Régir l'utilisation de l’IA

Comment Bruxelles veut réglementer l’IA sans freiner l’innovation

La Commission européenne a publié sa proposition de cadre légal pour prévenir les dérives de l'intelligence artificielle. Articulée autour d’une approche proportionnelle fondée sur le risque, le projet prévoit de nombreuses exigences et obligations pour une vingtaine d’usages à risque élevé.

(Source: PhonlamaiPhoto iStock.com / Chickenonline from Pixabay)
(Source: PhonlamaiPhoto iStock.com / Chickenonline from Pixabay)

La Commission européenne a présenté son projet de réglementation de l’intelligence artificielle (IA). Bruxelles donne ainsi le ton dans l’instauration d’un cadre légal guidant le développement d’une IA digne de confiance, dans la veine du travail accompli avec le RGPD pour la protection des données personnelles. Une fois acceptées par le Parlement européen et les Etats membres, ces règles concerneront aussi la Suisse, en premier lieu les entreprises ayant établi des relations commerciales avec l’UE. Mais comme avec le RGPD, la gouvernance de l’intelligence artificielle telle qu’imaginée par Bruxelles devrait également guider Berne dans l’élaboration d’une réglementation similaire (fin 2020, la confédération a fixé sept lignes directrices pour encadrer l’IA).

La proposition dévoilée par la Commission européenne montre que l’UE a pleinement conscience qu’une réglementation trop contraignante freinerait l’innovation et placerait les entreprises européennes dans une position peu tenable face à la concurrence des Etats-Unis et de la Chine, leaders dans le domaine. «A l'épreuve du temps et propices à l'innovation, nos règles s'appliqueront lorsque c'est strictement nécessaire: quand la sécurité et les droits fondamentaux des citoyens de l'Union sont en jeu», explique ainsi Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l'ère du numérique. Entre la possibilité d’instaurer un système d'étiquetage volontaire et l’établissement d’exigences obligatoires pour tous les systèmes d'IA, l’UE prend une voie intermédiaire, optant pour une approche proportionnelle fondée sur le risque. Ce dernier étant déterminé par la finalité de l’usage.

Les utilisations jugées particulièrement néfastes (risque inacceptable) sont interdites. Bruxelles cite notamment l’exemple d’une utilisation par les forces de l'ordre de certains systèmes d'identification biométrique en temps réel, ou encore des systèmes de notation sociale par les gouvernements (un projet de ce type est mené en Chine). A l'autre bout du spectre, les systèmes présentant un risque minimal ne sont soumis à aucune obligation légale supplémentaire. Leur fournisseur peuvent toutefois volontairement choisir d'adhérer à des codes de conduite.

Une vingtaine d’usages à risque élevé

L’essentiel des obligations réglementaires prévues par l’UE concernent les systèmes considérés comme présentant un risque élevé. Leur liste pourra être révisée pour tenir compte de l'évolution des utilisations de l'IA, prévient la Commission européenne. Pour l’heure, la catégorie inclut une vingtaine d’usages. Dans le monde de l’entreprise, il peut s'agir d’IA dans les ressources humaines, qui prendraient des décisions en matière de recrutement, de promotion et de licenciement, ou qui seraient impliquées dans l’évaluation de la productivité. Alors que les algorithmes se font petit-à-petit une place dans les administrations publiques, des systèmes décidant de l'éligibilité ou non à des prestations sociales sont également considérés à haut risque. Il en va de même d’IA évaluant la solvabilité des personnes physiques.

Exigences et obligations spécifiques

Les entreprises ou autorités publiques qui développent ou utilisent ces applications à risque élevé devraient se conformer à des exigences et obligations spécifiques. Côté fournisseurs, sortir un système d’IA sur le marché de l’Union européenne nécessitera de passer par un processus d'évaluation. Il concerne d’abord l'emploi des bonnes pratiques en matière de gouvernance de données, afin d’en assurer la qualité (préparation pertinente des données, disponibilité des données, examen des biais possibles). Il convient ensuite de ficeler une documentation technique de manière à démontrer que le système d'IA à haut risque est conforme aux exigences. Les solutions doivent en outre intégrer des capacités d'enregistrement automatique des logs et être conçue de façon à ce que leur fonctionnement, capacité et limitations soient compréhensibles.

Toujours au niveau des fournisseurs, ils sont obligés de doter leurs systèmes d'interfaces appropriées, assurant leur surveillance par des humains pendant la période d'utilisation. Ils devront également mettre en œuvre des systèmes de gestion de la qualité et des risques, afin de garantir qu'ils respectent les nouvelles exigences et réduisent au minimum les risques, même après la mise sur le marché du produit, souligne le projet de cadre légal.

Du côté des utilisateurs, ils ont entre autres l’obligation de s'assurer que les données utilisées pour alimenter les modèles d’IA sont pertinentes au regard de l'objectif visé. Il leur incombe également de contrôler le fonctionnement du système sur la base des instructions d'utilisation, ou encore de conserver les logs générés automatiquement.

La Commission européenne fournit une évaluation des coûts de cette mise en conformité, qui s'élèverait pour les fournisseurs entre 6000 et 7000 euros pour un système d’IA moyen. Pour les utilisateurs, une surveillance humaine des systèmes pourrait atteindre entre 5’000 et 8’000 euros par an.

Les Etats-Unis semblent également prêts à serrer la vis

Alors que l’Europe prend les devants pour lutter contre les dérives de l’IA, les Etats-Unis semblent déjà prêts à se joindre aux combats. La Federal Trade Commission (FTC), l’organe chargé de la régulation du commerce américain, a tout récemment publié des lignes directrices visant notamment à prévenir les discriminations (racisme, sexiste, etc.) que peuvent engendrer des algorithmes biaisés. La FTC prévient les fournisseurs que c’est à eux qu'incombe la responsabilité de la performance des algorithmes qui équipent leurs systèmes. En cas de tromperie ou de discrimination suspectées, la FTC affime qu’elle n’hésitera pas à mener des actions en justice.

Tags
Webcode
DPF8_214677