L'Intelligence Artificielle permet de résoudre de nombreux problèmes sociétaux, ce quelque soit les secteurs économiques. C'est pour cette raison que les technologies issues de ce domaine doivent être utilisé avec une éthique rigoureuse, faute de quoi, elles seront mal accueillies par les citoyens européens. Quelles sont les opportunités et risques liés à l'Intelligence Artificielle ? Qui est concerné par l'Intelligence Artificielle ? Que dit cette future réglementation de l'Union Européenne sur l'Intelligence Artificielle ? Un sujet nouveau et critiqué ! Un talk présenté par Aurore Baehr, Data Consultante chez Quantmetry, cabinet de conseil spécialisé dans l'Intelligence Artificielle.
Présentation de Quantmetry
Quantmetry est un cabinet de conseil indépendant spécialisé dans l'Intelligence Artificielle existant depuis dix ans, mettant l'accent sur l'état de l'art à travers la Recherche et Développement. Un nombre de jours sont alloués à ces sujets, permettant de travailler sur des sujets en lien avec cette future règlementation qui pourrait porter sur l'intelligibilité des modèles, le cycle de vie des modèles ou d’autres sujets.
Deux expertises travaillant sur ces domaines autour de l'Intelligence Artificielle de confiance sont à prendre en considération :
- AI Strategy : cette expertise interroge toutes les questions en amont et l'orientation stratégique d'une entreprise sur ces sujets. Elle va aider à cadrer ces cas d'usages en prenant en compte ces dimensions de l'Intelligence Artificielle de confiance
- Reliable AI : cette seconde expertise permet d'aller en profondeur sur la partie technique pour garantir le fait que l'on respecte différentes thématiques tout comme la robustesse, l'intelligibilité et le côté éthique des modèles.
Intelligence Artificielle : entre opportunités et risques
Nous observons une explosion des cas d'usages liés à la Data Science et à l'Intelligence Artificielle. Pour 2025 nous pouvons prédire un chiffre d'affaires généré au niveau mondial par l’Intelligence Artificielle qui serait de l’ordre de 90 milliards de dollars. En effet, nous utiliserons de plus en plus d'Intelligence Artificielle et nous pouvons constater une très forte accélération de mis en production des cas d'usages Data à une visée d'application métier concernant toutes les zones géographiques.
Quels sont les trois premiers postes de dépense d’investissement en termes d’IA ?
- La sécurité de la donnée
- L'automatisation des process et optimisation des process
- La satisfaction client, dont la partie marketing et l'optimisation de l’after-sales
Cette forte croissance des cas d’usages de l’Intelligence Artificielle est accompagnée d’une croissance des risques. Abordons quelques applications qui ont été développées et qui ont présenté de forts risques à la fois en termes de sécurité, de santé ou de liberté. Dernièrement nous avons eu un chatbot qui a été entraîné avec une technique GPT-3 sur des questions de santé et qui a recommandé à certains patients de se suicider en lien avec leur réponses, ce qui représente un sujet très critique aujourd’hui. Le second exemple s'agit d'un accident mortel qui est lié à Uber et à un projet de véhicule autonome qui a mal reconnu une personne qui passait en vélo et qui l’a tué.
Qui est concerné par l’Intelligence Artificielle et par le pendant que sont les risques ?
Les entreprises :
- Les concepteurs (Data Scientists)
- Les opérateurs, les Data Engineers qui passeront le modèle en production
- Les parties IT qui vont accompagner la mise en opération des modèles
- Les utilisateurs métiers qui seront potentiellement concernés par des impacts
Par exemple, si nous prenons le cas d'un octroi de crédit, les Data Scientists pourraient développer un modèle, l'équipe IT vont faire opérer ce modèle et l'utilisateur serait par exemple le banquier qui sera accompagné par exemple dans sa réponse à des demandes de crédits.
Nous retrouvons une multitude de personnes qui sont les personnes concernées par les cas d’usages, pouvant être les clients, les bénéficiaires, les adhérents ou toutes autres personnes qui seraient directement ou indirectement impactés par ce type de cas d’usage d’Intelligence Artificielle. Chacun d'entre nous peut se situer dans les deux sphères au niveau de l'entreprise, mais aussi au niveau du consommateur.
La réglementation de l’Union Européenne sur l’Intelligence Artificielle de confiance
Cette réglementation de l'Union Européenne sur l'Intelligence Artificielle de confiance vient en réponse à cette dualité que l'on retrouve entre forte valeur ajoutée liée à l’Intelligence Artificielle et les risques. Elle s’empare du sujet avec un nouveau règlement européen sur l’Intelligence Artificielle de confiance et d’excellence datant de 2018, dont les premiers travaux ont été mis en place au sein de l’Union Européenne avec un premier groupe de travail et la publication d’une première proposition de stratégie européenne sur l’Intelligence Artificielle. Au fur et à mesure il y a eu des itérations avec différents groupes de travails qui se sont mis en place. Nous pouvons citer un livre blanc qui est sorti en février 2020, qui est vraiment pilier dans cette thématique. Vous y trouverez les grands principes qu’à identifié l’Union Européenne pour répondre à cette problématique de l’Intelligence Artificielle de confiance.
Concernant les dernières avancées, nous avons un vote d’initiative législative qui date d'octobre dernier sur la question et une première proposition de règlement de la Commission européenne sur l’Intelligence Artificielle datant d'’avril 2021 posant les bases de cette réglementation de l’Union Européenne sur l’Intelligence Artificielle de confiance. Aujourd’hui le texte n’a pas encore été adopté et promulgué, donc ceci est encore entre les mains de l’Union Européenne et des différents pays pour voir comment chaque pays s'y prend avec sujet et comment il va concrètement l’appliquer dans sa législation. Avant une adoption de promulgation de ce règlement qui mènera ensuite deux ans après de cette promulgation à la mise en application concrète du règlement. Si nous faisons le parallèle avec le RGPD qui avait été aussi mis en application en 2018, la loi a déjà été votée deux ans auparavant et cela a laissé ce temps pour les entreprises de se mettre en conformité.
Les 7 exigences essentielles de la réglementation de l’Union Européenne sur l’Intelligence Artificielle de confiance
Nous retrouverons ici les sept exigences essentielles de la réglementation de l'Union Européenne sur l'Intelligence Artificielle de confiance qui est sorti lors de la publication du livre blanc qui peut parfois rappeler celles du RGPD :
- Facteur humain et contrôle humain sur les traitements. Cette exigence spécifique à l’Intelligence Artificielle est considérée comme primordiale pour garantir une Intelligence Artificielle qui soit maîtrisée et de confiance. Par exemple il faudrait éviter qu’un modèle soit incompréhensible pour les personnes qui l’ont développé , de potentiels auditeurs ou pour des personnes concernées qui potentiellement subiraient ou pas de mauvais traitements par rapport à cette Intelligence Artificielle.
- Robustesse technique et sécurité. On entend par ici le fait de garantir qu’on ait un modèle qui soit performant et stable aussi dans le temps et sur lequel on est une totale compréhension, c'est-à-dire éviter les dérives de modèles dans le temps avec différentes techniques qui peuvent être appropriées.
- Respect de la vie privée et gouvernance des données
- Transparence autour du traitement. Ce traitement peut concerner à la fois la partie entreprise et la partie conception des algorithmes, mais qui à son pendant en miroir par rapport aux consommateurs et aux personnes concernées. L’Union Européenne a émis la recommandation que les usagers puissent demander lorsqu’une Intelligence Artificielle a été utilisée. On s’adresse alors à un chatbot sur un site Internet. Il deviendra dans ce cas obligatoire que la personne soit informée que ce soit une Intelligence Artificielle. Cela amène une nouvelle approche et de nouvelles perspectives pour nous en tant que consommateurs sur cette meilleure compréhension des cas d’usages, ainsi que pour nos droits et nos libertés.
- Diversité, non-discrimination et équité
- Bien-être, sociétal et environnemental
- Responsabilités associées au traitement
Les Intelligences Artificielles critiques en première ligne du Règlement européen
Ce règlement de l'Union Européenne a une approche basée sur le management du risque. Il s'agit de vouloir s’assurer que tous les cas d’usages qui sont dits critiques, donc qui peuvent mettre en péril notre sécurité, notre santé ou encore nos libertés, soient véritablement suivies et contrôlées de manière très stricte.
Par exemple, si vous utilisez un podomètre pour compter le nombre de vos pas et différents cas d’usages qui pourraient tourner autour, cela n’aura pas forcément un impact sur votre santé ou sur vos droits, si l’Intelligence Artificielle n’est pas robuste. Pour certains d’autres cas d’usages, de recrutement par exemple, lorsqu’on fait du matching de CV et que l'on souhaite comparer des profils de candidats avec des offres d’emplois, dans ce cas il peut y avoir des conséquences qui peuvent être très discriminantes pour les personnes.
Dans le secteur de l'éducation, si on cite Parcoursup, le fait de pouvoir orienter ou non les étudiants vers des parcours scolaires représente un risque si l’Intelligence Artificielle n’est pas bien modélisée ou si elle présente des dérives dans le temps.
Le secteur de la finance, de la banque et de l'assurance sont tous aussi importants. Ce secteur historiquement est lié à la Data et est plus mature sur les questions d’Intelligence Artificielle, sur lequel il y a déjà des réglementations qui y sont imposées vis-à-vis des risques et du management des risques. Le Règlement Européen vient s’ajuster et s’ajouter à l’existant pour ce type de secteur.
.jpg)
Les risques financiers et réputationnels liés à la non conformité
Il existe des risques financiers et réputationnels liés à cette non mise en conformité pour les entreprises. Le risque réputationnel est ce que l’on peut voir au non-respect du RGPD. Voici des exemples de sanctions :
L'exemple de la sanction de Google datant de décembre 2020 pour 100 millions d’euros ou plus dernièrement pour AG2R LA MONDIALE qui a étoffé d’une amende de 1,75 millions d’euros sur du non respect de certains principes du RGPD, qui ont voit après la mise en application de 2018 qui n’ont pas été respectés encore en 2019 qui été la date de l’audit d’AG2R.
On retrouve ce pendant pour ce futur règlement de l’Union Européenne. Pour le RGPD par exemple, une sanction maximale pouvait atteindre jusqu’à 4% du chiffre d'affaires mondial de l’entreprise ou un forfait de 20 millions d’euros à savoir que c’est le montant le plus élevé qui est pris en compte par la CNIL. Le pendant pour ce règlement sur l’Intelligence Artificielle de confiance est plus élevé et peut atteindre jusqu’à 6% du chiffre d'affaires mondial et jusqu’à un forfait de 30 millions d’euros.
Nous remarquons une nécessité à capitaliser sur ce qui s’est déjà passé pour le RGPD et sur la mise en conformité RGPD. Un bon nombre d’acteurs aujourd’hui ne sont pas encore en conformité au niveau du RGPD. On peut s’attendre à la même chose pour les acteurs qui développent et qui travaillent avec de l’Intelligence Artificielle. Il faut se mettre dès maintenant en mouvement, notamment avec des approches techniques, par exemple de l'’explicabilité des modèles à intégrer à vos projets, d'avoir une approche by design. Dès que vous lancez un projet d’Intelligence Artificielle il faut prendre en compte ces différents aspects comme le contrôle humain.
L’ACPR précise la réglementation pour le secteur de la banque et de l’assurance. Il faut savoir qu’il y a déjà des retombées positives suite à cette publication du livre blanc de l’Union Européenne qui a permis à différents secteurs de s’approprier ces questions autour de l’Intelligence Artificielle de confiance, notamment coter ACPR qui est l’autorité de contrôle prudentiel qui va gérer le secteur banque-assurance et qui a déjà travaillé sur cette question d’Intelligence Artificielle de confiance avec différentes recommandations. Ce document de travail date de juin 2020 et met en avant certains principes comme le traitement adéquat des données, la performance et la stabilité des modèles, donc ce que l’on retrouve dans la robustesse technique ou encore l’explicabilité et ce tout au long du cycle de vie des modèles, que ce soit à l'initiation du développement jusqu’à la production et l’industrialisation.
ACPR (Autorité de contrôle prudentiel et de résolution): Grille de niveau d’explicabilité par typologie de cas d’usages assurantiels
Nous retrouvons du coter de l'ACPR, qui est l'Autorité de contrôle prudentiel et de résolution, une grille qui a été publié par différents niveaux d'explicabilité en fonction de l'audience à laquelle on s'adresse, que ce soit le concepteur ou un utilisateur et ce en fonction du degré de risque. Prenons l'exemple d'un cas d'usage parlant de calcul des ratios de solvabilité. On identifie que l'équipe qui doit valider le modèle est associée un niveau élevée d’explicabilité, ce qui veut dire que ces personnes doivent comprendre l’intégralité du modèle et son fonctionnement propre pour pouvoir valider ou non un modèle. Il faut s’ajuster en fonction de l'audience et ce que l’on peut en ressortir de cette grille de l’ACPR.
Haute Autorité de Santé (HAS) : Grille d’évaluation des dispositifs médicaux embarquant de l’Intelligence Artificielle
La Haute Autorité de Santé s’est emparée de ce sujet et a travaillé avec un ancien collaborateur de Quantmetry sur la mise en place d’un outil qui permet pour chaque nouveau dispositif médical utilisant de l’Intelligence Artificielle, de pouvoir préciser les paramètres à prendre en compte et à préciser avant même de lancer un sujet. Aujourd’hui lorsque des fabricants ou des développeurs veulent se lancer dans l’ Intelligence Artificielle, ils doivent remplir ces grilles d'évaluation avant même d’avoir le feu vert de l’HAS. Cela commence à se diffuser dans différents secteurs, notamment ces secteurs qui sont extrêmement réglementés et on peut s’attendre à ce que cela soit diffusé dans d’autres secteurs progressivement.
Ce qui va changer pour les acteurs du marché
Les prochaines grandes étapes pour les parties prenantes des projets d'Intelligence Artificielle
Quelles sont les prochaines étapes pour les parties prenantes des projets en Intelligence Artificielle ? Nous attendons aujourd'hui les grandes règles au niveau de la France. Quel acteur prendra le contrôle sur l'Intelligence Artificielle ? La CNIL ? Un acteur européen ?
Conclusion
Pour les entreprises, celles-ci doivent anticiper dès à présent cette mise en conformité. Au niveau des régulateurs et des auditeurs, celles-ci doivent se positionner à présent sur ce nouveau marché de l’Intelligence Artificielle, sujet assez nouveau, dont aucuns auditeurs sont spécialisés sur la question. Cela pose pas mal de questions en termes de marché et d’opportunités. Enfin, pour toutes les parties prenantes que ce soit les entreprises ou les personnes concernées, il faut prendre en compte le concept de “Transparency by design”, qui doit être mis au cœur des projets d’IA , que ce soit dès la conception, mais également pour nous en tant que consommateur.
Si vous souhaitez vous former au domaine de l'Intelligence Artificielle, n'hésitez pas à regarder nos formations Data que nous proposons.
