Au cours des 10 dernière années, l’intelligence artificielle s’est imposée comme la 4^e révolution technologique de notre époque. Aujourd’hui, elle est un levier stratégique pour les entreprises, puisque 44% d’entre elles ont déjà investi dans l’IA et 9 sur 10 d’entre elles ont inclus des projets d’IA dans leur trajectoire de développement (source : NewVantage).

Aux prémices de l’intégration de l’IA dans les processus métiers/stratégies d’entreprise, se trouvent les start-up – aujourd’hui, on compte en France 500 start-up développant des solutions d’IA. En s’appuyant sur des chercheurs et laboratoires, elles ont beaucoup innové sur ces usages en se concentrant sur la disruption des process. Pendant plusieurs années, les grandes entreprises ont ainsi pu avoir un regard privilégié sur les avancées de cette technologie – cependant, si ce modèle réduit le risque pour les entreprises, il augmente le time-to-market de solutions pour le métier.

Depuis quelques années, ce modèle de développement est en train de changer. L’évolution des systèmes cloud, des calculs distribués et l’avènement des AI platforms – comme Vertex AI, Databricks ou Dataiku par exemple – facilite le développement, le déploiement et la maintenance de solutions d’IA. Il devient aujourd’hui simple de passer à l’échelle la production d’applications IA et donc de développer en interne des solutions sur-mesure métiers avec des équipes spécialisées et restreintes.

Cela change le paradigme de l’application IA : elle n’est plus un sujet de R&D – technologie différenciante sur le marché – mais devient un produit développé par les métiers. Les enjeux métiers et la stratégie de l’entreprise s’alignent alors sur la production d’applications IA : nous entrons dans le modèle des entreprises AI Driven.

Plusieurs questions se posent alors sous différents aspects :

• De sécurité : l’AI Driven est la continuité du Data Driven, puisqu’il s’agit de prendre des décisions à partir des données analysées par des outils d’IA. Dans ce cadre, la question de l’explicabilité de l’IA se pose rapidement. Comment comprendre une décision de l’IA ? Comment la rendre transparente afin qu’elle puisse être sûre ? ;

• De responsabilité environnementale : les calculs d’IA sont aujourd’hui très consommateurs en énergie. Dans l’inclination qu’on les entreprises pour réduire leur impact carbone, constatable par exemple au travers du reporting ESG, la mise à l’échelle des applications d’IA soulève une seconde question d’une IA responsable et écologique ;

• D’éthique : quand des prévisions annoncent qu’en 2025, 90% des messages marketing passeront par des outils d’IA pour optimiser les campagnes en qualifiant plus précisément les cibles, une troisième question se pose sur l’impact social positif des solutions d’IA ;

• D’économie : le développement de l’IA relève aussi d’enjeux économiques internationaux. La sous-exploitation du potentiel de l’IA et des applications développées par les entreprises pourrait faire perdre un avantage concurrentiel à ces dernières et mener ainsi à une stagnation économique. C’est pour cela que la France a investi 2,22 milliards d’euros dans le plan France 2030, avec l’objectif ambitieux de capter 15% du marché mondiale sur l’IA embarquée.

Pour adresser ces problématiques et piloter l’arbitrage de l’IA au sein de notre société, la Commission Européenne a proposé en avril 2021 un cadre réglementaire pour les applications d’intelligence artificielle en Europe : l’« AI ACT ».

Il vise à classer et analyser les risques directs ou indirects présents pour les utilisateurs en veillant à ce que les systèmes d’IA utilisés au sein de l’UE soient sûrs, transparents, traçables, non-discriminatoires et respectueux de l’environnement. Le 14 juin, les députés ont adopté une position sur le cadre de la loi ; un accord devrait être trouvé d’ici décembre 2023.

Quelles sont les projets visés dans cette analyse de risque ?

L’analyse de risque doit être appliquée à des solutions d’IA qui entrent dans deux catégories.

La première concerne les « risques inacceptables ». Elle comprend les cas d’utilisation qui implique un danger pour les individus ou la société. Cela inclut :

• La manipulation cognitivo-comportementale de personnes vulnérables : par exemple, l’usage de l’IA à l’intérieur de jouets pour enfants ;

• Le score social basé sur des caractéristiques personnelles : par exemple, la validation d’une attribution de prêt selon un comportement social ;

• La reconnaissance faciale en temps réel à distance : auprès d’individus lambdas dans une gare ou un centre commercial par exemple. Il existe une exception dans le cadre d’enquêtes criminelles majeures, sous l’approbation d’un tribunal.

Toutes les applications se trouvant dans cet ensemble de risque sont interdites.

La seconde catégorie englobe les cas d’usage représentant un « risque élevé » pour les droits fondamentaux ou la sécurité. Ils sont répartis en deux ensembles.

Le premier, l’IA appliquée aux produits relevant de la sécurité des individus : jouets, aviation, voitures, dispositifs médicaux ou ascenseurs, par exemple. Les entreprises qui développent des produits d’IA dans ces domaines, que ce soit dans le processus de recherche, de développement ou de production, devront justifier d’une analyse de risque et d’une traçabilité pour chaque solution développée.

Le second, l’usage de l’IA appliquée aux domaines ci-dessous devra être référencé et répondre aux aspects réglementaires précédemment cités :

• L’identification biométrique et la catégorisation des personnes physiques.

• La gestion et l’exploitation des infrastructures critiques

• L’éducation et la formation professionnelle

• L’emploi, la gestion des travailleurs et l’accès au travail indépendant

• L’accès et la jouissance des services privés essentiels et des services et avantages publics

• Les forces de l’ordre

• La gestion de la migration, de l’asile et du contrôle des frontières

• L’aide à l’interprétation juridique et à l’application de la loi.

Le reste des applications rentreront dans la catégorie des risques limités, signifiant que tout ce qui est généré par une IA doit être notifié à son utilisateur.  

Un règlement s’applique spécialement aux applications utilisant de l’IA générative, comme ChatGPT ou MidJourney. Les modèles devront être configurés de sorte à ne pas générer de contenu illégal ou publier des données protégées par le droit d’auteur.

Comment se préparer à la législation sur l’IA ?

Mettre en place un système réglementaire peut être long et couteux, surtout quand il s’agit de l’appliquer à des solutions d’intelligence artificielle dont la documentation et l’historique n’est pas à jour. Afin d’utiliser la structure de l’AI ACT comme une opportunité plutôt que comme une contrainte, il est important de construire dès maintenant et progressivement un système qui répond aux attentes de la réglementation.

 La collaboration sans couture entre les parties actives du projet de développement de la solution IA est une première piste à aborder. Elle concerne plusieurs parties prenantes :

• Tout d’abord, la stratégie venant du pôle digital ou de la direction donnera l’impulsion et la direction pour atteindre le but défini. Elle peut s’aider d’un comité pour évaluer l’éthique des projets concernés, en accord avec les métiers ;

• Ensuite, ceux qui développe la solution, qui se trouve à la limite entre la DSI et le data/digital office. Leur but est de s’assurer que toutes les guidelines techniques du projet répondent à l’explicabilité et à la transparence attendue par la règlementation. Ils sont les garants de la documentation et de l’évolution du projet qui, développé avec des méthodologies agiles, peut le pivoter au fur et à mesure de l’implémentation ;

• Enfin, la partie réglementaire qui a la responsabilité de valider la présence des livrables et de relancer les métiers si besoin.

La réussite de cette collaboration peut se faire par le biais de deux couches qui doivent fonctionner simultanément. Tout d’abord, la gouvernance de l’IA, vise à designer les processus, établir le format des ateliers, instaurer les règles, évangéliser et former les parties prenantes sur l’importance d’une culture IA responsable. Elle permet également d’attribuer les rôles et actions à chaque collaborateur. Elle facilite ainsi le changement.

La seconde couche est de mettre en place une architecture logicielle fiable et les outils nécessaires qui permettent la collaboration de chacun des parties prenantes du projet. Certains défis techniques sont liés à ces outils – on pense par exemple au versioning des data sets, de la justification de leur qualité à l’explication des décisions prises au cours du projet.

L’enjeu est double : mettre en place une solution technique fiable, tout en réduisant la gestion administrative du projet, mais aussi éviter une dette technique qui pourrait ne pas répondre aux attentes d’efficacité, de robustesse et de complexité auxquels doivent répondre ces plateformes.

Remarque : les pénalités qui pourront s’appliquer auprès des entreprises seront sur du même ordre de grandeur que celui de la RGPD, soit 2 à 6% du chiffre d’affaires. Il existera un plafond pour les jeunes entreprises. Il est donc essentiel de se faire accompagner par des experts aussi bien sur les aspects technologiques que ceux de gouvernance.

En résumé

L’intelligence artificielle apporte des opportunités considérables pour les entreprises, mais sa mise en œuvre et son passage à l’échelle nécessite une approche réfléchie et responsable. L’AI ACT est un cadre qui permet de construire des solutions plus pérennes basées sur la sécurité et la protection des utilisateurs finaux. En adoptant une intégration progressive et proactive tout en construisant sur des outils robustes et de confiance, les entreprises peuvent gagner du temps afin de se préparer au mieux aux enjeux concurrentiels et économiques de demain.

Vous souhaitez découvrir comment l’AI ACT peut transformer votre entreprise en un acteur responsable et compétitif de demain ? Contactez nos expert·es.

Rédigé par Brice Lavigne, Manager Data Gouvernance au sein de notre département Data Driven