Partie III du dossier : Comprendre et bien intégrer l’Intelligence Artificielle pour Transformer les Entreprises
Les risques de l’IA, une question de balance
L’adoption des IA n’est pas sans risques. On a par exemple insisté sur le risque de l’hallucination (l’invention d’informations), qui est une préoccupation majeure en ce qui concerne les modèles de l’intelligence artificielle générative (comme les modèles de langage GPT). Ces modèles sont capables de générer du texte qui semble crédible, mais qui peut en réalité être basé sur des informations inventées. Cette tendance à « halluciner » des informations peut conduire à la désinformation ou à la confusion. On se souvient en particulier de ce cas très médiatisé de deux avocats américains qui ont été condamnés à une amende pour avoir utilisé des jurisprudences totalement inventées par ChatGPT dans une affaire (The Guardian / Two US lawyers fined for submitting fake court citations from ChatGPT)… D’où l’importance de fiabiliser et de contextualiser les informations produites par ces IA.
- Fiabiliser signifie s’assurer que les informations générées par l’IA sont précises et fondées sur des sources fiables : les modèles de Machine Learning ont les mêmes limites que les approches statistiques : si un biais existe dans les données il se retrouvera dans l’output.
- La contextualisation implique de fournir un cadre pour comprendre ces informations, y compris où, quand et comment elles ont été produites. On ne peut construire un modèle que dans un environnement « fermé », c’est à dire que l’on doit connaître toutes les données et les décisions attendues associées pour pouvoir construire le modèle.
Ces deux processus aident à maximiser l’utilité de l’IA générative tout en minimisant le risque de désinformation ou de confusion.
D’autres risques existent, comme la divulgation non intentionnelle de données confidentielles, il est cependant surtout risqué de ne pas adopter ces technologies.
Les risques peuvent être gérés grâce à une adaptation rapide des politiques d’entreprise et à la remise à plat de la structure de l’entreprise, ce qui requiert généralement l’intervention ponctuelle de spécialistes (managers de transition ou architectes d’entreprise).
Comme précisé plus haut, ignorer les opportunités offertes par ces technologies pourrait laisser les entreprises en retard face à leurs concurrents et aux changements inévitables des processus de travail.
Quant à l’injonction à l’éthique régulièrement reprise dans les médias, elle est souvent mal abordée car le domaine de l’éthique n’est pas l’outillage : un modèle de prédiction météorologique ou de tendance de marchés financiers ne pourra pas être qualifié d’éthique ou non, pas plus qu’un algorithme mathématique.
Voir notre article Focus : les divers types de risques associés à l’IA
Vers un cadre éthique et réglementaire
Avec l’essor rapide de l’IA, le cadre éthique et réglementaire doit évoluer. L’Union Européenne travaille notamment sur deux projets de directives qui devraient poser les nouvelles règles de responsabilité en matière d’IA, et être les premières briques du futur règlement sur l’IA (dit « AI-Act ») pour lequel le Parlement européen a voté son accord le 14 juin 2023, la phase de discussion avec le Conseil européen et la Commission pour arrêter la version définitive du texte ayant actuellement lieu.
– La révision de la directive de 1985 sur la responsabilité du fait des produits défectueux (notamment extension de la notion de produit aux logiciels et systèmes d’IA et responsabilité du fabricant avec création de règles de présomption de défectuosité) (Proposition de directive du Parlement européen et du Conseil relative à la responsabilité du fait des produits défectueux, Commission européenne, 28 septembre 2022 (2022/0302 (COD)))
– La responsabilité en matière d’IA (notamment création d’une « présomption de causalité » en lien avec le système d’IA, et obligation qui peut être faite aux entreprises et fournisseurs de divulguer certaines informations de fonctionnement de l’IA) (Proposition de directive du Parlement européen et du Conseil relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (directive sur la responsabilité en matière d’IA), Commission européenne, 28 septembre 2022 (2022/0303 (COD)))
Les 22 exigences du règlement sur l’IA portent notamment sur les éléments suivants :
Exigences relatives aux données :
– Sources de données : Décrire les sources de données utilisées pour entraîner le modèle.
– Gouvernance des données : Utiliser des données soumises à des mesures de gouvernance des données (adéquation, biais et atténuation appropriée) pour entraîner le modèle.
– Données protégées par des droits d’auteur : Résumer les données protégées par des droits d’auteur utilisées pour entraîner le modèle.
Exigences relatives aux ressources informatiques :
– Calculs : Indiquer les ressources de calcul (taille du modèle, puissance, temps d’entraînement) utilisées pour former le modèle.
– Énergie : Mesurer la consommation d’énergie et prendre des mesures pour réduire la consommation d’énergie lors de l’entraînement.
Exigences relatives au modèle :
– Capacités/Limitations : Décrire les capacités et limitations du modèle.
– Risques/Atténuation : Décrire les risques prévisibles, les mesures d’atténuation et justifier les risques non atténués du modèle.
– Évaluations : Évaluer le modèle selon des référentiels publics ou de l’industrie.
– Tests : Rapporter les résultats des tests internes et externes.
Exigences de déploiement :
– Contenu généré par machine : Indiquer que le contenu généré est généré par machine et non par un humain.
– États membres : Indiquer les États membres de l’UE où le modèle est utilisé.
– Documentation aval : Fournir une documentation technique sur la conformité aval.
Inquiétudes sur la réglementation
Cet Artificial Intelligence Act devait initialement promouvoir l’adoption de l’IA en Europe en la protégeant et en lui donnant un cadre contractuel… sa reformulation actuelle abandonne l’approche basée sur les risques de la loi pour une approche basée sur les restrictions sur le territoire européen, au détriment de l’établissement d’un cadre régulatoire qui pourrait être un outil s’appliquant à l’international… cela risque d’être gravement préjudiciable à la compétitivité européenne dans la révolution qui est en cours…
Il est à noter que ce risque sur-régulatoire a un précédent avec le règlement RGPD qui, s’il partait d’une intention louable, à provoqué dans son application des effets de bord sévères : les masses de données nécessaires à l’entrainement des modèles d’IA n’ont pu être rassemblées en Europe, empêchant ainsi le développement de modèles performants… les principales sociétés performantes en IA montées par des français l’ont été aux US (je pense notamment à Hugging face) -ce n’était pas la raison unique bien entendu, la capacité d’investissement et l’écosystème de l’autre coté de l’atlantique étant particulièrement favorable-.
Ne me faites pas dire ce que je n’ai pas dit : oui une régulation du secteur est souhaitable, comme n’importe quel secteur d’activité (que ce soit la banque, l’automobile, le pharmaceutique etc), des normes de mise sur le marché doivent exister…
Les entreprises doivent donc rester vigilantes et mener une veille sur ce risque juridique lié à l’utilisation de ressources IA (au travers des données qu’elles utiliseront, des prestataires auxquels elle feront appel, des conditions d’utilisation à communiquer à leurs clients…).
à suivre : Partie IV : Comment utiliser l’IA, comment la déployer ?