Views
2 weeks ago

ICTjournal 04/2021

  • Text
  • Projet
  • Chez
  • Plateforme
  • Selon
  • Solutions
  • Ainsi
  • Netzmedien
  • Transformation
  • Entreprises
  • Suisse

Image: mixmagic/Adobe

Image: mixmagic/Adobe Stock Comment l’UE veut encadrer l’IA sans freiner l’innovation La Commission européenne a publié sa proposition de cadre légal pour prévenir les dérives de l’intelligence artificielle. Articulé autour d’une approche proportionnelle fondée sur le risque, le projet prévoit exigences et obligations pour une vingtaine d’usages à risque élevé. Yannick Chavanne «Nos règles s’appliqueront lorsque c’est strictement nécessaire: quand la sécurité et les droits fondamentaux des citoyens de l’Union sont en jeu.» Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique La Commission européenne a présenté son projet de réglementation de l’intelligence artificielle (IA). Bruxelles donne ainsi le ton dans l’instauration d’un cadre légal guidant le développement d’une IA digne de confiance, dans la veine du travail accompli avec le RGPD pour la protection des données personnelles. Une fois acceptées par le Parlement européen et les Etats membres, ces règles concerneront aussi la Suisse, en premier lieu les entreprises ayant établi des relations commerciales avec l’UE. Mais comme avec le RGPD, la gouvernance de l’intelligence artificielle telle qu’imaginée par Bruxelles devrait également guider Berne dans l’élaboration d’une réglementation similaire (fin 2020, la confédération a fixé sept lignes directrices pour encadrer l’IA). Des règles propices à l’innovation La proposition dévoilée par la Commission européenne montre que l’UE a pleinement conscience qu’une réglementation trop contraignante freinerait l’innovation et placerait les entreprises européennes dans une position peu tenable face à la concurrence des Etats-Unis et de la Chine, leaders dans le domaine. «A l’épreuve du temps et propices à l’innovation, nos règles s’appliqueront lorsque c’est strictement nécessaire: quand la sécurité et les droits fondamentaux des citoyens de l’Union sont en jeu», explique ainsi Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique. Entre la possibilité d’instaurer un système d’étiquetage volontaire et l’établissement d’exigences obligatoires pour tous les systèmes d’IA, l’UE prend une voie intermédiaire, optant pour une approche proportionnelle fondée sur le risque. Ce dernier étant déterminé par la finalité de l’usage. Les utilisations jugées particulièrement néfastes (risque inacceptable) sont interdites. Bruxelles cite notamment l’exemple d’une utilisation par les forces de l’ordre de certains systèmes d’identification biométrique en temps réel, ou encore des systèmes de notation sociale par les gouvernements (un projet de ce type est mené en Chine). A l’autre bout du spectre, les systèmes présentant un risque minimal ne sont soumis à aucune obligation légale supplémentaire. Leurs fournisseurs peuvent toutefois volontairement choisir d’adhérer à des codes de conduite. Une vingtaine d’usages à risque élevé L’essentiel des obligations réglementaires prévues par l’UE concerne les systèmes considérés comme présentant un risque élevé. Leur liste pourra être révisée pour tenir compte de l’évolution des utilisations de l’IA, prévient la 04 / 2021 www.ictjournal.ch © netzmedien ag

intelligence artificielle 19 Commission européenne. Pour l’heure, la catégorie inclut une vingtaine d’usages. Dans le monde de l’entreprise, il peut s’agir d’IA dans les ressources humaines, qui prendraient des décisions en matière de recrutement, de promotion et de licenciement, ou qui seraient impliquées dans l’évaluation de la productivité. Alors que les algorithmes se font petit à petit une place dans les administrations publiques, des systèmes décidant de l’éligibilité ou non à des prestations sociales sont également considérés à haut risque. Il en va de même de l’IA évaluant la solvabilité des personnes physiques. Exigences et obligations spécifiques, pour les fournisseurs et les entreprises utilisatrices Les entreprises ou autorités publiques qui développent ou utilisent ces applications à risque élevé devraient se conformer à des exigences et obligations spécifiques. Côté fournisseurs, sortir un système d’IA sur le marché de l’Union européenne nécessitera de passer par un processus d’évaluation. Il concerne d’abord l’emploi des bonnes pratiques en matière de gouvernance de données, afin d’en assurer la qualité (préparation pertinente des données, disponibilité des données, examen des biais possibles). Il convient ensuite de ficeler une documentation technique de manière à démontrer que le système d’IA à haut risque est conforme aux exigences. Les solutions doivent en outre intégrer des capacités d’enregistrement automatique des logs et être conçue de façon à ce que leur fonctionnement, capacité et limitations soient compréhensibles. Toujours au niveau des fournisseurs, ils sont obligés de doter leurs systèmes d’interfaces appropriées, assurant leur surveillance par des humains pendant la période d’utilisation. Ils devront également mettre en œuvre des systèmes de gestion de la qualité et des risques, afin de garantir qu’ils respectent les nouvelles exigences et réduisent au minimum les risques, même après la mise sur le marché du produit, souligne le projet de cadre légal. Du côté des utilisateurs, ils ont entre autres l’obligation de s’assurer que les données utilisées pour alimenter les modèles d’IA sont pertinentes au regard de l’objectif visé. Il leur incombe également de contrôler le fonctionnement du système sur la base des instructions d’utilisation, ou encore de conserver les logs générés automatiquement. La Commission européenne fournit une évaluation des coûts de cette mise en conformité, qui s’élèverait pour les fournisseurs entre 6000 et 7000 euros pour un système d’IA moyen. Pour les utilisateurs, une surveillance humaine des systèmes pourrait atteindre entre 5000 et 8000 euros par an. Les Etats-Unis semblent également disposés à serrer la vis Alors que l’Europe prend les devants pour lutter contre les dérives de l’IA, les Etats-Unis semblent déjà prêts à se joindre aux combats. La Federal Trade Commission (FTC), l’organe chargé de la régulation du commerce américain, a tout récemment publié des lignes directrices visant notamment à prévenir les discriminations (racisme, sexiste, etc.) que peuvent engendrer des algorithmes biaisés. La FTC prévient les fournisseurs que c’est à eux qu’incombe la responsabilité de la performance des algorithmes qui équipent leurs systèmes. En cas de tromperie ou de discrimination suspectées, la FTC affirme qu’elle n’hésitera pas à mener des actions en justice. LA TRIBUNE DU DPO Isabelle Dubois Déléguée à la protection des données certifiée, ancienne préposée cantonale, cofondatrice du Club de la protection des données. adhocresolution.ch clubprotectiondesdonnees.net Comparaison n’est pas raison, mais… On l’a vu, l’Union européenne se dote d’un cadre juridique ambitieux pour faire face aux défis de l’intelligence artificielle. A quel type d’autorité faudra-t-il confier sa mise en œuvre et le contrôle de la conformité? Le débat s’initie déjà. Jusqu’à présent j’étais plutôt favorable à la création d’une autorité de surveillance ad hoc en matière d’IA plutôt qu’à confier ces tâches aux autorités de surveillance en matière de protection des données. Mais pour de mauvaises raisons. Parce qu’elles n’ont pas en leur sein, aujourd’hui, les compétences et profils nécessaires. Mais la réglementation proposée par la commission européenne et celle applicable au traitement des données personnelles ont de nombreuses similitudes. Leur but, déjà: donner un cadre de conformité, avec au centre le respect des droits fondamentaux, tout en favorisant ou permettant la circulation des idées versus des données. Les principes directeurs, ensuite, dont ceux de la sécurité, de la transparence, de la responsabilité, applicables sur tout le cycle de vie de la donnée, leur sont communs. Les outils à disposition pour contribuer à la conformité, que sont les analyses d’impact ou de risque, les systèmes de management de la qualité, les codes de conduite et certifications. Certaines obligations comme l’obligation de documenter les traitements, l’enregistrement des systèmes IA versus le recensement des traitements, l’obligation d’informer les personnes concernées. Et, enfin, le traitement de données personnelles. Car si l’on exclut certains traitements peu risqués, les systèmes d’IA à haut risque – a fortiori ceux impliquant un risque inacceptable, interdits – auront tous comme base le traitement de données personnelles, voire sensibles, pour le traitement desquels le RGPD s’applique. Se doter d’une autorité de surveillance unique aux compétences et ressources renforcées aurait un avantage précieux: permettre d’éviter des conflits de compétence, positifs ou, pire, négatifs. www.ictjournal.ch © netzmedien ag 04 / 2021