un langage commun, arriver à des compromis entre les priorités des uns et des autres. Une entité extérieure, avec un regard neuf et une expertise de bout en bout, peut alors être bienvenue pour accompagner votre « task force » sur ce chemin vers la future conformité de vos IA. Un long chemin, mais un chemin aussi riche de promesses.

*Proposition de règlement de la Commission européenne