Samedi soir, vous venez de terminer le dernier documentaire en vogue de Netflix, sur l’intelligence artificielle, « The Social Dilemma », qui se lance dans une explication des IA qui se cachent derrière les réseaux sociaux ou encore « Terminator », ce célèbre film abordant la dérive de robots créés par des super-intelligences artificielles. Vous vous demandez sûrement si nous sommes vraiment proche des réalités qui sont décrites dans ces œuvres ? Lorsque vous ne venez pas d’un métier qui est confronté à l’IA, vous vous demandez peut-être ce qui existe aujourd’hui pour réglementer ce domaine ? Et même en étant un expert du domaine, vous vous demandez sûrement comment les futures réglementations de l’IA vont impacter votre quotidien ? Autant de question et un début de réponse : L’Union Européenne (UE) a commencé en 2021 à poser un cadre juridique autour de l’IA !
Ce cadre juridique, combiné à un nouveau plan en coopération avec les États membres vise à garantir la sécurité des citoyens européens et des entreprises, tout en favorisant l’émergence de l’Intelligence artificielle (IA), des investissements et de l’innovation dans l’ensemble de l’UE.
Cette réglementation arrive trois ans après l’introduction de l’application de la Réglementation Général de la protection des données (RGPD) en mai 2018. Si cette dernière a directement eu une volonté d’encadrer les traitements de données personnelles dans toute entreprise agissant dans le domaine du public ou du privée, le cadre juridique pour le moment vise à poser des principes et à définir un champ d’application pour une IA de confiance. Et vous allez sûrement vous demander : mais pourquoi commencer à en parler ? Chez Novencia, nous sommes convaincus qu’il faut dès à présent tenir compte de l’arrivée de ces réglementations et les utiliser comme levier pour renforcer les modèles utilisés, générer de nouvelles opportunités d’innovation et favoriser l’adhésion du plus grand nombre à l’utilisation de l’IA.
Du RGPD à l’IA de confiance
Comme évoqué dans cet article écrit par Charlotte Ledoux, CEO de Vallai, nous sommes en train d’observer une tendance à l’émergence de nombreuses réglementations autour de la donnée :
- Le privacy Shield (2016) qui constitue un cadre juridique pour les échanges transatlantiques, qui d’ailleurs n’est plus en vigueur aujourd’hui ;
- Le California Consumer Privacy Act (adopté en 2018) destiné à renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de Californie aux États-Unis ;
- Le C.L.O.U.D. Act (adopté en 2018) qui permet aux instances de justice américaine de collecter des données des utilisateurs des opérateurs télécoms et des fournisseurs de service de cloud computing… peu importe leur localisation géographique ;
- Le RGPD, comme cité précédemment ;
- Le projet de règlement ePrivacy (toujours en discussion depuis 2017 devant les instances européennes) qui a pour objet d’encadrer la fourniture et l’utilisation de services de communications électroniques.
Et bien d’autres réglementations encore ! Il suffit de consulter cet outil de la Commission Nationale Informatique et Libertés (CNIL) pour comprendre que les pays prennent maintenant très au sérieux ces problématiques, ou du moins assez pour légiférer en la matière. Nous assistons donc non seulement à une volonté de réguler le marché, mais également à une prise de conscience autour de l’utilisation des données et l’IA.
Le cadre juridique de l’UE en quelques mots…
La proposition de la commission propose une approche fondée sur les risques :
- Risque inacceptable : l’UE définit les systèmes d’IA considérés comme une menace évidente pour la sécurité, les moyens de subsistance et les droits des personnes seront totalement interdits. Comme les systèmes d’IA utilisés dans les composants de sécurités des produits, nous pouvons citer l’exemple de chirurgie assistée par robot (Shadow Robot Dexterous Hand) ;
- Risque élevé : plusieurs systèmes d’IA ici sont considérés comme étant à risque élevé. Nous pouvons en citer quelques-unes : les technologies d’IA utilisées dans le domaine de l’emploi et du recrutement (sélection de CV’s), celles utilisées dans l’administration de la justice et des processus de la vie démocratique, la reconnaissance faciale dans l’espace publique ou dans certains centre commerciaux qui permettent aux entreprises de mieux comprendre les parcours clients (et in fine les optimiser) ;
- Risque limité : ici, l’UE classe des IA auxquels s’appliquent des obligations spécifiques en matière de transparence : les utilisateurs doivent être avertis qu’ils interagissent avec une IA afin de pouvoir décider en connaissance de cause cela concerne par exemple les chatbots ;
- Risque minime : dans cette catégorie, l’UE autorise l’utilisation libre d’applications dans les jeux vidéo ou par exemple les filtres anti-spams des boîtes mails. L’UE, estime que cette catégorie ne présente pas de risque majeur pour les droits ou la sécurité des citoyens.
L’UE précise une liste d’obligations strictes pour les systèmes d’IA à risque élevé, car la Commission estime qu’ils peuvent présenter le plus de dérives dans leur application au quotidien :
1) Évaluer le système et atténuer les risques que peuvent engendrer ces algorithmes
2) Garantir une qualité élevée des ensembles de données qui alimentent les systèmes d’IA afin de pouvoir réduire au minimum les résultats biaisés ou discriminatoire ;
3) Garantir la traçabilité des résultats en pouvant expliquer le processus de décision et le fonctionnement des systèmes d’IA ;
4) Documenter de manière détaillée qui fournit toutes les informations derrière le fonctionnement, et sa finalité afin de permettre aux autorités compétentes d’évaluer sa conformité ;
5) Informer clairement et de manière adaptée les utilisateurs ;
6) Contrôler les systèmes avec une intervention humaine (audit, vérification des résultats…) ;
7) Sécuriser et rendre robustes les algos et les systèmes ;
Pour plus de précision, nous vous invitions à consulter le rapport de la Commission européenne disponible juste ici.
Transformer les contraintes en opportunités
Avec cette jungle réglementaire, vous vous demandez quels sont les leviers et les facteurs clés de réussite ? Dans ce livre Ethics and Data science (disponible sur la plateforme O’Reilly), les auteurs se posent la question des facteurs clés pour construire un bon service ou produit data. Ils soulignent qu’il ne suffit pas qu’il soit utile, ni commercialement viable (quoique… c’est déjà un bon début). Les auteurs ajoutent qu’un bon produit ou service data doit utiliser la donnée de manière éthique, et responsable.
1. Utiliser la réglementation pour être plus transparent et gagner en notoriété
On insiste souvent sur les technologies qui rendent les produits ou service IA attractifs ou robustes, mais plusieurs études démontrent aujourd’hui, que les utilisateurs (des clients ou des utilisateurs métiers) perdent confiance en la solution, par manque de compréhension car soit ils ne comprennent pas, soit ils se sentent exploités par les produits ou systèmes d’IA.
Un exemple que l’on a déjà tous connu : un refus automatique à la suite d’une candidature. Vous recevez un mail de refus de candidature généré automatiquement, alors que vous êtes persuadés de correspondre à l’offre d’emploi ? L’absence d’explication vous laisse frustré. Certes, il est humainement impossible de répondre à plus de 100 candidatures par jour, mais il aurait été peut-être plus simple pour susciter l’adhésion de présenter sur le site carrière les critères de sélections de l’algorithme.
Cette logique de transparence et d’information concernant le profilage et les décisions entièrement automatisées est d’ailleurs abordée par le RGPD.
2. Profiter de la réglementation pour acculturer sur l’IA et ses bénéfices
Dans son livre Weapons of Math Destruction, Cathy O’neil donne l’exemple de l’éducation publique à Washington qui a fait appel à un cabinet de conseil pour l’accompagner dans la détection des groupes de professeurs les moins performants. L’algorithme s’appuie sur une multitude de données et attribue un score à chaque professeur. Les professeurs avec les scores les moins élevés sont automatiquement licenciés. Une professeure qui avait toujours été bien évaluée dans sa carrière se trouve dans le cas d’un licenciement non justifié. Problème : personne n’était capable de lui expliquer comment le modèle fonctionne et sur quels critères exacts il s’appuyait pour faire ses analyses.
L’exemple cité ci-dessus pose le problème de l’intelligibilité et l’explicabilité des modèles algorithmiques. Le cadre que pose l’UE, ne permettra plus ce gendre de dérive. Mais c’est aussi une opportunité pour les entreprises et les consommateurs : acculturer les utilisateurs autour du fonctionnement des algorithmes de ML ne peut que susciter leur adhésion. Plusieurs acteurs émergent aujourd’hui, on peut citer par exemple H2o.ai qui est une plateforme hybride ‘end to end’ qui démocratise l’IA en donnant la main à des collaborateurs, clients, etc… et permet de disposer d’une technologie d’IA sophistiquée et facile d’utilisation.
L’éthique autour de l’utilisation de la donnée n’est pas que morale et relève de l’ordre technique également. S’il est difficile de suivre aujourd’hui la conformité réglementaire, des acteurs comme Witik propose une plateforme clés en main pour suivre et piloter les différents aspects de la réglementation en quotidien : RGPD, ePrivacy, normes ISO…
3. Adapter et mieux valoriser l’utilisation de ses data tout en améliorant son image
Les entreprises peuvent en profiter pour recadrer des cas d’usages, prenons l’exemple d’Amazon qui a été touché par une controverse sur une IA qui discriminait les femmes sur des métiers dans l’univers de l’IT. Comment ajuster dans ce cas-là ? Traiter le biais en amont, en appliquant des métriques de biais sur les jeux de données en entrée ! Eh oui, l’IA se base sur un jeu de données pour s’entraîner et va donc en conséquent sortir des résultats biaisés (qui ne fait que répliquer l’échantillon en input). La métrique de « disparate Impact » permet de palier à ce genre de biais dans la donnée. Il en existe une multitude d’autres.
Cela devrait également encourager les entreprises à profiter pour auditer les modèles de Machine Learning plus régulièrement. En effet, l’UE propose de mettre en place une couche de contrôle humain (sous la forme d’un audit, contrôle des résultats etc..), cela permet de s’assurer que les résultats fournis par les algorithmes sont toujours cohérents. Reste à savoir comment concrètement le mettre en place, à quelle fréquence ?
Comme évoqué pendant le webinaire « Comment transformer le RGPD en avantage concurrentiel ? » animé par Guillaume Pinaud (Directeur Data & Customer Marketing) & Benjamin Beratta (Consultant RGPD, Witik) : L’innovation n’est pas seulement liée à un renforcement du contrôle et l’arrivée de nouvelles métriques de mesure de l’éthique et du biais, elle se traduit également par la possibilité de création de nouveaux cas d’usages et d’opportunités business. Comment ? En profitant par exemple des réglementations qui requièrent d’avoir le consentement des consommateurs ou implique de recueillir leurs préférences. Cela peut permettre d’affiner la connaissance du client et de profiter pour opter pour une hyper personnalisation des propositions et lui proposer des services plus adaptés à ses préférences.
4. Anticiper l’impact de la réglementation dès l’initiation de son projet data pour améliorer le delivery
Enfin, un dernier levier est le Privacy by design, qui permet de prendre en compte le respect de la vie privée dès la phase de conception des modèles et des applications impliquant de l’IA. Cela permet de poser les principes suivants :
- Comment vais-je auditer mes modèles ?
- Comment vais-je protéger la donnée ?
- Comment est-ce que cela est pris en compte dans le développement du produit ?
Quelques questions qui peuvent aider à guider la réflexion autour du développement du produit et des modèles.
Le Privacy by Design permet de réfléchir dès la conception du produit ou du service au chiffrement des données sensibles, au stockage sécurisé, au respect des durées de conservation, ou encore au recueil des données strictement nécessaires.
Concrètement, cela peut s’illustrer par la mise en place d’un floutage automatique des visages, d’une anonymisation automatique des données collectées…
Prendre en compte les impératifs de protection des données au plus tôt dans un projet maximise les chances de créer un produit vertueux et respectueux de la vie privée. Dans un monde de plus en connecté, offrir de l’intimité aux individus tout en respectant leurs droits et libertés est clairement un argument pour créer de la confiance.
Pour conclure, l’IA de confiance est un vaste sujet qui n’a pas fini de faire parler de lui. Les différents acteurs du marché devraient saisir l’opportunité qu’offre l’Union Européenne en proposant un cadre pour le moment non contraignant mais qui offre des lignes directrices aux entreprises à la fois sur le cadre technique, mais également sur des opportunités d’améliorer l’image de marque et d’augmenter l’adhésion et la confiance des consommateurs et des clients autour de l’IA.
Maya AZOURI – Consultante Data
