INTELLIGENCE ARTIFICIELLE : réguler ou innover, faut-il vraiment choisir ?
Article coup de ❤️
On a coutume d’entendre l’adage selon lequel « les États-Unis innovent, la Chine copie et l’Europe régule ». Il s’agit d’une vision simpliste trop souvent véhiculée et qui laisserait croire que les USA et la Chine ne produisent pas ou peu de règlementations, ou que l’Europe se contente de légiférer sans créer ou innover. Toutefois, ce poncif traduit un sentiment communément partagé selon lequel les activités d’innovation et de régulation seraient antagonistes voire inconciliables. La réalité est bien évidemment plus complexe et le cas particulier de l’intelligence artificielle (IA) le démontre.
L’IA au cœur de toutes les activités humaines
Les questions autour de la définition précise de ce qu’est l’IA – de la création du terme à l’occasion de la conférence de Dartmouth en 1956 au dualisme entre approches symbolistes et connexionnistes1 – sont nombreuses, complexes et parfois un peu vaines. Aujourd’hui, l’IA recouvre plus que qu’une simple notion scientifique. C’est un objet qui comporte des enjeux technologiques, politiques, sociétaux, géopolitiques, géographiques, juridiques, anthropologiques ou encore éthiques.
On observe ainsi depuis une dizaine d’années, l’irruption des technologies d’IA dans tous les secteurs d’activité. Sécurité publique (systèmes de vidéosurveillance augmentée qui analysent les comportements humains), santé (aide au diagnostic), éducation (via les learning analytics, qui permettent de personnaliser les parcours d’apprentissage) ou encore lutte contre la fraude fiscale (par exemple pour la détection automatisée de piscines non-déclarées à partir d’images satellites) sont autant d’exemples qui reposent sur l’exploitation de systèmes d’IA.
L’année 2023 a été un point d’inflexion en ce qui concerne l’adoption des technologies d’IA et cela au sein d’organismes de tout type (grands groupes, TPE/PME, administrations publiques, etc.). L’irruption des nouvelles technologies d’IA générative, et plus spécifiquement le « phénomène » ChatGPT (OpenAI), a en effet été un facteur déterminant. Les spécificités de l’IA générative tiennent à trois facteurs conjugués :
- Le caractère génératif qui fournit la capacité de produire des textes, réponses, images, code, rendu 3D, etc. ;
- Le modèle de fondation qui en étant entraîné sur de très vastes quantités de données permet des utilisations pour un large éventail de tâches ;
- L’interface utilisateur qui offre la possibilité d’interagir en langage naturel dans une interface de chat via un « prompt » (ou invite) et rendant (ainsi) de multiples applications de ces modèles complexes accessibles au plus grand nombre.
Des enjeux majeurs pour les libertés
Le pouvoir transformatif des technologies d’IA et leur intérêt sont aujourd’hui bien documentés. Toutefois, leur imbrication toujours plus importante au sein des activités et processus humains n’est pas sans poser de questions. Celles-ci sont intrinsèquement liées aux spécificités de l’apprentissage automatique (machine learning). Les systèmes d’IA en effet reposent sur l’apprentissage à partir de données et dans des quantités toujours plus importantes (même si de plus en plus de recherches sont désormais menées pour développer une IA « frugale »).
Ces données peuvent être l’objet de protection à plusieurs titres : propriété littéraire et artistique, données personnelles, données relatives aux secrets industriel ou des affaires, etc. Ainsi, le développement même des systèmes d’IA qui va se reposer sur de grandes quantités de données pose la question centrale de la transparence. Cette nécessité de transparence provient essentiellement du fait qu’une grande partie du savoir-faire des concepteurs des systèmes d’IA tient dans la manière de collecter, sélectionner et prétraiter les données.
Ainsi, on observe une tension entre la volonté des concepteurs des systèmes d’IA de conserver leurs secrets et procédés de fabrication, et leurs sources d’une part. Et d’autre part, l’exigence éthique de devoir communiquer ouvertement sur ces éléments, avec la possibilité de permettre aux individus de s’opposer aux traitements de leurs données.
Les systèmes d’IA sont également connus pour leur propension à générer des biais discriminatoires voire à les amplifier. Ceux-ci peuvent ainsi conduire à favoriser un genre au détriment d’un autre dans le cadre de l’analyse automatique de CV, à moins bien diagnostiquer certains patients en fonction de leur origine ethnique, à engendrer des suspicions de fraude en fonction du lieu de résidence des personnes ou encore à ne pas identifier certains individus correctement dans des images en raison de leur couleur de peau. Dans un monde traversé par la culture anglo-saxonne, il est par ailleurs critique que les « assets » de l’IA (jeux de données, modèles, etc.) reflètent le pluralisme et les spécificités culturelles au risque d’assister à une uniformisation et un appauvrissement des représentations produites.
Par ailleurs, les systèmes d’IA présentent des risques du point de vue de la sécurité. Ce risque est dual. Ces technologies ont un pouvoir de démultiplication des attaques (e.g. phishing massifié et de haute qualité, campagnes de désinformation à grande échelle, etc.) tout en présentant de nouvelles vulnérabilités, toujours en raison de leur particularité de reposer sur l’apprentissage automatique. Ainsi, ces systèmes peuvent être la cible de cyberattaques visant à détourner le fonctionnement correct du système en lui présentant des entrées corrompues, à introduire des portes dérobées en « empoisonnant » les données d’entraînement ou encore à « exfiltrer » des informations par un requêtage méticuleux du modèle (reconstruction de données utilisées pour l’entraînement, vol de modèle, attaque par inférence d’appartenance, etc.)2. Si la réalité de ces attaques peut encore sembler lointaine, nul doute que celles-ci se développeront de plus en plus rapidement avec l’adoption accrue des systèmes d’IA.
Enfin un dernier enjeu, non spécifique aux technologies d’IA mais amplifiées par celles-ci, est celui de la délégation du pouvoir. En effet, l’hybridation croissante des tâches réalisées avec l’appui de systèmes d’IA pose la question du contrôle et du libre arbitre. Quelle place échoit à l’humain dans un processus automatisé ? La question est éminemment complexe et suppose de penser l’ensemble du cadre dans lequel s’inscrit la tâche envisagée. L’individu risque-t-il de faire confiance aveuglément au système ou au contraire de rejeter toutes ses suggestions ? Quelles sont les conséquences en cas d’erreur à l’échelle individuelle ? Ces conséquences diffèrent-elles si l’utilisateur a suivi la suggestion ou s’y est opposé ? etc.
Réguler pour mieux innover
L’effervescence du sujet a amené de très nombreux acteurs à prendre position sur sa régulation. Si la perception de ce à quoi doit ressembler une régulation de l’IA varie en fonction des acteurs, on peut relever un large consensus sur sa nécessité. Ainsi, Sam Altman, le CEO d’OpenAI a affirmé devant le Congrès américain qu’une telle réglementation serait bénéfique au secteur. En effet, les usages des technologies d’IA ne seront à même de se développer que si un cadre de confiance permet d’offrir une réponse aux enjeux. L’encadrement des technologies d’IA est donc devenu un sujet mondial. La Chine s’est ainsi dotée de la première réglementation sur l’IA générative3, les États-Unis ont désormais le Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence Executive Order de l’administration Biden4, les pays du G7 ont adopté des principes directeurs5, etc.
À ce jour, il n’existe pas d’encadrement spécifique des technologies d’IA en France ou en Europe. Certaines réglementations « horizontales » trouvent à s’appliquer comme le Règlement général sur la protection des données (RGPD) lorsque les données traitées sont personnelles. Des réglementations sectorielles sont par ailleurs concernées, comme celles relatives à la sécurité des produits qui peuvent s’appliquer pour la mise en œuvre de certains systèmes d’IA, tels que les dispositifs médicaux par exemple. Cependant, depuis une dizaine d’années, l’Europe mène des réflexions pour encadrer les usages qui peuvent être faits des technologies d’IA. Celles-ci ont abouti à la proposition d’un règlement européen sur l’IA, fruit d’un travail de plus de trois ans. Qualifié d’historique par le Commissaire Européen Thierry Breton, l’accord politique obtenu en décembre 2023 autour du projet de règlement européen sur l’IA va conduire à son adoption imminente (ce qui est peut-être déjà le cas lors de la lecture de ces lignes).
Le règlement européen sur l’IA propose donc un cadre clair et ambitieux directement aux prises avec les capacités techniques des systèmes. La question de sa pérennité garantie par ses modes de mise à jour pose toutefois un défi de taille, au risque de voir se former un décrochage entre les exigences réglementaires et l’évolution constante des pratiques de l’industrie de l’IA.
Il convient enfin de distinguer réglementation et régulation, la seconde étant la mise en application concrète et incarnée de la première. Pour être ajustée aux enjeux, la régulation nécessite un dialogue constant entre les autorités dépositaires et l’ensemble des acteurs de l’écosystème IA que sont les entreprises (grands groupes, start-up, TPE/PME), les fédérations professionnelles, la société civile, le monde de la recherche, le pouvoir politique, les instituts de formation, etc.
L’innovation est foisonnante, multiple, dispersée. Elle ne peut cependant se réduire à un affranchissement de toute règle. Sa diffusion à grande échelle, sa traduction en usages par et pour le plus grand nombre, nécessitent un cadre de confiance, fondé sur des normes et des principes admis et partagés par tous les acteurs. Sans ce dernier, ingéniosité et inventivité peineront à s’inscrire au sein d’un modèle sociétal et économique viable.
Il convient donc de s’interroger sur la manière d’encadrer sans brider, d’innover et d’expérimenter sans mettre en péril. C’est le rôle de la régulation de dessiner un équilibre entre contrainte et liberté acceptable et fidèle aux valeurs partagées. Cette tension reflète à la fois nos grands principes démocratiques et l’image qu’une société se fait d’elle-même.
Le règlement européen sur l’IA
Initié en 2021 par la Commission européenne, le règlement IA ou AI Act vise à encadrer l’intelligence artificielle de façon à la rendre digne de confiance, centrée sur l’humain, éthique, durable et inclusive. Ce texte de portée européenne, c’est à dire appliqué de façon uniforme sur tout le continent se fonde sur une approche définissant une échelle de risque pour classer les systèmes d’IA suivant quatre niveaux :
- les systèmes d’IA inacceptables et donc interdits ;
- les systèmes d’IA à haut risque ;
- Les systèmes d’IA à risque limité ;
- Les systèmes d’IA à risque minimal.
Le règlement concerne principalement les deux premières catégories de systèmes en identifiant ceux qui ne peuvent être déployés sur le sol européen (par exemple le crédit social, la manipulation subliminale ou encore l’identification biométrique à distance) et ceux à haut risque : systèmes d’IA utilisés pour les dispositifs médicaux, dans le domaine de l’éducation, pour le recrutement ou encore pour l’application de la loi par exemple. Ces derniers doivent remplir un certain nombre d’exigences telles que :
- comporter un système de gestion du risque ;
- mettre en œuvre une gouvernance des données (en s’assurant en particulier de la pertinence, de l’exactitude, de la représentativité, et de la robustesse) ;
- tenir une documentation technique ;
- être supervisée par un opérateur humain ;
- mettre en œuvre des mesures de journalisation, de supervision, de transparence, de cybersécurité, etc.
Les systèmes d’IA respectant ces exigences pourront afficher le marquage CE et circuler librement sur le marché européen.
Références
1 Le connexionnisme est un courant de recherche assez vaste qui constitue une voie originale dans l’étude des phénomènes cognitifs. Les modèles connexionnistes utilisent ce que l’on appelle des réseaux de neurones formels, ou réseaux neuromimétiques, dont l’organisation et le fonctionnement rappellent, à un certain niveau d’abstraction, les systèmes neuronaux physiologiques, dans le but de simuler, de manière certes très simpliste, des comportements du type de ceux que l’on observe en psychologie expérimentale.
2 Aux États-Unis, le NIST (National Institute of Standards and Technology) a récemment publié un recensement des différents types d’attaques : Adversarial Machine Learning - A Taxonomy and Terminology of Attacks and Mitigations, Janvier 2024 (https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-2e2023.pdf)
3 Voir par exemple : https://www.ashurst.com/en/insights/new-generative-ai-measures-in-china/
4 Voir la « fact sheet » publié par la Maison-Blanche : https://www.whitehouse.gov/briefing-room/statements-releases/2023/10/30/fact-sheet-president-biden-issues-executive-order-on-safe-secure-and-trustworthy-artificial-intelligence/
5 Voir la déclaration commune publiée : https://digital-strategy.ec.europa.eu/en/library/g7-leaders-statement-hiroshima-ai-process
Félicien VALLET
est chef du service IA à la Commission nationale de l’informatique et des libertés (CNIL). Il est ingénieur et docteur (spécialité signal et images) de Télécom Paris.