« L’IA est déjà réglementée » (Ivana Bartoletti)
Bien qu’il soit un objet nébuleux sur les bords, l’AI Act ne doit pas inquiéter les entreprises tant qu’elles se concentrent sur l’implantation d’une gouvernance de l’IA alignée avec les réglementations en vigueur, insiste Ivana Bartoletti, Global Chief Privacy & AI Governance Officer chez Wipro.
Ivana Bartoletti raconte comment l’ESN pilote ses projets d’IA et conseille ses clients dans un contexte de battage médiatique et de surabondance technologique. La chercheuse, conférencière et autrice de plusieurs livres consacrés à l’IA, également conseillère auprès du Conseil de l’Europe, recommande aux entreprises européennes de se concentrer sur la formation des métiers et des équipes juridiques, ainsi que sur la mise en place d’une gouvernance de l’IA permettant de respecter les lois déjà en vigueur. Une étape nécessaire qui devrait aider les entreprises à se conformer à l’AI Act.
LeMagIT : Pouvez-vous vous présenter ?
Ivana Bartoletti : Je suis la Global Chief Privacy and AI Governance Officer pour Wipro, ce qui signifie essentiellement que je supervise tout ce qui a trait à la vie privée, à la protection des données, mais aussi tout ce qui a trait à la gouvernance de l’IA. C’est donc à la fois ce que nous faisons en interne, par exemple, lorsque nous réalisons le fine-tuning d’un modèle, mais aussi lorsque nous travaillons avec les clients pour nous assurer que nous faisons les choses bien et que cette IA est déployée et construite d’une manière qui respecte la vie privée, la transparence et aussi les obligations légales dès la conception.
Je suis également conseillère auprès du Conseil de l’Europe, où je me concentre sur les droits de l’homme et le genre en relation avec l’IA, donc la discrimination algorithmique et l’intersection entre le droit des droits de l’homme, le droit de la vie privée, entre autres. Et sur un sujet similaire, je mène des recherches sur la protection de la vie privée et la protection des données en matière d’apprentissage automatique à l’Institut Virginia Tech. Plutôt que de faire de la recherche moi-même, je supervise les étudiants en doctorat, mais ce n’est pas grave. Sinon, je fais trop de choses.
LeMagIT : Chez Wipro, que constatez-vous auprès de vos clients en matière d’IA ?
Ivana Bartoletti : Pour commencer, je pense que c’est un moment étrange dans lequel toutes les entreprises se trouvent en ce moment, à cause de la « hype » autour de l’IA. Chaque jour de plus qui passe, on a l’impression que l’IA va tout faire à notre place. Il y a beaucoup d’annonces. C’est difficile à suivre.
Il y a donc tout un battage médiatique autour de l’IA, mais, in fine, il faut la mettre en œuvre. Je pense donc que le plus important est de savoir comment passer de la « hype » à l’implantation réelle.
Ce que nous essayons de faire comprendre aux entreprises, et de la même manière, ce que nous tentons d’appliquer en interne chez Wipro, c’est qu’il n’est pas nécessaire de commencer les choses les plus incroyables.
Surpasser la « hype » provoquée par l’IA générative
LeMagIT : Comment procédez pour passer de la « hype » à l’implémentation ?
Ivana Bartolleti : Il s’agit d’améliorer les opérations en back-office, d’accroître la productivité, de rechercher des endroits ou des domaines, où l’on peut apporter plus d’efficacité.
Par exemple, nous envisageons d’utiliser l’IA dans la chaîne d’approvisionnement au sens large. Il peut s’agir de comprendre comment l’IA peut compléter ou assister les diverses activités liées au cloud.
Il s’agit donc d’étudier ces aspects administratifs, de se pencher sur les cas d’usage. Mais nous expliquons toujours, comme nous l’avons fait en interne, qu’il faut faire en sorte que les métiers soient investis dans cette mission.
En interne, nous avons mis en place un portail permettant aux métiers de soumettre des cas d’usage que nous analysons afin d’évaluer s’ils sont réalisables, s’ils sont responsables, brefs s’ils peuvent être implantés de manière satisfaisante.
Nous avons donc demandé aux métiers dans les différents départements de l’entreprise de nous remonter les usages qu’ils voudraient mettre en place dans des domaines comme les ressources humaines, l’extraction des clauses dans le cadre de la gestion de contrats, la rédaction de brouillons pour des contenus marketing, etc.
Les gens se sentent plus autonomes, et comprennent que l’IA ne veut pas les remplacer. Entre guillemets, ils se sentent plus forts avec l’IA.
Nous avons également décidé de former tout le monde, au moins aux bases, car nous ne voulions pas que les gens soient effrayés par l’intelligence artificielle. Nous ne voulions pas non plus que les gens pensent que l’IA est quelque chose de magique. Nous voulions donc montrer aux gens comment cela fonctionne sur le plan informatique et mathématiques. Pour moi, c’est vraiment douloureux quand j’entends des gens dire que l’IA est une sorte de chose magique.
Enfin, il s’agit de mettre en place le bon niveau de gouvernance. C’est un travail en cours chez nous.
Par ailleurs, beaucoup d’organisations s’inquiètent, surtout en Europe, de leur responsabilité juridique, notamment à l’aune de l’application future de l’AI Act. Tant que les entreprises mènent leurs projets d’IA comme des efforts interfonctionnels, je suis persuadée que cela ne représentera pas un frein à l’innovation.
Les incertitudes induites par l’AI Act
LeMagIT : Il y a tout de même le cas de l’IA générative à considérer de près au regard de l’AI Act européen qui opère une forme de distinction.
Ivana Bartoletti : Vous avez raison, dans l’AI Act, il y a – pour faire bref – deux types d’IA. La première est réglementée dans la pyramide des risques : le texte identifie des risques minimaux, limités, élevés et inacceptables. Cette première catégorie concerne plus largement les applications de machine learning utilisées pour diverses tâches. Par un exemple, un système de prise de décision automatisée présente un risque élevé si vous l’utilisez pour embaucher des salariés. Ensuite, il y a l’IA à usage général, qui correspond aux modèles de fondation, par exemple les grands modèles de langages qui peuvent être utilisés pour effectuer différentes choses, bonnes ou mauvaises. C’est ce pour quoi le risque est différent et l’AI Act introduit la terminologie de risque systémique.
LeMagIT : Pensez-vous que la métrique retenue par les autorités européennes pour établir quand un modèle de fondation présente un risque systémique est la bonne ?
Ivana Bartoletti : Les modèles de fondation pouvant présenter un risque systémique sont ceux dont l’entraînement requiert une puissance de calcul prédéterminé par les organes réglementaires de l’UE. Je ne suis pas sûr que ce seuil soit maintenu, d’autant que les éditeurs et les startups tentent de réduire la puissance de calcul nécessaire à leur entraînement. Les décideurs en sont conscients.
Selon toute vraisemblance, l’European AI Office aura la responsabilité d’orchestrer l’entrée en vigueur de l’AI Act. Il serait intéressant que ce bureau puisse examiner les critères qui font qu’un modèle de fondation présente un risque systémique ou non. Mais je ne sais pas s’il aura ce pouvoir ou s’il sera simplement un organisme jouant un rôle de conseiller auprès des États.
L’AI Office fait partie du DG Connect [la direction générale des réseaux de communication, du contenu et des technologies au sein de la Commission européenne, N.D.L.R.]. Ils ont embauché 25 personnes venant de différentes régions. Je ne pense pas qu’ils pourront embaucher directement. D’autant que, selon mes informations, les pays membres de l’UE enverront leur personnel pour rejoindre le bureau. Au vu des levées de boucliers menées par la France, l’Allemagne et – étrangement – l’Italie (je suis moi-même italienne), lors des étapes d’élaboration du texte, l’AI Office pourrait faire l’objet de luttes d’influence.
Le meilleur moyen de se préparer à l’AI Act ? « Se conformer aux lois existantes ! »
LeMagIT : Il y a une incertitude sur la manière dont l’AI Act sera implantée, mais il y a aussi beaucoup d’interprétations concernant le texte en lui-même. Les entreprises doivent-elles se préparer dès maintenant à son application ?
Ivana Bartoletti : Il y a effectivement quelques zones grises. En particulier, il existe une zone grise qui me déplaît totalement, à savoir la possibilité pour les entreprises de se soustraire à l’IA à haut risque.
L’IA à haut risque est définie sur la base de trois éléments différents : lorsqu’un modèle est utilisé dans un composant de sécurité d’un produit, lorsqu’il est utilisé pour effectuer une tâche spécifique portant sur une décision potentiellement discriminante dans des domaines spécifiques et lorsqu’il est susceptible de mettre en jeu la vie et la santé des citoyens. Cependant, en raison d’un lobbying important (l’AI Act est un acte de compromis, rappelons-le), les entreprises ont la possibilité d’échapper à la définition du risque élevé si, par exemple, elles démontrent que l’usage de l’IA ne concerne qu’une tâche très restreinte.
Il y a des sortes de passerelles pour sortir de la définition du risque élevé. Dans l’idée, je ne suis pas contre, mais je trouve cela dérangeant, car c’est trop vague. S’il y a bien quelque chose qui me semble complexe pour les entreprises, c’est l’incertitude juridique. Mais je dirais, et mon point de vue peut être sujet à controverse, que l’IA est déjà réglementée. La documentation exigée par l’AI Act est simplement une documentation qui atteste que l’artefact d’intelligence artificielle est réalisé, contrôlé en conformité avec les lois existantes.
L’AI Act indique que le système évalué doit être transparent. Vous devez veiller à la protection de la vie privée et des données. Ce que cela signifie par exemple que dans le cadre de l’évaluation de la qualité et de la conformité de votre système d’IA, vous devez avoir l’assurance qu’il respecte le RGPD. Le RGPD existe déjà ! Je pense que les entreprises ne doivent pas se précipiter pour se conformer à l’AI Act. Ce qu’il faut faire dès maintenant, c’est s’assurer que la gouvernance et les différents éléments nécessaires pour se conformer aux lois existantes sont en place. L’IA est trop souvent considérée comme une excuse pour éviter de se soumettre à la législation.
Peu importe que vous utilisiez une IA maison ou un LLM d’OpenAI sur Azure couplé avec une architecture RAG, vous devez respecter la législation existante !
Ivana BartolettiGlobal Chief Privacy & AI Governance Officer, Wipro.
LeMagIT : Quel est le point le plus important pour y arriver ?
Ivana Bartoletti : Je pense que les entreprises ont besoin de renforcer les compétences de leurs collaborateurs. Par exemple, je forme mon équipe chargée de la protection de la vie privée afin qu’elle sache ce qu’implique la protection de la vie privée appliquée à l’IA. Ainsi, lorsque les membres de cette équipe réalisent une évaluation de l’impact d’une application sur la vie privée, je peux considérer qu’ils peuvent évaluer des systèmes d’IA, car ils ont étudié les notions de transparence, d’interprétabilité et d’équité.
Les entreprises comme la mienne, qui emploient plus de 240 000 personnes et qui ont des milliers d’ingénieurs, peuvent organiser des formations en interne, ou, du moins, permettre à leurs équipes d’obtenir des explications. D’autres organisations n’ont pas notre taille, mais il existe beaucoup de contenus disponibles pour se perfectionner, chez Google, IBM, et les autres.
En France, la CNIL est loin devant ses homologues européens quand il est question de conseiller les entreprises en fournissant aux entreprises du matériel et des informations sérieuses, faciles à consulter, des quantités de blogs, etc. Aucune entreprise française n’a d’excuses pour ne pas se former à la gouvernance de l’IA.
Ivana BartolettiGlobal Chief Privacy & AI Governance Officer, Wipro.
Les entreprises ne peuvent pas attendre l’entrée en vigueur de l’AI Act pour faire de la gouvernance de l’IA : des règles en matière de responsabilité, de protection des données, de non-discrimination continuent de s’appliquer. Comment appliquer tout cela à l’IA ? Quelle gouvernance mettre en place ? Si les entreprises le font maintenant, lorsque l’AI Act entrera en vigueur, elles devront simplement rassembler l’ensemble de leur documentation.
Dans certains domaines, comme dans les services financiers, les entreprises ont déjà l’obligation d’être transparentes sur la manière d’allouer des emprunts, par exemple. Ce n’est pas très différent de ce qui est demandé dans l’AI Act.
LeMagIT : Toutefois, les éditeurs craignent que, dans le cadre de l’AI Act, les entreprises aient à partager le code de leurs applications d’IA.
Ivana Bartoletti : Ils sont en droit de s’interroger. C’est tout à fait normal que ces acteurs veuillent protéger leurs propriétés intellectuelles et leur activité économique. Mais je pense qu’il y a un petit malentendu. Tout d’abord, l’interprétabilité ne signifie pas la connaissance du code. Si je suis médecin et que j’utilise l’IA dans un hôpital pour définir si quelqu’un a un cancer, quel niveau de cancer, je ne me soucie pas du code. Pourquoi me soucierais-je du code ? Je suis médecin, je ne suis pas codeur. Mais j’ai besoin de l’interpréter.
De ce problème d’interprétabilité découlent des questions autour de la responsabilité, de la gestion des contrats et du biais d’automatisation. Beaucoup de gens font confiance à la décision prise par une machine et pensent qu’elle est correcte parce que justement c’est la machine qui l’a prise. Je ne pense pas que la divulgation du code soit nécessairement le problème. Cependant, je pense que les tribunaux qui vont de l’avant et le font déjà exigeront la divulgation si quelque chose de répréhensible se produit. Je pense également qu’il y a suffisamment d’améliorations technologiques pour qu’il soit possible d’interroger ou de documenter un algorithme sans avoir à en divulguer le code.