L’Artificial Intelligence Act : entre contrainte et soutien à l’innovation, quelle portée réglementaire pour le texte ?
L’AIA offre une définition relativement ouverte de l’IA et ses catégories sur la base des risques associés. Cependant, l’interprétabilité de certaines notions et les exceptions posent des questions sur le caractère restrictif de la réglementation
Si l’AI Act permet de poser des constats et se positionner sur la réglementation, non pas des techniques, mais des objectifs en priorité, il pose nombreuses interrogations quant à l’applicabilité de ses règles.
Les responsabilités et obligations relatives aux technologies d’IA dans l’AIA offrent une perspective intéressante en insistant sur le rôle de l’humain dans la supervision. Cependant, l’opérationnalisation de cette supervision est un défi en soi.
A l’occasion des discussions sur l’Artificial Intelligence Act (AIA) débutées en avril 2021, la commission européenne vise à définir un cadre réglementaire autour de l’intelligence artificielle pour harmoniser les pratiques, usages et commercialisations de ces technologies en Europe. Les questions relatives à la définition des intelligences artificielles et leur catégorisation en termes des risques associés ont été traitées dans un article précédent. Dans ce texte, nous poursuivons l’analyse de l’AI Act à travers le traitement des sections suivantes : les responsabilités et obligations (section 3), et les stratégies d’innovation (section 4) associées à ces technologies [1].
Enfin dans une perspective de lier l’AIA à la problématique de la donnée, nous développons dans une dernière partie une analyse au sujet de la qualité des données (section 5 du texte). Cette perspective nous semble centrale et n’est que peu développée dans le texte discuté ici ou d’autres que nous présenterons dans cette dernière section. Discuter l’enjeu de la qualité des données revient à discuter la fiabilité et la qualité des algorithmes.
Les responsabilités et obligations
Comme nous l’avons décrit dans notre précédent article, l’AIA propose d’encadrer l’utilisation des IA en considérant les risques associés aux usages, et ce de manière graduelle.
Ainsi, toujours selon l’AIA [1], pour développer et/ou utiliser des IA catégorisées à « haut risque », des obligations techniques et réglementaires s’appliquent. Cela passe par établir des garde-fous vis-à-vis des biais potentiels qui pourraient révéler un ensemble de données :
Une première étape est une évaluation de conformité. Pour chaque secteur d’emploi d’une technologie d’IA, le superviseur de cette évaluation sera le superviseur du secteur. Par exemple, une IA à haut risque utilisée dans le secteur de la finance devra s’en référer aux autorités financières compétentes. Pour celles ne rentrant dans aucun secteur prédéfini, les développeurs ou fournisseurs devront produire leur propre évaluation de conformité.
Dans ces critères de conformité on trouve :
- Créer et maintenir un système de gestion des risques pour l’ensemble du cycle de vie du système
- Tester le système pour identifier les risques et déterminer les contremesures appropriées
- Assurer que le système fonctionne de manière cohérente en référence à l’objectif énoncé, tout en quantifiant les probabilités associées aux résultats obtenus
- Établir des contrôles appropriés de gouvernance des données que ce soient les données d’entrainement, de validation ou de test de l’algorithme
- Fournir une documentation technique détaillée sur l’architecture du système, de la conception algorithmique et des spécifications du modèle sous-jacent
- Assurer un enregistrement automatique et continu des processus durant l’utilisation de l’algorithme
- Assurer une transparence suffisante pour permettre aux utilisateurs d’interpréter les résultats produits par l’algorithme
- Assurer une surveillance humaine afin de prévenir les risques pour la santé et la sécurité ou les droits fondamentaux
La plupart des obligations réglementaires de la loi incombent le fournisseur (i.e. la partie qui met le système sur le marché). Les distributeurs, utilisateurs et autres tiers sont soumis à ces obligations s’ils mettent sur le marché un système d’IA à haut risque en leur nom, ou s’ils y apportent des modifications substantielles. La supervision des IA à haut risque est, par défaut, continue. Fournir des informations incomplètes ou incorrectes aux organismes de contrôle est passible d’une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires.
Dans sa formulation actuelle l’AIA suppose que les autorités de conformité acquièrent ou développent les compétences nécessaires à la supervision et au contrôle de ces technologies, que ce soit en matière de sciences computationnelles ou de sciences des données. En effet l’analyse des algorithmes, même avec une documentation claire, requiert un niveau d’expertise important. Cela implique donc de pouvoir développer une activité attractive pour attirer les individus disposant de ces expertises dans ces organismes de contrôle. De plus, on peut considérer que le nombre de solutions algorithmiques produites ou exploitées par an dans l’Union Européenne et dans le monde est en augmentation [2], ce qui implique que même en considérant une proportion faible d’IA à haut risque, le besoin humain de contrôle et de supervision pour faire respecter l’AIA va croître dans les années à venir, ce qui pose des questions en termes de stratégies de formation et d’attractivité .
De plus la procédure semble actuellement plutôt interne et manque de transparence pour le public. En effet, l’expression « transparence suffisante » reste floue, et l’identité définissant si cette transparence est « suffisante » ou non demeure indéterminée. Si cette fonction est dévolue aux autorités nationales de surveillance cela pose des questions concernant à l’accès au code de système d’un pays de l’UE dans un autre pays de l’UE, puisque ceux-ci sont aussi garants des droits de propriété intellectuelle et des informations commerciales confidentielles.
En conclusion, les responsabilités et obligations relatives aux technologies d’IA dans l’AIA offrent une perspective intéressante à la fois sur les données et les techniques en insistant sur le rôle de l’humain dans la supervision. Cependant, organiser cette supervision est un défi en soi car elle implique la mise en place d’unités de contrôle compétentes sur des sujets nécessitant une expertise qu’il reste à développer à grande échelle.
Les stratégies d’innovation
Articuler la régulation tout en permettant l’innovation est un des axes centraux de l’AIA notamment au travers des articles 53, 54 et 55. On pourrait définir deux dimensions principales :
- L’établissement de bacs à sable réglementaires
- Le soutien aux « petits fournisseurs et utilisateurs »
Les bacs à sable sont des contextes expérimentaux permettant l’innovation dans un cadre contrôlé pour une durée limitée. L’objectif est de « réduire la charge réglementaire pesant sur les PME et les start-ups ». Ces bacs à sable supposent un contrôle et une compréhension des projets par les autorités compétentes pour envisager les risques tout en permettant d’accéder aux marchés de manière facilitée.
Ensuite pour les petits fournisseurs et utilisateurs, des mesures visent à accompagner la mise en conformité aux nouvelles règles notamment en ce qui concerne les IA à hauts risques. Les bacs à sable sont une des mesures visant principalement les PME.
Comme souligné dans le texte, l’enjeu de la donnée est crucial, dès lors dans le cadre de l’innovation la qualité de la donnée est mise en avant pour assurer « des mécanismes et des services de confiance pour la réutilisation, le partage et la mise en commun des données essentielles au développement de modèles d’IA ». Cela suppose bien évidemment, en France, une conformité avec les RGPD et l’aval par la CNIL des modes de gestion des données.
Comme mentionné dans notre précédent article, cette dimension d’innovation illustre le numéro d’équilibriste que doit jouer la commission européenne. Ainsi, le texte précise clairement que la proposition « impose certaines restrictions à la liberté d’entreprise et à la liberté des arts et des sciences pour des raisons impérieuses d’intérêt général liées à la santé, à la sécurité, à la protection des consommateurs et à la protection d’autres droits fondamentaux (« innovation responsable ») dans le contexte du développement et de l’utilisation de technologies d’IA à haut risque ». Mais « dans le même temps, les dispositions du règlement ne sont pas excessivement contraignantes et laissent aux États membres la possibilité d’agir à divers niveaux pour les éléments qui ne compromettent pas les objectifs de l’initiative, en particulier l’organisation interne du système de surveillance du marché et l’adoption de mesures visant à favoriser l’innovation ». Si l’on peut saluer l’effort de conciliation, on peut s’interroger sur ce qu’il restera du texte une fois en application.
Les bacs à sable offrent des possibilités d’étendre les limites discutées dans les sections précédentes. Si, sous le prisme de l’innovation, ces extensions peuvent permettre d’expérimenter de nouvelles technologies, on peut s’interroger sur la nature de ces innovations quand le texte cite comme domaines d’intérêts publics cibles pour ces bacs à sable :
- La prévention et la détection d’infractions pénales
- La sécurité publique et la santé publique
- La protection et l’amélioration de la qualité de l’environnement
Encore une fois, on peut s’interroger sur le potentiel que ces bacs à sable technologiques pourraient avoir à rendre plus acceptable l’orientation sécuritaire des technologies, et ainsi repousser les limites de la surveillance et du contrôle. Ces interrogations s’alignent sur des pratiques actuelles qui pointent dans cette direction [3-5].
On pourra noter l’emphase faite sur les PME dans une volonté de favoriser l’innovation européenne. La question est donc maintenant de savoir comment cette proposition se confrontera à l’opposition actuelle entre les GAFAM et les entreprises européennes. En effet on peut interroger dans quelle mesure des dispositions sont prises afin de protéger concrètement les acteurs européens de leurs homologues internationaux, principalement américains.
Aller plus loin en interrogeant la qualité des données
Enfin une question se pose quant à déterminer ce qu’est une donnée de qualité et comment la mesurer. Si nous discutons cette problématique en conclusion c’est parce qu’elle est intrinsèque à l’ensemble des sujets développés précédemment. Les ensembles de données alimente les modèles d’IA comme l’essence (ou l’électricité, selon le cas) alimentent les voitures.
Des modèles d’évaluation de la qualité des données ont été proposés avec des dimensions comme [6] :
Aujourd’hui, plus de 50 % de toutes les bases de données utilisées sont introduites par 12 institutions principalement occidentales, ce qui interroge sur la représentativité des données et les biais algorithmiques [7]. Pour exemple, ImageNet et Open Images sont deux ensembles de données d’images disponibles publiquement de Stanford et Google. Ces deux banques sont fortement centrées sur les États-Unis et l’euro. Actuellement, que ce soit dans l’AIA (ou le Data Act), il n’est que fait mention de ces biais sans définir des frameworks pour garantir la diversité et la qualité des données exploitées.
Ainsi, a minima, définir des règles de présentation de la nature des données et de leur méthode d’acquisition devrait être mis en avant au moins autant que le code derrière l’algorithme. Des chercheurs plaident pour des approches responsables non seulement pour collecter et annoter les données, mais aussi pour documenter leurs ensembles de données, les maintenir et formuler les problèmes pour lesquels leurs ensembles de données sont conçus. Dans cet objectif on pourrait considérer de récompenser et soutenir la création de nouveaux ensembles de données diversifiés contextualisés pour les tâches à accomplir.
***
L’Artificial Intelligence Act est un défi pour la commission européenne tant le texte articule des problématiques nombreuses autour des algorithmes. Tirés par des objectifs parfois antagonistes, les compromis tendent à vider le texte d’une partie de sa substance mais il pourrait en être difficilement autrement dans nos organisations et contexte concurrentiel. Ainsi, on pourrait résumer ce texte à une bordure de sécurité pour l’innovation, à défaut d’en définir un cadre pour la consommation d’énergie des algorithmes et une prise de partie sur la surveillance et la sécurisation, notamment si l’on considère la commercialisation à des pays hors Union Européenne de solutions technologiques considérées comme “inacceptables” dans l’Union.
Le texte étant intrinsèquement sujet à évolution, des changements sont certainement à attendre après confrontation à l’usage. En effet, il est à mentionner que le projet prévoit la création d’un « Conseil européen de l’intelligence artificielle », composé d’un représentant de chacun des 27 pays de l’UE et d’un représentant de la Commission, ainsi que du Contrôleur européen de la protection des données. Le rôle de ce conseil sera de faire des recommandations sur les pratiques interdites et d’établir la liste des systèmes à haut risque de manière continue, ce qui implique une évolutivité du texte.
Références
[1] – Commission Européenne. Règlement du parlement européen et du conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union. (2021).
[2] – European Patent Office. Artificial intelligence. (2020).
[3] – DataJust : violer la loi sous couvert d’expérimentation – La Quadrature du Net.
[4] – Orléans : le retour des mouchards – La Quadrature du Net.
[5] – Surveillance sonore : LQDN attaque l’expérimentation d’Orléans – La Quadrature du Net. .
[6] – Pipino, L. L., Lee, Y. W. & Wang, R. Y. Data Quality Assessment. Communications of the ACM 45, 211–218 (2002).
[7] – Koch, B. et al. Reduced, Reused and Recycled: The Life of a Dataset in Machine Learning Research.