Par Paul-Marie Carfantan, AI Governance Solution Manager Dataiku
La Commission européenne entend prévenir certaines dérives de l’utilisation de l’IA, comme la manipulation des comportements humains ou la reconnaissance faciale. Présenté le 21 avril dernier, le texte de loi prévoit une amende pouvant atteindre 4% du CA annuel de l’entreprise en cas de non conformité.
Après le RGPD (Règlement Général de la Protection des Données), la Commission européenne récidive cette année avec une proposition de réglementation européenne sur l’Intelligence Artificielle. Présentée le 21 avril dernier par Margrethe Vestager, vice-présidente exécutive de la Commission pour le numérique, cette réglementation a pour objectif d’encadrer l’utilisation de l’IA, afin de prévenir et réduire les risques.
Ce texte est le fruit de deux années de travail et de concertations menées auprès de régulateurs nationaux de pays de l’UE, de groupes d’experts (tel que l’AIHLEG), d’entreprises et de sociétés civiles européennes. En France, deux organismes ont planché sur le sujet : la Cnil et l’ACPR, Autorité de Contrôle Prudentiel et de Résolution. Si la Cnil s’est focalisée sur l’impact des systèmes d’IA sur la protection des données personnelles, l’ACPR s’est intéressée aux conséquences de l’IA sur le secteur de la banque assurance (détection de fraude, gestion de contrats, gel des avoirs…). A l’issue de la validation de la proposition de loi, tous les États membres devront s’y conformer.
Bonnes et mauvaises IA
Dans ce texte, la CE distingue le bon grain de l’ivraie. Les IA « bénéfiques » permettent d’automatiser des tâches, de fournir des informations d’aide à la décision, d’améliorer la productivité des usines, de réduire des coûts, de modéliser des évènements climatiques, d’organiser des transports, des services de santé, ou encore d’anticiper des pannes. Autant d’applications sources de bénéfices et de performances pour les entreprises.
Mais les IA sont aussi sources de risques et la réglementation européenne entend bien bannir toutes celles utilisées à des fins de surveillance indiscriminée, de reconnaissance faciale, de manipulation de comportement humain ou de notation de personnes en fonction de leurs actes. Ainsi, toute IA à l’origine de discriminations dans certains processus de recrutement, dans ceux de la sélection aux établissements d’enseignement, ou intervenant dans les systèmes de répartition des services d’urgence, d’évaluation de solvabilité ou dans les systèmes de prise de décision utilisés pour aider les juges, sera écartée.
L’IA doit être explicable
La CE entend bien prévenir tout débordement en imposant aux entreprises l’évaluation de leur IA afin d’en déterminer le risque. Si, à ce jour, les modalités d’évaluation ne sont pas encore clairement définies, celles-ci devraient intégrer le contexte de déploiement, les conditions d’utilisation de l’IA et sa capacité de nuisance (probabilité du risque de nuisance et sévérité du risque). Ainsi la notion d’explicabilité des modèles doit être prise en compte, toute entreprise devant être en mesure de détailler le fonctionnement d’un algorithme à l’origine d’une prise de décision.
La présente de l’IA dans toutes les directions métiers, oblige les entreprises à considérer toutes les dimensions de l’IA et à en évaluer chaque risque. Elles doivent donc mettre en place une véritable gouvernance de l’IA en formalisant les rôles et les responsabilités de chaque département. Les organisations devront vraisemblablement mettre en place des systèmes de gestion des risques et des processus de diligence.
Pour les IA à « hauts risques », les entreprises devront être en conformité avec la loi. En revanche les gouvernements et autorités publiques de l’Union européenne pour faire une entorse à cette règle afin de préserver la sécurité publique (lutte contre le terrorisme). Pour les IA considérées comme risques moyens ou faibles, les organisations seront incitées à suivre le processus à travers notamment des codes de conduites. En cas de non respect au règlement, les amendes encourues sont similaires à celles du RGPD, soit jusqu’à 4% du chiffre d’affaires annuel.
A noter que les Etats-Membres de l’UE auront la possibilité de favoriser l’innovation, en donnant aux start-ups et SME la liberté de tester et développer des systèmes d’IA avec des contraintes réglementaires allégées avant de les commercialiser (proposition similaire à celle effectuée par Cédric Villani en 2018 dans son rapport éponyme)
Si l’application de cette réglementation nécessite encore de recevoir l’approbation du Conseil et du Parlement pour être effective, le texte prévoit la création d’un Conseil européen de l’intelligence artificielle. Celui-ci sera composé d’un représentant de chacun des 27 Etats membres, d’un représentant de la Commission et du Contrôleur européen de la protection des données (CEPD). Pour la France, la Cnil et l’ACPR seront sans doute les référents.
Si une loi est contraignante elle a souvent le mérite de prévenir les effets de bord. Les entreprises européennes ont donc tout intérêt à mettre en place l’organisation et la gouvernance de l’IA. Cette stratégie leur permettra non seulement de se conformer à la réglementation, mais aussi de tirer tous les bénéfices de cette technologie et de valoriser les investissements réalisés dans leurs projets.
À l’instar du RGPD, cette réglementation fera peut être des émules au-delà de nos frontières européennes !