Tribune - Accélérons les certifications et labélisations de l’IA responsable
Tribune publiée le 13 octobre 2022 sur IT for Business
Entre innovations transformatrices et dérives dangereuses, l’IA doit impérativement perdre son côté boîte noire et s’appuyer sur des certifications voire des labels pour établir la confiance sans laquelle elle ne pourra s’imposer à long terme.
Par Gwendal Bihan, Président & CTO d’Axionable
et Eric Boniface, Directeur de Labelia Labs
L’Intelligence Artificielle (IA) présente un paradoxe pour notre société : les techniques d’IA ouvrent la perspective de nouvelles innovations et avancées concrètes pour faire face à certains grands défis sociétaux et environnementaux (par exemple dans les domaines de la santé, des risques climatiques, des fake news…) mais font naître également des risques nouveaux qui peuvent amener à des dérives insoutenables. Pour y faire face, et pour permettre leur développement utile, les systèmes d’IA se doivent d’être responsables, sobres et de confiance.
Revenons sur deux cas de biais emblématiques. Le logiciel COMPAS, conçu comme une aide à la décision des juges au sujet de la probabilité qu’un accusé devienne récidiviste, et encore utilisé aujourd’hui dans certaines juridictions des États-Unis. Des études universitaires ont démontré les biais flagrants envers certaines populations, leur attribuant systématiquement un risque plus élevé. Citons aussi l’Apple Card, qui dès son lancement fut accusée de biais sexiste suite à des remontées de cas où le service offrait aux hommes un plafond de dépenses 20 fois supérieure à celle des femmes partageant leur compte joint !
À l’inverse de ces exemples choquants, une étude publiée dans Nature révèle que l’IA, encadrée par une vision réglementaire et éthique, peut aider à atteindre 79% des objectifs du programme de développement durable de l’ONU.
Le développement et le déploiement de systèmes d’IA dans tous les secteurs et son impact potentiel sur les citoyens et citoyennes sonnent l’alerte : il est impératif de résoudre la tension croissante entre le potentiel de ces techniques et les craintes légitimes qu’elles suscitent. Les organisations doivent ainsi se saisir du sujet sans plus attendre.
À l’image de la déclaration de Montréal, du rapport Villani sur l’IA en 2018 et plus récemment du projet de règlement européen « AI Act » qui devrait entrer en vigueur d’ici 2025, la littérature est abondante sur le sujet et des éléments de structuration des exigences ont déjà émergés : non-discrimination, transparence, robustesse, traçabilité, contrôle humain, gouvernance…
Face à ces enjeux, il nous semble que trois réflexes s’imposent : intégrer une gestion des risques de bout en bout des produits et systèmes d’IA (pas uniquement des modèles d’IA), considérer les enjeux sociaux et environnementaux « par conception » au sein des projets d’IA. Enfin, s’appuyer sur des codes de conduite de référence, et des certifications et labélisations portées par des tiers de confiance afin de se maintenir à l’état de l’art.
Cela tombe bien, la France est en pointe dans ce domaine ! Les exemples les plus parlants sont de notre point de vue la certification des processus de conception d’IA du LNE, le label IA responsable et de confiance de Labelia Labs, et l’effort normatif entamé par l’AFNOR.
D’un contexte d’innovation favorable à un encadrement contraignant
Si la logique de certification de l’IA doit devenir un prérequis, c’est d’abord pour anticiper la réglementation inévitablement en marche. Car la Commission Européenne souhaite faire de l’AI Act un marqueur politique des valeurs de l’Union (droit de l’homme notamment) mais aussi économique en termes d’harmonisation du marché intérieur. Quant aux entreprises, elles souhaitent éviter une seconde « expérience RGPD ». S’il faut se féliciter de cette réglementation, nombre d’entreprises regrettent de ne pas avoir davantage anticipé son entrée en vigueur en travaillant plus en amont la conformité de leur processus, systèmes et la formation de leurs équipes. Elles se doivent donc, cette fois-ci, d‘anticiper ce « RGPD de l’IA ».
Alors que deux tiers des salarié·es français·es se sentent mal informés et veulent plus de sensibilisation à l’IA (Impact AI 2020), les organisations doivent anticiper les sujets d’acculturation et de formation aux enjeux et aux pratiques de l’IA responsable. Et tandis que 55 % des organisations surestiment leur maturité en termes d’IA responsable et que 78% se disent mal équipées pour garantir l’éthique des systèmes d’IA (BCG 2021), elles devront nécessairement mener des audits et concevoir des plans d’action pour progresser.
Dans cette voie qui se dessine, la certification apporte aux entreprises une preuve opposable de leur engagement. Celle-ci s’adressera aussi bien à leurs talents et contribuera à les fidéliser et en attirer de nouveaux. Mais aussi à gagner la confiance des clients, des partenaires et des prospects. C’est une réponse immédiatement actionnable, adaptée à la taille, à l’industrie et à la culture éthique existante de l’entreprise.
S’engager dans un audit est certes plus contraignant que la signature d’une charte mais initie une démarche vertueuse qui amène à optimiser les méthodes utilisées et les processus internes associés. Cela peut même amener à une augmentation significative d’efficacité en interne !
Enfin, généraliser l’audit de l’IA par et pour des entreprises françaises contribuera à faire de la France, et avec elle de l’Europe, une référence mondiale en la matière.
Inciter sans contraindre
Il s’agit, à ce stade et dans l’attente du règlement européen AI Act, d’encourager les démarches volontaires et pratiques vertueuses. Pour inciter les entreprises à se soumettre à un label, les référentiels doivent s’adapter aux évolutions des réglementations en vigueur et surtout répondre à la réalité opérationnelle des entreprises.
Plusieurs travaux dans ce domaines convergent vers une structuration en 7 piliers de l’IA de confiance : contrôle humain, robustesse technique et sécurité, respect de la vie privée et gouvernance des données, transparence (traçabilité, explicabilité), diversité, non-discrimination et équité, bien-être environnemental et sociétal et enfin gouvernance adaptée avec toutes les parties prenantes.
Dans un cadre défini qui s’adapte au contexte du demandeur, ces piliers définissent un socle commun agrémenté de niveaux de maturité.
Pour susciter l’adhésion, le cheminement d’un processus de certification devra être co-construit avec les industriels et prestataires. Il donnera des clés de compréhension et d’actions, au travers de références et d’outils concrets que les entreprises peuvent s’approprier et mettre en œuvre facilement.
Enfin, il doit favoriser les collaborations pour élaborer les outils techniques de référence (par exemple en encourageant les approches de logiciels libres), et l’ouverture aux suggestions pour constamment rester à l’état de l’art et en phase avec les nouveaux outils du marché.
Il incombe également aux entreprises de trouver le bon équilibre entre accessibilité et exigence des référentiels qui leur sont proposés.
Plusieurs référentiels sont librement accessibles. Une entreprise peut donc s’y référer et mener sa “mise aux normes” en autonomie, mais sans preuve opposable. L’étape suivante consiste à se rapprocher d’un label reconnu et opposable mais néanmoins facile d’accès en termes de processus, temps et production à allouer (le label « IA responsable et de confiance » de Labelia Labs par exemple). Enfin, le dernier niveau correspond à la certification qui s’appuie sur des normes plus strictes, plus exigeant dans son process et dans les preuves demandées mais qui garantit une opposabilité forte… (Certification des Processus du LNE par exemple).
Aucune de ces initiatives n’est parfaite ou exhaustive et elles ne demandent pas le même niveau d’exigence. Elles sont néanmoins complémentaires car n’évaluent pas exactement les mêmes choses et s’adressent ainsi à tous les types d’entreprises.
Au-delà de cette offre « made in France » qui a le mérite d’exister et de se renforcer, le point clé est d’anticiper ! Les organisations doivent se saisir du sujet maintenant, en amont de la législation, avant que cela ne soit trop coûteux en temps et en investissement. C’est aussi le meilleur moyen de ne pas revivre le traumatisme du RGPD…
A date, trois entreprises sont certifiées LNE et/ou labélisées Labelia IA (Axionable, MAIF, Artefact), 10 à 20 mois après la disponibilité des référentiels… il devient donc urgent pour les acteurs de l’IA d’accélérer la cadence à l’heure où le compte à rebours de l’AI Act est lancé.