A l’occasion de plusieurs ateliers, un groupe de travail pluridisciplinaire du collectif AI4Belgium a planché sur la proposition par l’Union européenne d’un cadre réglementaire (“Artificial Intelligence Act”) visant à garantir sécurité, caractère éthique et fiabilité aux solutions d’intelligence artificielle. Objectif de ces travaux: évaluer la pertinence de la proposition européenne et proposer d’éventuelles pistes d’amélioration.

Nous avons déjà eu l’occasion, dans un précédent article, d’aborder ce sujet sous l’angle du “trustworthy AI assessment tool” auquel travaille la cellule Ethique & Juridique d’AI4Belgium. La s’inscrit, en quelque sorte, en prolongement puisqu’elle s’attache aux principes de bases et concepts-clé esquissés et proposés par l’Europe pour une IA “digne de confiance”.

Petit rappel…

La Commission européenne a élaboré un cadre juridique et un règlement devant garantir que les solutions d’IA qui seront déployées sur le marché “garantiront la sécurité et les droits fondamentaux des citoyens et des entreprises”.

L’approche adoptée procède par classement des solutions IA selon une échelle de gradation des risques  – minimes, limités, élevés, inacceptables. Plus on progresse dans cette échelle, plus les conditions à respecter par les concepteurs, fournisseurs, intégrateurs, implémentateurs et consorts se feront strictes.

Pour les solutions équivalant à un “risque minime”, aucune contrainte spéciale n’est d’application.  Le déploiement et l’utilisation seront libres. Exemples? Jeux vidéo ou filtres anti-spam basés sur l’IA.

Les solutions classées “risque limité” doivent se plier à certaines contraintes en matière de transparence. C’est par exemple le cas des chatbots. “Les utilisateurs doivent savoir qu’ils interagissent avec une machine afin de pouvoir décider en connaissance de cause de poursuivre ou non.”

AI4Belgium: “Réguler l’IA est quelque chose de complexe mais c’est un champ dans lequel l’Europe peut s’inscrire en pointe, faire oeuvre de leader. Il est plus que temps de proposer un certain nombre de règles contraignantes afin de garantir aux citoyens et aux entreprises de pouvoir faire confiance dans les systèmes IA qui sont déployés, et ce, par le biais de procédures vérifiables, plutôt que par des directives applicables volontairement.”

Les solutions, systèmes et applications qualifiés de “risque élevé” sont notamment ceux destinés à des secteurs ou domaines peu ou prou sensibles: infrastructures critiques, enseignement er formation professionnelle, composants de sécurité (dans différents domaines, en ce compris médical – par exemple pour de la chirurgie assistée par robot ou IA), emploi, maintien de l’ordre, asile et migration, justice et processus démocratiques…

Ces systèmes, pour recevoir le feu vert pour commercialisation et déploiement, devront donc répondre à des obligations rigoureuses: évaluation préalable et atténuation des risques, contrôle de qualité des jeux de données, traçabilité, informations “claires et adéquates à l’intention de l’utilisateur”, contrôle humain, niveau de sécurité élevé…

Source: AI4Belgium.

Enfin, les solutions considérées comme présentant un “risque acceptable” seront – vous l’aurez deviné – bannies. On fait ici allusion aux “systèmes d’IA considérés comme une menace évidente pour la sécurité, les moyens de subsistance et les droits des personnes” ou “contraires aux valeurs européennes”. Par exemple: “des systèmes ou applications d’IA qui manipulent le comportement humain pour priver les utilisateurs de leur libre arbitre et des systèmes qui permettent la notation sociale par les États.”

Exemple de “manipulation du comportement humain”: des jouets ou des jeux utilisant une assistance vocale incitant des mineurs à avoir un comportement dangereux.

Exemple de système de notation sociale banni aux yeux de l’Europe:  un système IA qui identifierait des “enfants à risque”, ayant dès lors besoin d’une assistance sociale, sur base d’une “mauvaise conduite” insignifiante ou non pertinente des parents – “par exemple, le fait de louper un rendez-vous chez le médecin, ou un divorce”.

L’évaluation belge

Les membres du groupe de travail Ethique & Juridique d’AI4Belgium a relevé une série de zones d’ombre voir d’éléments qu’il serait judicieux, à leurs yeux, de préciser ou de reformuler.

Une réglementation “multi-IA”

L’IA a beaucoup évolué au fil des ans. Née à l’heure où, voici déjà plusieurs décennies, on ne jurait que par les systèmes experts, elle a déjà connu plusieurs mues – ou mutations. Désormais, nous en sommes arrivés à l’ère de l’apprentissage automatique, de l’apprentissage profond, de l’apprentissage supervisé ou non, de l’apprentissage par renforcement… Qui sait de quoi demain sera fait…

Raison pour laquelle les auteurs de la proposition de cadre réglementaire ont voulu “définir l’IA de la manière la plus neutre possible afin de couvrir toutes les techniques – en ce compris celles que l’on ne connaît pas encore ou qui n’ont pas encore été développées”. L’intention est donc, par les règles et les concepts définis, d’englober les concepts d’IA symbolique, l’apprentissage automatique, les systèmes hybrides… Avec, adjointe au cadre réglementaire, une liste de techniques et d’approches pouvant être sujettes à adaptations par la suite. A cet égard, le groupe de travail belge recommande des mises à jour périodiques, “effectuées rapidement, sans nécessiter de revoir la totalité du cadre réglementaire”.

AI4Belgium: “Il est important pour les entreprises désireuses d’investir dans l’IA de pouvoir bien cerner les risques et responsabilités qu’elle implique.” Et donc d’avoir une visibilité et compréhension pleine et entière du cadre réglementaire européen.

Il est par ailleurs demandé que l’UE précise les modalités de ce processus de révision/adaptation. Et que lors de telles modifications, “un large éventail d’acteurs soient impliqués dans le processus, de telle sorte à garantir que des représentants de la société civile, de l’industrie, du monde académique et du secteur public puissent faire entendre leurs voix.”

Le “social scoring”, risque inacceptable. Mais il y a un mais…

Le groupe de travail d’AI4Belgium désirerait voir préciser la notion de “social storing” ou, en tout cas, une approche plus différenciée de ce qu’implique ce concept et le rôle joué par l’IA, selon la “cible”. Raisonnement tenu?

“Les services publics assignent d’ores et déjà des scores aux citoyens dans différents contextes – depuis l’éligibilité à des avantages sociaux jusqu’au risque de récidive en passant par les chasses de trouver facilement un emploi. Il serait donc utile de clarifier davantage les pratiques qui tombent sous le coup d’une interdiction en matière de “général citizen storing”, dans la mesure où les termes actuellement utilisés dans la proposition de réglementation et les exemples fournis par la Commission européenne, ne sont pas toujours clairs.”

Comment vérifier, “valider” chaque système, application, algorithme…?

Le chantier semble herculéen, sisyphéen. Cela ressemble beaucoup à cet espoir de vider la mer avec un seau pour château de sable.

En réalité, la vérification ne se fera pas sur les catégories de systèmes ou les systèmes proprement dit mais davantage sur les cas d’usage.

Quid d’usage pernicieux ou inacceptable de systèmes considérés comme ne présentant qu’un risque minime ou limité?

Ces types de systèmes, d’applications, de solutions sont en principe, selon l’approche proposée par l’Europe, exempts de contraintes plus ou moins strictes. Mais on le sait – l’histoire des techniques et des technologies regorge d’exemples -, un système ou une technologie même anodin(e) peut aboutir à un usage posant problème.“Si un comportement dangereux ou nuisible est rendu possible par un type d’IA classique, cela pose, du point de vue des droits fondamentaux, autant problème qu’un système jugé risqué”. Il y a donc là, potentiellement, un point faible à éliminer, ou tout au moins à mieux baliser dans le texte européen.

L’IA n’est pas qu’immatérielle

Une autre lacune que pointent les membres du groupe Ethique et Juridique d’AI4Belgium concerne la vision très logicielle que l’UE prête à l’IA. Quid de l’IA matérielle? Certains membres craignent ainsi que l’on ait exclu les robots du “score”. D’où cette proposition: soit étendre la définition de l’IA pour y inclure la robotique, soit prévoir une section spécialement consacrée à la robotique – “ou en justifier l’exclusion”… Histoire de clarifier les choses et de ne laisser aucune zone grise ou “porte dérobée” permettant de contourner l’intention du texte.

Le rôle des autorités de contrôle nationales

Qui doit assurer la surveillance de l’application des règles édictées? L’Europe? Chaque Etat? Selon une démarche coordonnée?

Tel que le prévoit, au stade actuel, la proposition de réglementation européenne, la gouvernance et la mise en application des règles sont davantage du ressort des autorités nationales. Le groupe de travail d’AI4Belgium penche quant à lui sur une plus juste répartition, davantage équilibrée, entre les instantes nationales et l’autorité de surveillance européenne.

Ses membres craignent en effet qu’une inégalité de fait s’instaure entre pays, provoquant des difficultés en matière de conditions de déploiement et d’implémentation des solutions IA ou de la manière dont les acteurs et utilisateurs s’en emparent dans les différents pays. Ce qui provoquerait des problèmes et potentiels conflits et disparités de marché et de respect des droits et valeurs fondamentaux.

Le groupe de travail base cette crainte sur l’expérience tirée de la mise en oeuvre du RGPD. “Les directives définies par les autorités nationales Vie privée furent limitées au début. […] Qui plus est, l’a mise en application du RGPD dépend des autorités nationales. Or, compte tenu des investissements inégaux consentis dans les autorités des différents Etats-membres, la protection des citoyens ne se situe pas au même niveau dans chaque pays de l’UE.”
Dès lors, estime le groupe de travail, “un rôle trop important octroyé aux autorités nationales pourrait se traduire par un risque d’implémentation inégalitaire dans les différents Etats-membres, à des rythmes variés et, potentiellement, avec des interprétations différentes. [..] Tout retard [dans certains pays] pourrait être préjudiciable pour l’innovation et pour une équité à l’échelle européenne. Il sera donc crucial de garantir une coordination forte au niveau européen.”

Le groupe de travail d’AI4Belgium souligne aussi le risque d’inégalités entre Etats-Membres [et dès lors pour leurs entreprises, porteurs de projets et citoyens] si les moyens disponibles pour la génération d’un code de conduite. “On pourrait en arriver à une situation où il y aurait davantage de codes de conduite pour des secteurs et des Etats-Membres disposant de ressources plus importantes. Les Etats-membres plus modestes, avec des marchés plus restreints, disposeront sans doute de moins de moyens pour créer ces codes de conduite.”

Un impact sociétal à ne pas négliger

Autre faiblesse de la proposition de texte européen, du moins pointée comme telle par les membres du groupe de travail d’AI4Belgium: le manque de prise en considération de l’impact potentiel de l’IA et de son application sur la société en tant que celle – au-delà donc de son impact sur les individus ou les utilisateurs (particuliers, entreprises, service public…) considérés individuellement. “Les effets néfastes que l’utilisation de l’IA peut avoir sur l’Etat de droit ou sur l’intégrité du processus démocratique ne semblent pas être adressés par la réglementation telle qu’elle est proposée, pas plus que l’impact environnemental des systèmes IA. […] Il devrait être possible d’y remédier, par exemple, en autorisant les individus à déposer des plaintes auprès des autorités de surveillance, en mettant à leur disposition des mécanismes de recours collectif. […] Par ailleurs, des consultations des différentes parties prenants devraient être régulièrement organisées afin de déterminer dans quelle mesure la réglementation a besoin d’une révision périodique afin de contrer efficacement les risques de pratiques IA posant problème.”