Chaouki BoutharouiteChargé de la gouvernance IA et du Thought Leadership chez AXA GETD (2018-2022)
30 janvier 2022
9 minutes
Avec l’accélération de la digitalisation et les promesses d’un développement rapide de l’Intelligence Artificielle (IA), la question de savoir comment réguler l’adoption et l’utilisation de l’IA s’est révélée de plus en plus pressante ces dernières années. Différentes juridictions à travers le monde ont avancé diverses initiatives, depuis les rapports d’experts jusqu’aux recommandations en termes d’encadrement et de politique publique. Dans le même temps, un nombre grandissant de décideurs, des experts du domaine, des chercheurs, des chefs d’entreprise ou des hommes ou femmes politiques ont débattu des meilleures pratiques à mettre en œuvre. Certains d’entre eux estiment qu’une réelle stratégie de régulation de l’IA pourrait contribuer à son déploiement et à son essor, tout en prévenant les risques liés à cette technologie. Pourtant, un examen rationnel des usages multiples de l’IA révèle la complexité de ce sujet et préfigure les nombreux défis à venir. Il s’agirait d’établir des perspectives réalistes à partir du cadre réglementaire existant, une des clefs pour une approche pertinente de la régulation.
Pour commencer personne, même parmi les plus fervents supporters de l’IA, ne dénie la nécessité d’un encadrement réglementaire de l’IA. La raison en est simple. L’Intelligence artificielle fait d’ores et déjà partie de notre quotidien. Ses usages vont du secteur de l’automobile au diagnostic médical ou au contrôle des décisions financières, et semblent potentiellement illimités. Et en raison de la globalisation, une faille dans un système d’IA à grande échelle pourrait potentiellement entraîner des préjudices pour des millions de gens. A mesure que les prédictions fondées sur des algorithmes se généralisent au sein des entreprises dans de nombreux secteurs, le besoin d’une IA fiable devient de plus en plus pressant. Et parallèlement, des questions juridiques commencent à se poser – surtout si l’on tient compte du fait que les systèmes d’IA sont enclins à la partialité. Jusqu’à présent, l’utilisation de l’IA n’est régie par aucun cadre juridique, mais plutôt par l’ensemble des éléments épars liés à l’IA dans des lois existantes regardant la protection des données, la concurrence, la protection du consommateur ou la responsabilité. Ce dernier sujet constitue un véritable enjeu, puisque l’on demande parfois aux systèmes d’IA de prendre des décisions par eux-mêmes. La responsabilité peut être difficile à établir, par exemple dans le cas d’un accident causé par une voiture sans conducteur.
Dans ce contexte, quelle forme pourrait prendre une règlementation de l’IA ? Les autorités réglementaires disposent généralement de toute une gamme de solutions, allant de recommandations non contraignantes à des politiques plus strictes. Quelle serait l’approche la plus adaptée à l’IA : un accord sur un ensemble de principes théoriques clés, ou la mise en œuvre d’un cadre réglementaire global ? Dans quelle mesure la régulation doit-elle être contraignante, quels doivent être sa portée et son niveau de concrétisation ? On pourrait penser que le Règlement général sur la protection des données (RGPD) établi par l’UE en 2018 a ouvert la voie à la régulation des technologies digitales et de leurs failles potentielles. Pourtant, la nature même de l’IA rend le problème plus compliqué.
Même si elle repose sur des modèles extrêmement sophistiqués et qu’elle est difficile à appréhender pour les non-experts, l’IA reste finalement un outil. Quand il s’agit d’imaginer des politiques en matière d’IA, parle-t-on de réglementer la technologie elle-même, ses objectifs ou ses applications spécifiques ? Envisager l’IA comme une simple technologie au lieu de considérer la variété de ses applications possibles pourrait nous confiner à une approche réductionniste, ce qui serait justement le pire des écueils.
Même si l’Intelligence artificielle fait l’objet de recherches depuis le milieu du XXème siècle (le terme lui-même a été inventé au cours de l’été 1956, lors de la conférence de Dartmouth), elle reste un champ de recherche et d’application relativement nouveau. La technologie elle-même évolue rapidement, avec de nouvelles technologies mises en œuvre dans les entreprises et portées à grande échelle presque quotidiennement. Dans ce contexte, la capacité des organismes de règlementation à appréhender des changements aussi rapides – ainsi qu’à déterminer des règles et les faire appliquer – devient de plus en plus problématique. Ce paysage en mutation permanente, combiné au caractère très pointu de la technologie elle-même et à son impact massif sur les utilisateurs à l’échelle mondiale, en font un sujet unique par sa complexité.
A cet égard, on peut considérer combien la gouvernance, comprise comme un ensemble de règles techniques, peut se révéler difficile à mettre en œuvre, et combien l’évolution rapide d’une technologie peut compliquer la tâche aux législateurs chargés de faire appliquer les lois et d’en suivre les derniers développements – ou même d’ouvrir des brèches dans la règlementation. Ces caractéristiques appellent plutôt une approche politique souple, avec des lignes directrices visant à encourager une utilisation responsable de l’IA et une gouvernance raisonnée des données.
Jusqu’ici, plusieurs parties prenantes ont commencé à étudier la question et à proposer des règlementations aux niveaux international (Commission européenne, OCDE…) et national (Singapour, Royaume-Uni, États-Unis, Chine…). L’absence d’un chef de file mondial en matière de politique d’IA jusqu’à présent est en soi un challenge, puisque de multiples initiatives sont en train de voir le jour, d’où une divergence opérationnelle et des problèmes de standardisation à l’échelle mondiale.
A travers des initiatives comme le projet de règlement Artificial Intelligence Act
publié en avril 2021, l’Union européenne adopte une approche fondée sur le risque, selon laquelle les usages de l’IA sont classés en quatre catégories en fonction des risques qu’ils représentent pour la santé des citoyens de l’Union, leur sécurité ou leurs droits fondamentaux : les applications présentant un risque minime ou nul, les applications soumises à des exigence de transparence spécifiques, les systèmes d’IA à haut risque qui doivent être transparents, traçables et garantir une surveillance humaine, et les applications représentant des risques inacceptables, qui sont interdites. Bien que la proposition doive encore être revue par les co-législateurs, elle pourrait entraîner de lourdes sanctions (jusqu’à 6 % du chiffre d’affaire annuel mondial d’une entreprise).
En comparaison, les États-Unis et la Chine semblent plus réticents à imposer des obligations légales. L’approche américaine est peut-être bien résumée par Eric Schmidt, président de la Commission de sécurité nationale américaine sur l’IA et ancien CEO de Google, qui a déclaré en 2021 que l’avenir de l’IA ne sera pas construit par des règlementations mais par des investissements
. La White House Office of Management and Budget’s Guidance for Regulation of AI Applications, ainsi que les AI Principles on Artificial Intelligence, adoptés en 2020 par la NAIC (National Association of Insurance Commissioners), constituent un ensemble de principes directeurs de haut niveau qui n’introduisent pas d’obligations strictes afin de ne pas étouffer l’innovation.
Singapour présente une alternative intéressante. Lancée par l’Autorité monétaire de Singapour (MAS), l’initiative Veritas a pour but de permettre aux institutions financières d’évaluer leurs solutions fondées sur l’IA à l’aune des principes d’équité, d’éthique, de responsabilité et de transparence. Sa philosophie consiste à fournir aux entreprises un ensemble de directives claires et à exercer un contrôle tout en limitant au maximum les sanctions potentielles.
Ces approches très diverses illustrent les différentes finalités assignées à la règlementation. Alors que certains pays, comme la Chine ou les États-Unis, mettent l’accent sur l’accélération de l’innovation et la compétitivité, d’autres considèrent avant tout la règlementation comme un moyen d’assurer la protection des consommateurs et des droits de l’homme. Ce qui pose une question : la règlementation de l’IA est-elle en définitive un problème de technologie ou un problème de valeurs ? Trouver un équilibre entre l’atténuation des risques - par la règlementation et la stimulation de l’innovation - et la création d’un écosystème de confiance sera essentiel pour déterminer le développement du domaine de l’IA et permettre à la fois la réussite économique et le progrès social.
L’IA peut potentiellement transformer la vie des gens pour le meilleur en révolutionnant tous les secteurs économiques et en créant des gains de productivité significatifs. Mais ce potentiel ne sera exploité que si les acteurs technologiques, les experts de l’industrie, les chercheurs et les organismes de régulation s’accordent sur un cadre commun et une feuille de route pertinente. Oui, réglementer l’IA est possible – et nécessaire. Pour être efficace, une telle régulation devra se plier à certains principes : mettre l’accent sur l’éthique et la protection des consommateurs plutôt que sur une approche technique, fonctionner de manière agile et éviter les directives uniques – et avant tout, elle devra être centrée sur l’humain.
Même si le sujet des données personnelles est de nature sensiblement différente, le succès relatif de la mise en place du RGPD et ses répercussions en dehors de son territoire légal suggèrent qu’un cadre réglementaire fonctionnel en matière d’IA pourrait émerger en Europe au cours des3 à 5 prochaines années. Il est important de garder à l’esprit que ce domaine n’en est qu’à ses premiers pas, et que de nombreuses questions demeurent à ce stade concernant la meilleure approche réglementaire. Dans tous les cas, trouver un équilibre entre la nécessité d’atténuer les risques et la volonté d’encourager l’innovation sera crucial pour le développement futur de l’IA, et cela devra se retrouver dans la règlementation. D’importants défis devront être relevés d’ici-là, comme celui d’une collaboration entre les organismes de règlementation du monde entier autour d’une feuille de route commune.
Chief Data & AI Officer, l’UnionBank, Philippines
R : En fin de compte, l’IA est un catalyseur technologique, c’est pourquoi il me paraît très important de contextualiser le terme de règlementation de l’IA
. L’idée de réglementer l’IA fait un peu penser à l’idée de réglementer des processeurs ou le C++. Bien sûr, il existe des domaines où la règlementation est nécessaire. Mais le plus important à mon sens, c’est de réglementer les contextes d’utilisation de l’IA. La barre est peut-être plus haute dans des secteurs comme l’industrie de l’armement, l’économie ou encore les véhicules autonomes. Ouvrir le débat de la règlementation de l’IA amène plusieurs questions : comment procéder ? Faut-il réglementer les algorithmes ? Tout cela est encore très opaque, c’est pourquoi je pense que nous devons rester extrêmement prudents.
R : Je pense surtout aux moments où les choses ont mal tourné. Personne ne souhaite que les systèmes d’IA entraînent des conséquences négatives, et l’on devrait l’éviter autant que possible. Mais chaque échec qu’on a pu observer – comme lorsqu’on a remarqué pour la première fois qu’il existait un delta entre hommes et femmes en termes de plafond de crédit – a apporté des améliorations. Ces événements ont tendance à créer un certain choc dans nos systèmes de présuppositions. Cela peut avoir un effet d’entraînement sur la Fed, sur la SEC (Commission de sécurité et d’échanges), et finalement aboutir à une consultation globale avec tel ou tel secteur. Par exemple, vous n’êtes pas autorisé à collecter des données sensibles telles que le genre, la religion ou l'origine, afin d’atténuer tout désavantage pour ces groupes sensibles. Cependant, dans de nombreux cas, la collecte de ces informations est la seule manière de prévenir le risque qu’un désavantage advienne concernant ces groupes. Je ne pense pas que cette prise de conscience aurait eu lieu si nous n’avions pas été confrontés à de telles situations réelles.
R : Singapour occupe une situation unique, qui lui permet d’accueillir des entreprises du monde entier pour faire des affaires. Elle est capable d’agir en tant que courtier entre différentes parties et a bâti un écosystème qui va dans ce sens. L’approche principale consiste à établir des principes clés pour aider les entreprises dans la voie de l’innovation, tout en s’alignant avec les exigences réglementaires existantes. Le rapport 2018 de l’Autorité monétaire de Singapour en matière d’équité, d’éthique, de responsabilité et de transparence (FEAT), qui a formulé des principes de base concernant l’adoption de l’IA par le secteur financier, est un bon exemple de cette approche.
La version française est une traduction de l’article original en anglais, à des fins informatives exclusivement. En cas de divergences, l’article original en anglais prévaudra.
Sir David Hardoon
Chief Data & AI Officer, l’UnionBank, Philippines