Ici archive

Étiquette : AI ACT

Martin Alteirac, en charge des activités d’Intelligence Artificielle chez Saegus, et Brice Lavigne, expert en gouvernance Data et IA nous expliquent comment ils accompagnent leurs clients à l’arrivée de l’AI Act. 

Pouvez-vous nous rappeler rapidement ce qu’est l’IA Act en quelques mots ?

L’AI Act est une proposition de réglementation de l’Union européenne (UE) visant à réguler les systèmes d’intelligence artificielle (IA) au sein de l’UE. Le projet de loi a été présenté par la Commission européenne en avril 2021 et vise à établir des règles spécifiques de l’utilisation de l’IA dans ce cadre. L’AI Act classe les catégories d’intelligence artificielle selon des systèmes allant du haut risque (comme les dispositifs médicaux ou les véhicules autonomes) au moindre risque.

Il impose des obligations telles que la transparence, la traçabilité, la documentation et l’assurance de la conformité aux règles de sécurité établies. Il interdit également certaines applications d’IA considérées comme dangereuses, comme par exemple la manipulation de comportements humains de manière trompeuse. 

Pour en savoir plus, n’hésitez pas à consulter notre premier article sur le sujet : L’AI ACT : une opportunité à saisir pour développer sa stratégie AI Driven.

Comment mettre en place une gouvernance IA ?

Lorsqu’une entreprise décide de mettre en place une gouvernance de l’IA, une approche méthodique est essentielle pour garantir son succès. Elle peut être déclinée selon les étapes suivantes.

Première priorité : acculturer et sensibiliser aux risques de l’IA

La première étape consiste à sensibiliser l’ensemble de l’organisation aux risques associés à l’IA. Il est essentiel que tous les acteurs comprennent les conséquences potentielles des décisions liées à son utilisation, notamment sur la réputation, la conformité légale et les opérations de l’entreprise. Cette prise de conscience permet d’obtenir un soutien et une adhésion plus forts à la gouvernance IA. Notre équipe propose des programmes de formation et sensibilisation ciblés pour mettre en lumière ces risques, que ce soit pour les décideurs à haut niveau, product owners, chefs de projets ou praticiens de l’IA en entreprise.

Après la sensibilisation, nous mettons en œuvre une méthodologie structurée pour guider nos clients dans le processus de gouvernance IA :

  • Diagnostic, analyse de risques et Gap Analysis : nous débutons par un diagnostic approfondi de l’environnement actuel de l’IA au sein de l’entreprise, en mettant l’accent sur les risques potentiels. La Gap Analysis identifie les écarts entre la gestion actuelle des risques liés à l’IA et les normes souhaitées en matière de gouvernance et de conformité ;
  • Plan d’action : sur la base des résultats de la Gap Analysis, nous élaborons un plan d’action précis qui détaille les étapes nécessaires pour atténuer les risques identifiés. Ce plan comprend des échéanciers, des responsabilités claires et des objectifs mesurables ;
  • Implémentation des processus : nous aidons nos clients à mettre en œuvre le plan d’action en créant des équipes dédiées, en mettant en place des politiques et des procédures adéquates, et en communiquant efficacement les changements au sein de l’organisation. Une attention particulière est portée à la gestion des risques tout au long de cette phase ;
  • Implémentation technique : enfin, nous nous assurons que les aspects techniques de la gouvernance IA sont en place, en veillant à ce que les technologies sous-jacentes respectent les principes de transparence, d’équité et de confidentialité des données.

En suivant cette approche méthodique, nos clients sont mieux préparés à gérer les risques associés à l’IA tout en maintenant un contrôle efficace sur leurs initiatives. La gouvernance de l’IA devient ainsi un moyen essentiel de préserver la réputation, de garantir la conformité et de sécuriser les opérations de l’entreprise.

Une fois la gouvernance en place, comment s’assurer de son efficacité sur le long terme ?

La mise en place d’une gouvernance de l’IA est une étape cruciale, mais son succès à long terme repose sur une logique itérative d’amélioration continue. Nous proposons la logique d’amélioration continue suivante :

  • Inspection : la première étape consiste à effectuer des inspections, à la fois aléatoires et planifiées, de l’application de la gouvernance de l’IA. Ces inspections visent à détecter les vulnérabilités potentielles dans le processus de gouvernance. Les inspections aléatoires permettent de repérer des problèmes imprévus, tandis que les inspections planifiées suivent un calendrier défini. Cette étape nous aide à maintenir une surveillance proactive et à identifier les zones qui nécessitent une attention particulière.
  • Gap Analysis : une fois les vulnérabilités détectées, nous les présentons aux parties prenantes de l’entreprise, qu’il s’agisse du conseil d’administration, de l’équipe de direction ou d’autres intervenants clés. Ces vulnérabilités sont examinées en détail et une analyse des écarts est réalisée pour comprendre pourquoi elles sont apparues. Cette étape permet d’impliquer activement les parties prenantes dans le processus de gouvernance et de les préparer à corriger les écarts de manière la plus autonome possible.
  • Mise à jour de la gouvernance de l’IA : suite à la conclusion de l’analyse des écarts, des mesures correctives sont définies en collaboration avec les parties prenantes. Ces mesures visent à résoudre les vulnérabilités identifiées et à renforcer la gouvernance de l’IA. Il peut s’agir de mettre à jour les politiques, les procédures, les outils ou même de former le personnel. Cette phase garantit que les leçons tirées des inspections sont appliquées de manière proactive.
  • Suivi et Hypercare : enfin, une surveillance spécifique est mise en place pour confirmer l’efficacité des mesures correctives. Cela implique un suivi rigoureux pour s’assurer que les vulnérabilités identifiées ne réapparaissent pas et que la gouvernance de l’IA fonctionne comme prévu. L’hypercare consiste à accorder une attention accrue aux processus de gouvernance récemment mis à jour pour s’assurer de leur adaptation en continu.

Cette logique itérative d’amélioration continue garantit que la gouvernance de l’IA reste pertinente, efficace et résiliente face aux défis en constante évolution de l’IA et aux besoins changeants de l’entreprise. Elle permet d’assurer une gestion proactive des risques et de maintenir une conformité continue aux normes et aux réglementations en vigueur.

Vous souhaitez en savoir plus ? Contactez nos expert·es.

Contactez-nous

Rédigé par Brice Lavigne et Martin Alteirac, Managers Data Gouvernance au sein de notre département Data Driven

Au cours des 10 dernière années, l’intelligence artificielle s’est imposée comme la 4e révolution technologique de notre époque. Aujourd’hui, elle est un levier stratégique pour les entreprises, puisque 44% d’entre elles ont déjà investi dans l’IA et 9 sur 10 d’entre elles ont inclus des projets d’IA dans leur trajectoire de développement (source : NewVantage).

Aux prémices de l’intégration de l’IA dans les processus métiers/stratégies d’entreprise, se trouvent les start-up – aujourd’hui, on compte en France 500 start-up développant des solutions d’IA. En s’appuyant sur des chercheurs et laboratoires, elles ont beaucoup innové sur ces usages en se concentrant sur la disruption des process. Pendant plusieurs années, les grandes entreprises ont ainsi pu avoir un regard privilégié sur les avancées de cette technologie – cependant, si ce modèle réduit le risque pour les entreprises, il augmente le time-to-market de solutions pour le métier.

Depuis quelques années, ce modèle de développement est en train de changer. L’évolution des systèmes cloud, des calculs distribués et l’avènement des AI platforms – comme Vertex AI, Databricks ou Dataiku par exemple – facilite le développement, le déploiement et la maintenance de solutions d’IA. Il devient aujourd’hui simple de passer à l’échelle la production d’applications IA et donc de développer en interne des solutions sur-mesure métiers avec des équipes spécialisées et restreintes.

Cela change le paradigme de l’application IA : elle n’est plus un sujet de R&D – technologie différenciante sur le marché – mais devient un produit développé par les métiers. Les enjeux métiers et la stratégie de l’entreprise s’alignent alors sur la production d’applications IA : nous entrons dans le modèle des entreprises AI Driven.

Plusieurs questions se posent alors sous différents aspects :

  • De sécurité : l’AI Driven est la continuité du Data Driven, puisqu’il s’agit de prendre des décisions à partir des données analysées par des outils d’IA. Dans ce cadre, la question de l’explicabilité de l’IA se pose rapidement. Comment comprendre une décision de l’IA ? Comment la rendre transparente afin qu’elle puisse être sûre ? ;
  • De responsabilité environnementale : les calculs d’IA sont aujourd’hui très consommateurs en énergie. Dans l’inclination qu’on les entreprises pour réduire leur impact carbone, constatable par exemple au travers du reporting ESG, la mise à l’échelle des applications d’IA soulève une seconde question d’une IA responsable et écologique ;
  • D’éthique : quand des prévisions annoncent qu’en 2025, 90% des messages marketing passeront par des outils d’IA pour optimiser les campagnes en qualifiant plus précisément les cibles, une troisième question se pose sur l’impact social positif des solutions d’IA ;
  • D’économie : le développement de l’IA relève aussi d’enjeux économiques internationaux. La sous-exploitation du potentiel de l’IA et des applications développées par les entreprises pourrait faire perdre un avantage concurrentiel à ces dernières et mener ainsi à une stagnation économique. C’est pour cela que la France a investi 2,22 milliards d’euros dans le plan France 2030, avec l’objectif ambitieux de capter 15% du marché mondiale sur l’IA embarquée.

Pour adresser ces problématiques et piloter l’arbitrage de l’IA au sein de notre société, la Commission Européenne a proposé en avril 2021 un cadre réglementaire pour les applications d’intelligence artificielle en Europe : l’« AI ACT ».

Il vise à classer et analyser les risques directs ou indirects présents pour les utilisateurs en veillant à ce que les systèmes d’IA utilisés au sein de l’UE soient sûrs, transparents, traçables, non-discriminatoires et respectueux de l’environnement. Le 14 juin, les députés ont adopté une position sur le cadre de la loi ; un accord devrait être trouvé d’ici décembre 2023.

Quelles sont les projets visés dans cette analyse de risque ?

L’analyse de risque doit être appliquée à des solutions d’IA qui entrent dans deux catégories.

La première concerne les « risques inacceptables ». Elle comprend les cas d’utilisation qui implique un danger pour les individus ou la société. Cela inclut :

  • La manipulation cognitivo-comportementale de personnes vulnérables : par exemple, l’usage de l’IA à l’intérieur de jouets pour enfants ;
  • Le score social basé sur des caractéristiques personnelles : par exemple, la validation d’une attribution de prêt selon un comportement social ;
  • La reconnaissance faciale en temps réel à distance : auprès d’individus lambdas dans une gare ou un centre commercial par exemple. Il existe une exception dans le cadre d’enquêtes criminelles majeures, sous l’approbation d’un tribunal.

Toutes les applications se trouvant dans cet ensemble de risque sont interdites.

La seconde catégorie englobe les cas d’usage représentant un « risque élevé » pour les droits fondamentaux ou la sécurité. Ils sont répartis en deux ensembles.

Le premier, l’IA appliquée aux produits relevant de la sécurité des individus : jouets, aviation, voitures, dispositifs médicaux ou ascenseurs, par exemple. Les entreprises qui développent des produits d’IA dans ces domaines, que ce soit dans le processus de recherche, de développement ou de production, devront justifier d’une analyse de risque et d’une traçabilité pour chaque solution développée.

Le second, l’usage de l’IA appliquée aux domaines ci-dessous devra être référencé et répondre aux aspects réglementaires précédemment cités :

  • L’identification biométrique et la catégorisation des personnes physiques.
  • La gestion et l’exploitation des infrastructures critiques
  • L’éducation et la formation professionnelle
  • L’emploi, la gestion des travailleurs et l’accès au travail indépendant
  • L’accès et la jouissance des services privés essentiels et des services et avantages publics
  • Les forces de l’ordre
  • La gestion de la migration, de l’asile et du contrôle des frontières
  • L’aide à l’interprétation juridique et à l’application de la loi.

Le reste des applications rentreront dans la catégorie des risques limités, signifiant que tout ce qui est généré par une IA doit être notifié à son utilisateur.  

Un règlement s’applique spécialement aux applications utilisant de l’IA générative, comme ChatGPT ou MidJourney. Les modèles devront être configurés de sorte à ne pas générer de contenu illégal ou publier des données protégées par le droit d’auteur.

Comment se préparer à la législation sur l’IA ?

Mettre en place un système réglementaire peut être long et couteux, surtout quand il s’agit de l’appliquer à des solutions d’intelligence artificielle dont la documentation et l’historique n’est pas à jour. Afin d’utiliser la structure de l’AI ACT comme une opportunité plutôt que comme une contrainte, il est important de construire dès maintenant et progressivement un système qui répond aux attentes de la réglementation.

 La collaboration sans couture entre les parties actives du projet de développement de la solution IA est une première piste à aborder. Elle concerne plusieurs parties prenantes :

  • Tout d’abord, la stratégie venant du pôle digital ou de la direction donnera l’impulsion et la direction pour atteindre le but défini. Elle peut s’aider d’un comité pour évaluer l’éthique des projets concernés, en accord avec les métiers ;
  • Ensuite, ceux qui développe la solution, qui se trouve à la limite entre la DSI et le data/digital office. Leur but est de s’assurer que toutes les guidelines techniques du projet répondent à l’explicabilité et à la transparence attendue par la règlementation. Ils sont les garants de la documentation et de l’évolution du projet qui, développé avec des méthodologies agiles, peut le pivoter au fur et à mesure de l’implémentation ;
  • Enfin, la partie réglementaire qui a la responsabilité de valider la présence des livrables et de relancer les métiers si besoin.

La réussite de cette collaboration peut se faire par le biais de deux couches qui doivent fonctionner simultanément. Tout d’abord, la gouvernance de l’IA, vise à designer les processus, établir le format des ateliers, instaurer les règles, évangéliser et former les parties prenantes sur l’importance d’une culture IA responsable. Elle permet également d’attribuer les rôles et actions à chaque collaborateur. Elle facilite ainsi le changement.

La seconde couche est de mettre en place une architecture logicielle fiable et les outils nécessaires qui permettent la collaboration de chacun des parties prenantes du projet. Certains défis techniques sont liés à ces outils – on pense par exemple au versioning des data sets, de la justification de leur qualité à l’explication des décisions prises au cours du projet.

L’enjeu est double : mettre en place une solution technique fiable, tout en réduisant la gestion administrative du projet, mais aussi éviter une dette technique qui pourrait ne pas répondre aux attentes d’efficacité, de robustesse et de complexité auxquels doivent répondre ces plateformes.

Remarque : les pénalités qui pourront s’appliquer auprès des entreprises seront sur du même ordre de grandeur que celui de la RGPD, soit 2 à 6% du chiffre d’affaires. Il existera un plafond pour les jeunes entreprises. Il est donc essentiel de se faire accompagner par des experts aussi bien sur les aspects technologiques que ceux de gouvernance.

En résumé

L’intelligence artificielle apporte des opportunités considérables pour les entreprises, mais sa mise en œuvre et son passage à l’échelle nécessite une approche réfléchie et responsable. L’AI ACT est un cadre qui permet de construire des solutions plus pérennes basées sur la sécurité et la protection des utilisateurs finaux. En adoptant une intégration progressive et proactive tout en construisant sur des outils robustes et de confiance, les entreprises peuvent gagner du temps afin de se préparer au mieux aux enjeux concurrentiels et économiques de demain.

Vous souhaitez découvrir comment l’AI ACT peut transformer votre entreprise en un acteur responsable et compétitif de demain ? Contactez nos expert·es.

Contactez-nous

Rédigé par Brice Lavigne, Manager Data Gouvernance au sein de notre département Data Driven