Le développement des IA soumis à des exigences renforcées
Par Mireille Besseyaki Bony
Chargee de mission RSE
CDC Habitat
Posté le: 13/08/2024 0:29
L'intelligence artificielle (IA) est devenue une technologie omniprésente qui influence profondément notre manière d'interagir avec la technologie au quotidien. Elle représente une révolution technologique sans précédent, comparable à l'arrivée d'Internet. L'IA transforme divers secteurs, notamment l'industrie, la santé, l'éducation et les services publics, en automatisant des tâches répétitives, en améliorant la prise de décision et en créant de nouvelles opportunités économiques. Ainsi, une réglementation rigoureuse est mise en place pour assurer une transformation responsable, respectueuse des droits fondamentaux. Le développement des systèmes d'intelligence artificielle (IA) est désormais soumis à des exigences renforcées, conformément au règlement européen sur l'IA publié au journal officiel de l’Union Européenne depuis le 12 juillet 2024. Ce cadre réglementaire vise à harmoniser les règles applicables aux systèmes d'IA dans l'Union européenne, tout en garantissant un niveau élevé de protection des droits fondamentaux et des intérêts publics.
La promotion d’une innovation responsable, en établissant des règles claires et solides qui soutiennent le développement de nouvelles solutions technologiques est également un objectif fort de ce règlement. Parallèlement, le règlement met un fort accent sur la protection des libertés individuelles et des données personnelles en imposant des restrictions spécifiques sur l'utilisation de l'IA pour l'identification biométrique à distance et d'autres applications sensibles, afin de protéger les droits fondamentaux des citoyens.
L’intérêt de ce sujet réside précisément dans cet aspect qui est la nécessité de concilier innovation technologique et protection des droits fondamentaux en créant un cadre juridique cohérent permettant de maximiser les bénéfices économiques et sociétaux de ces technologies.
Dès lors, comment les exigences renforcées influencent-elles le développement et l’utilisation des IA ?
Dans les lignes qui suivront, il sera question d’exposer les exigences légales et réglementaires renforcées pour le développement de l’IA (I) et les implications pratiques pour les acteurs du secteur des systèmes d’IA (II).
I- Des Exigences Légales et Réglementaires Renforcées pour le Développement des IA
L'IA Act (Artificial Intelligence Act) de l'Union européenne vise à établir un cadre juridique rigoureux pour le développement d’une IA de confiance (A) avec des exigences spécifiques de conformité pour les systèmes présentant des risques élevés (B).
A. Un cadre juridique propice au développement d’une IA digne de confiance
L'IA Act, visant à garantir une intelligence artificielle digne de confiance, a pour principaux objectifs de protéger les droits fondamentaux des citoyens et d'assurer leur sécurité (1), tout en établissant une classification des systèmes d'IA basée sur les niveaux de risque afin de réguler leur développement et leur utilisation de manière proportionnée et efficace (2).
1- Un instrument protecteur des droits fondamentaux favorable à l’innovation sur un marché européen
Le règlement sur l’intelligence artificielle a des objectifs ambitieux. L’un de ces objectifs est de garantir le respect des droits fondamentaux consacrés dans la Charte des droits fondamentaux de l'Union européenne. Il s’agit notamment de la protection des valeurs essentielles telles que la démocratie, l'état de droit et la protection de l'environnement. Il paraît impératif qu’on se préoccupe du respect de ces valeurs face au progrès de plus en plus impressionnant des technologies d'IA afin qu’elles se développent et soient utilisées en conformité avec ces principes pour garantir une société juste et équitable.
En effet, l’IA act établit des règles non discriminatoires qui sont conformes aux engagements commerciaux à l’échelle de l’Union Européenne. Il paraît évident d’empêcher l’IA de reproduire ou d’amplifier des canaux déjà existants qui sont susceptibles de créer un environnement de traitement inéquitable des individus.
Dans cette optique, les lignes directrices en matière d'éthique pour une IA digne de confiance jouent un rôle fondamental en fournissant un cadre de référence pour le développement et l'utilisation responsable de ces technologies. Ainsi, la protection des données personnelles est un sujet essentiel de l'IA Act. Il impose des restrictions spécifiques sur l'utilisation de systèmes d'IA. Il s’agit notamment de l’utilisation de l’IA pour l'identification biométrique à distance, pour l'évaluation des risques liés à des personnes physiques à des fins répressives et d'autres utilisations délicates. L’objectif ici étant de protéger les données personnelles des citoyens afin d’éviter les abus et les utilisations non autorisées garantissant ainsi la sécurité des informations personnelles.
Par ailleurs, le règlement sur l’intelligence artificielle ambitionne de faire la promotion de l’innovation et de la compétitivité dans l’espace européen.
En effet, l’IA Act offre un cadre juridique rigoureux et harmonisé pour le développement, la mise sur le marché et l'utilisation des systèmes d'intelligence artificielle (IA) au sein de l'UE. Ce cadre harmonieux va permettre de créer un environnement concurrentiel propice à l’innovation au travers de normes claires et harmonisées réduisant ainsi les ambiguïtés réglementaires pour les développeurs et les entreprises. Il est aussi question de permettre le déploiement des solutions d’IA, sans subir de limitations réglementaires hétérogènes, dans toute l’Europe assurant ainsi une libre circulation des biens et services développés à partir de l’intelligence artificielle.
2- Une classification des risques systématique
Le règlement sur l’intelligence artificielle classe les risques pour les systèmes d'intelligence artificielle afin d’en assurer une utilisation responsable dans le respect de l’éthique. Ainsi, lorsque les risques sont qualifiés de « risques inacceptables », ils sont strictement proscrits ou sont assujettis à des contraintes rigoureuses. Quant aux systèmes d'IA à « risques élevés », ils sont soumis à des exigences strictes de conformité et d'évaluation afin de minimiser les risques éventuels et assurer la protection des droits fondamentaux des utilisateurs.
En effet, les risques sont inacceptables lorsque les systèmes d’IA sont jugés incompatibles avec les valeurs fondamentales de l'Union européenne et les droits fondamentaux des citoyens. Cette incompatibilité représente des périls potentiels susceptibles de causer des préjudices importants ou de violer les principes éthiques et juridiques de l'UE. Il s’agit notamment des systèmes d’identification Biométrique à Distance, d’évaluation des Risques Personnels, de la catégorisation biométrique. Ces systèmes peuvent occasionner des discriminations, des violations des droits fondamentaux en portant atteinte à la dignité humaine.
Concernant les systèmes d'IA à risques élevés, il est question de ceux qui peuvent avoir un impact considérable sur les droits fondamentaux, la sécurité ou les intérêts publics. On les retrouve généralement dans des contextes assez délicats tels l’administration des biens publics, les services de la circulation, de la santé, l'éducation. Les articles 8 à 15 du règlement détaillent les exigences de conformité et d’évaluation de ces risquent
B. Les exigences spécifiques de conformité
Les systèmes d’IA classés comme présentant des risques élevés sont soumis à des exigences spécifiques de conformité. Il est question d’évaluations de conformité et documentation d’une part (1) et d’autre part de transparence et de clarté de fonctionnement des systèmes d’IA (2).
1- Évaluations de conformité et documentation
Les systèmes d’IA à risques élevés bénéficient d’un sévère cadre avant d’être admis sur le marché en tant que produits ou services. Ils passent par des évaluations de conformité. Par ailleurs, les propriétaires sont soumis à une obligation de fourniture d’une documentation technique.
Les procédures d’évaluation sont abordées par l'article 43 du règlement. Ces évaluations permettent d’assurer le respect des exigences visant à garantir le respect de certaines exigences. Il s’agit entre autres de la mise en place de système de gestion des risques, de l’utilisation des données de hautes qualité permettant de minimiser le risque et garantir des résultats fiables, de la fourniture d’une documentation technique détaillée, de l’exactitude, la robustesse et la cybersécurité permettant une protection du système contre les manipulations non autorisées et malveillantes ainsi qu’une évaluation de conformité avant sa mise sur le marché.
Il existe deux procédures envisageables. Une procédure basée sur le contrôle interne et une procédure plus approfondie qui implique l'évaluation du système de gestion de la qualité et de la documentation technique. Les caractéristiques particulières du système dont il est question vont déterminer la procédure à suivre. Cette dernière est donc fonction du niveau de risque et de la complexité spécifique au système.
La documentation technique quant à elle, exigée par l'article 11, va permettre un exposé clair et méticuleux du système et de son processus de développement. Il est question de démontrer que le système dans ses caractéristiques et son fonctionnement est conforme à toutes les exigences qui découlent du chapitre III de l’IA Act. Cet exercice nécessite des informations sur la surveillance, le fonctionnement et le contrôle du système.
2- Transparence et traçabilité des systèmes d'IA
Le règlement sur l’intelligence artificielle impose des exigences spécifiques de conformité pour garantir la transparence des systèmes d'intelligence artificielle à haut risque. L’objectif de cette exigence est de fournir toutes les informations nécessaires sur le fonctionnement des systèmes aux utilisateurs et d’assurer la traçabilité des décisions automatisées.
En effet, les fournisseurs, selon les termes de l’article 13 du règlement doivent fournir une description du fonctionnement, expliquer les prises de décisions automatisées et fournir des informations sur les limitations du système. Toutes ces mesures permettent aux utilisateurs de comprendre réellement les systèmes qu’ils utilisent. Ainsi, ils sont en capacité d’évaluer et de comprendre les décisions automatisées prises par ces systèmes. Cette compréhension des caractéristiques propres du système et de son fonctionnement est nécessaire pour développer un climat de confiance chez les utilisateurs.
Aussi, l'article 19 du règlement exige la production et la conservation des journaux d'activités de façon automatique par les systèmes d'IA à haut risque. Ces journaux doivent permettre une traçabilité non seulement des décisions qui sont prises par le système mais aussi des données et des algorithmes qui ont servi à la prise de décision.
En outre, le contrôle humain est une exigence qui permet de renforcer la traçabilité des décisions prises de façon automatique par les systèmes d’IA. Cette exigence découle de l'article 14 du règlement. Elle impose que les systèmes d'IA à haut risque prennent en compte la possibilité d’intervention de l’humain au moment de la conception. Autrement dit, les décisions automatisées doivent pouvoir être surveillées, vérifiées et corrigées par des humains au besoin. Le contrôle humain est important en ce qu’il vise à garantir que les systèmes d'IA fonctionnent de manière éthique et responsable permettant une intervention en cas de défaillance ou de comportement inattendu du système.
Ce contexte très normé a de nombreuses répercussions non seulement à l’égard des développeurs mais également à l’égard des utilisateurs.
II. Les Implications Pratiques pour les acteurs du secteur des systèmes d’IA
Le cadre juridique rigoureux imposé au développement des systèmes d’IA impose de nouveaux défis aux développeurs (A) qui ont des impacts positifs sur la société (B).
A- De nouveaux défis pour les développeurs d'IA
L’IA act impose aux développeurs d’IA l’intégration de certaines exigences dès la conception (1) conduisant à une gestion efficace des risques et une sécurisation des systèmes (2).
1- Intégration de certaines exigences dès la conception
L'intégration des principes de "Privacy by Design" et "Security by Design" dans le développement des systèmes d'intelligence artificielle (IA) constitue un défi majeur pour les développeurs, en raison des exigences strictes du règlement européen sur l'IA. L'adoption de ces principes est cruciale pour se conformer aux exigences réglementaires et garantir la protection des utilisateurs. Ces principes nécessitent une approche intégrée et proactive, où la sécurité et la confidentialité sont au cœur du processus de conception, assurant ainsi la confiance des utilisateurs et la conformité légale.
En effet, le principe de "Privacy by Design" impose que la protection de la vie privée soit intégrée dès la phase de conception. Autrement dit, les développeurs ont l’obligation de minimiser la collecte de données personnelles. Ils doivent s’assurer que celles-ci sont anonymisées ou pseudonymisées. En outre, ils doivent mettre en place des mécanismes robustes pour garantir la confidentialité des utilisateurs. Cette approche proactive est essentielle pour respecter les droits fondamentaux, tels que stipulés par le règlement, et nécessite une planification rigoureuse ainsi que l'implémentation de contrôles de sécurité dès le départ.
Par ailleurs, le principe de "Security by Design" exige que les systèmes d'IA soient sécurisés contre les cyberattaques et les abus potentiels. A cet effet, les développeurs doivent intégrer des mesures de sécurité dès la conception, telles que le chiffrement des données, la gestion des accès, et la surveillance continue des menaces. Le règlement met l'accent sur la nécessité de garantir la sécurité des systèmes d'IA afin de protéger la santé, la sécurité, et les droits fondamentaux des utilisateurs. Cela implique une évaluation continue des risques et l'adoption de technologies de pointe pour anticiper et contrer les menaces potentielles.
2- Gestion des risques et sécurité des systèmes d’IA
Les développeurs de systèmes d'intelligence artificielle (IA) sont confrontés à des défis significatifs en matière de gestion des risques et de sécurité, tels que définis par le règlement européen sur l'IA. L'identification et la mitigation des risques liés à l'IA constituent une étape cruciale. A cet effet, les développeurs doivent évaluer les risques potentiels que l'IA peut poser pour la sécurité, la santé, et les droits fondamentaux des utilisateurs. Cela inclut la reconnaissance des biais algorithmiques, des erreurs de prédiction, et des impacts négatifs possibles sur la vie privée et la sécurité des données. Une fois ces risques identifiés, il est impératif de mettre en place des stratégies de mitigation efficaces. Il s’agit notamment de l'amélioration des algorithmes pour réduire les biais et l'implémentation de contrôles rigoureux pour assurer la conformité aux normes éthiques et légales.
Les développeurs doivent commencer par une évaluation rigoureuse des risques associés à leurs systèmes d'IA. Cela implique d'identifier les vulnérabilités potentielles et d'évaluer l'impact possible sur la sécurité, la santé, et les droits fondamentaux des utilisateurs. Ils procèdent au chiffrement des Données. Cette étape garantit que les informations sensibles sont protégées contre les accès non autorisés, réduisant ainsi le risque de violations de données. Le chiffrement doit être appliqué à la fois aux données en transit et aux données stockées.
La mise en place de contrôles d'accès stricts est également cruciale pour limiter l'accès aux systèmes d'IA uniquement aux personnes autorisées. Cela inclut l'utilisation de l'authentification multi-facteurs et la gestion des identités pour garantir que seuls les utilisateurs légitimes peuvent interagir avec le système. Aussi, afin de répondre rapidement aux menaces émergentes, la surveillance continue des systèmes d’IA est essentielle. Cela inclut l'utilisation de systèmes de détection d'intrusion et de logiciels de surveillance pour identifier les comportements anormaux et les tentatives d'accès non autorisées.
Contre les nouvelles vulnérabilités et les menaces en constante évolution, les systèmes d'IA doivent être régulièrement mis à jour pour inclure les derniers correctifs de sécurité.
B- Des impacts avantageux sur la société
Le cadre réglementaire rigoureux qui régit le secteur des systèmes d'IA permet de renforcer la confiance des utilisateur et de favoriser leur intégration sociale (1) tout en maintenant un certain équilibre entre l'innovation et la protection des droits fondamentaux (2).
1- Renforcement de la confiance et de l'acceptabilité sociale
Le règlement européen sur l'intelligence artificielle (IA) vise à renforcer la confiance et l'acceptabilité sociale des systèmes d'IA en mettant en place des mesures qui garantissent la transparence et la sécurité pour les utilisateurs et la société. L'une des principales stratégies pour atteindre cet objectif est l'accroissement de la transparence et l'information des utilisateurs. Les développeurs et opérateurs de systèmes d'IA sont tenus de fournir des informations claires et accessibles sur le fonctionnement des systèmes, les données utilisées, et les décisions prises par l'IA. Cette transparence est cruciale pour permettre aux utilisateurs de comprendre comment leurs données sont traitées et pour renforcer leur confiance dans ces technologies.
Par ailleurs, le règlement prévoit des mécanismes de recours et de réparation en cas de préjudice causé par les systèmes d'IA. Ces mécanismes sont essentiels pour garantir que les utilisateurs disposent de voies légales pour faire valoir leurs droits et obtenir réparation en cas de dommages matériels ou immatériels. En établissant des procédures claires pour le dépôt de plaintes et la résolution des litiges, le règlement assure que les utilisateurs ne sont pas laissés sans protection face aux risques potentiels posés par l'IA.
En somme, en promouvant la transparence et en établissant des mécanismes de recours efficaces, le règlement sur l'IA cherche à créer un environnement où l'IA est perçue comme une technologie sûre et fiable. Cela contribue à accroître l'acceptabilité sociale de l'IA, en garantissant que les systèmes d'IA sont développés et utilisés dans le respect des droits fondamentaux et des valeurs de l'Union européenne.
2- Équilibre entre innovation et protection des droits
Le règlement européen sur l'intelligence artificielle (IA) vise à établir un équilibre entre l'encouragement à l'innovation responsable et la protection des droits individuels. D'une part, il promeut l'innovation en créant un cadre juridique harmonisé qui soutient le développement et l'adoption de l'IA dans l'Union européenne. Ce cadre vise à stimuler l'innovation en garantissant que les systèmes d'IA sont développés de manière éthique et conforme aux valeurs de l'Union, tout en évitant la fragmentation du marché intérieur due à des réglementations nationales divergentes.
Pour encourager une innovation responsable, le règlement met en place des règles claires et solides qui soutiennent les nouvelles solutions innovantes, en particulier pour les petites et moyennes entreprises (PME) et les start-ups. Ces règles garantissent que les systèmes d'IA sont conçus pour être sûrs, fiables et éthiques, ce qui contribue à renforcer la position de l'Union européenne en tant que leader mondial dans le développement d'une IA axée sur l'humain.
D'autre part, la protection des libertés individuelles et des données personnelles est au cœur du règlement. Il établit des restrictions spécifiques sur l'utilisation de l'IA pour l'identification biométrique à distance et d'autres applications sensibles, afin de protéger les droits fondamentaux des citoyens. Le règlement impose également des obligations de transparence et de documentation technique, assurant que les utilisateurs sont informés sur le fonctionnement des systèmes d'IA et leurs implications.