Kilian Gross, chef d’unité au sein de la Commission européenne et architecte du projet de réglementation de l’Union européenne (UE) sur l’intelligence artificielle (AI) responsable, se joint à Alpesh Shah (Association de normalisation de l’Institut des ingénieurs électriciens et électroniciens (IEEE) et à Nye Thomas (Commission du droit de l’Ontario) pour discuter des tenants et aboutissants du projet et de leur applicabilité générale tant dans le secteur public que privé.
Il n’y a aucune solution miracle pour la réglementation de l’intelligence artificielle (IA). Pour bien faire les choses, il faut partir du défi que la réglementation elle-même est censée résoudre, et c’est quelque chose que Kilian Gross ne sait que trop bien.
En tant que chef de l’unité Développement et coordination des politiques en matière d’intelligence artificielle au sein de la Commission européenne, M. Gross a joué un rôle déterminant dans la rédaction du nouveau projet de l’UE visant la réglementation de l’IA. Le processus s’articule autour d’un objectif primordial : positionner l’IA comme une opportunité – et non un problème – et créer un cadre juridique efficace favorisant son développement, tout en instaurant un climat de confiance dans le marché.
« Nous voulons créer un marché pour l’IA, explique Kilian Gross, mais ce doit être un marché pour une IA digne de confiance. »
La première étape a consisté à définir l’IA de façon claire, mais également de façon assez large pour englober tous les systèmes existants et les systèmes futurs possibles. En s’appuyant sur les Principes de l’OCDE sur l’IA, la Commission a adopté une approche fondée sur le risque à l’égard de la réglementation. Cette approche est cruciale pour s’assurer que la réglementation ne dissuade personne d’en dépasser le cadre, de l’élargir délibérément.
Quels sont les points essentiels du projet dans sa forme actuelle?
Le projet de réglementation présente les cinq étapes du processus à suivre par les fournisseurs d’applications :
Ces premières étapes sont essentielles pour exploiter les avantages du cadre dans son ensemble. La réglementation regroupe les cas d’utilisation de l’IA selon un système qui identifie le niveau de risque par un code de couleur, allant du vert (risque faible) au rouge. Plus un système d’IA est élevé dans la pyramide des risques, plus il est important que les utilisateurs comprennent qu’ils n’interagissent pas avec un autre humain.
« Les cas d’utilisation de l’IA à haut risque sont, bien sûr, au centre de cette réglementation. [Ils] sont néanmoins une minorité à être incorporés dans un produit, comme dans un dispositif médical ou utilisés sur une base autonome, déclare M. Gross. Nous exigeons en général une vérification ex ante de la conformité. Avant de mettre ces systèmes sur le marché ou en service, il est important de s’assurer qu’ils répondent à nos exigences. »
Au sommet de la pyramide des risques, la couleur rouge indique les systèmes impliquant des risques considérés comme étant intrinsèquement inacceptables, ne générant aucun avantage et faisant l’objet d’une série de mesures d’interdiction spécifiques. Le projet de règlement interdit explicitement toute application d’AI qui va à l’encontre des valeurs de l’UE.
Comment le règlement fonctionnera-t-il dans la pratique?
Qu’il s’agisse d’un véhicule autonome ou d’un dispositif médical, les problèmes générés par l’IA sont les mêmes, peu importe le cas d’utilisation. Selon M. Gross, ce principe renforce la stratégie de la Commission visant à aborder le projet de réglementation dans une perspective horizontale et non à travers le prisme sectoriel.
C’est là quelque chose qu’Alpesh Shah, directeur principal, Stratégie et intelligence d’affaires à l’échelle mondiale, de l’Association de normalisation de l’IEEE, peut comprendre.
« L’adoption d’une approche globale adaptée à l’objectif permet de fixer des règles de base et de gérer les risques associés aux systèmes d’IA conçus et développés de manière à couvrir de multiples secteurs et cas d’utilisation, explique-t-il. Le projet de réglementation en tient compte puisqu’il stipule les éléments de meilleure pratique que sont la responsabilité, la transparence et la capacité d’explication, ainsi que la dimension humaine de la conception. »
Shah fait observer que si l’initiative était axée sur une réglementation propre à un secteur, elle aurait servi à aider un seul secteur, alors que les autres auraient continué d’innover de façon différente. « La clé de ces principes réside dans l’harmonisation », ajoute-t-il.
Et cela s’applique également à la souplesse qu’il faudra déployer pour que la réglementation s’applique parfaitement à d’autres secteurs ou d’autres cas d’utilisation lorsque de nouveaux défis se présentent. Malgré tout, les questions abondent. Par exemple, les secteurs public et privé devraient-ils être assujettis à un régime réglementaire distinct en matière d’IA.
M. Gross fait savoir que le projet de réglementation cherche à faire la distinction entre le public et le privé. Les cinq exigences uniques de l’UE sont formulées en fonction de l’usage. Si les autorités publiques ne sont pas visées par ces exigences, mais qu’elles aimaient les appliquer au-delà de ce qui est prévu, elles deviendraient elles-mêmes des fournisseurs et devraient se soumettre à une évaluation préalable de la conformité avant de mettre leur système sur le marché.
Nye Thomas, directeur exécutif de la Commission du droit de l’Ontario, s’empresse de souligner qu’une approche semblable serait difficile à adopter en Amérique du Nord en raison des limites territoriales et des règles constitutionnelles au Canada et aux États-Unis.
« Devrait-il y avoir des règles uniformes pour les applications du secteur privé et celles du secteur public? À mon avis, elles devraient être uniformes, mais différentes, explique-t-il. Le secteur public comprend des domaines tels que les affaires policières, la sécurité publique, les contrôles des frontières et des demandes d’asile. Vous avez la détermination des avantages. Vous avez la prise de décisions judiciaires. Il n’y a pas d’activités analogues dans le secteur privé, ce qui explique les règles juridiques différentes qui s’appliquent actuellement à ces secteurs. »
Pour que la réglementation de l’IA soit rationnelle, ajoute-t-il, elle doit tenir compte de ces complexités.
Comment la réglementation peut-elle parvenir à un juste équilibre entre « le bâton et la carotte »?
La corrélation entre les normes sectorielles, les meilleures pratiques et la réglementation actuelle prévoyant des sanctions rend les choses très complexes.
« La réglementation doit être très sévère dans certaines situations et l’être moins dans d’autres », ajoute M. Shah. Les normes volontaires peuvent faciliter les choses. Dans ce cas, je vois une approche complémentaire très forte entre les initiatives des organisations internationales de normalisation et les principes énoncés dans le projet de réglementation. »
Cet esprit de collaboration fait le bonheur de M. Gross. Il signale que chaque fois que l’IA a une incidence importante sur la vie ou la sécurité humaine, les organismes de réglementation doivent tout faire pour s’assurer que la fonction technologique remplisse ses promesses. Il considère les normes sectorielles complémentaires comme l’occasion de ramener à un niveau plus détaillé la réglementation générale rédigée par la Commission.
«Nous voulons collaborer avec les organisations internationales de normalisation. Elles ont déjà jeté des bases solides, déclare M. Gross. Nous pensons que notre projet de réglementation devrait accélérer et promouvoir l’élaboration de normes nécessaires dans ce secteur, lesquelles seront finalement l’élément décisif pour les exploitants. »
Quel est l’avenir de la réglementation de l’IA?
Une approche fondée sur les risques pour réglementer l’IA offre plusieurs avantages, à commencer par la possibilité d’adapter la réglementation à des situations particulières. Les systèmes d’IA ne sont pas tous pareils, et un modèle fondé sur les risques vous permet d’adapter vos stratégies d’atténuation pour les risques qui sont présents.
Selon M. Nye, cette approche est foncièrement plus équitable. « Elle vous permet de jouer votre rôle de façon plus discrète, ce qui, d’après moi, est une bonne chose. Un autre avantage est que vous avez le critère de risque public qui apporte une obligation d’information du public et une certaine uniformité à un système réglementaire. »
Les inconvénients résident dans l’augmentation du nombre d’inconnus. Par exemple, un grand nombre de modèles différents sont utilisés pour évaluer les risques, mais aucune norme ou convention internationale ne prescrit qui devrait les utiliser ou comment. Face à ces facteurs en constante évolution, MM. Gross, Shah et Thomas s’accordent à dire que l’utilisation d’un système dont la conception est axée sur l’humain est cruciale pour l’évolution de la réglementation dans l’avenir.
Le fait de conserver l’accent sur l’humain permet aux organismes de réglementation de mieux comprendre comment les systèmes d’IA sont appliqués sur nous et pour nous. Il permet aussi de clarifier les droits et les besoins des utilisateurs, ainsi que les raisons justifiant certains comportements, et des mécanismes adéquats pour obtenir justice. « Cela fournit un moyen de préserver l’agence et l’identité », affirme M. Shah.
Tout cela nous ramène à l’objectif primordial qui continuera d’orienter l’approche adoptée par l’UE pour réglementer l’IA dans l’avenir. La combinaison d’un bon cadre réglementaire et des bons enjeux humains continuera d’être essentielle au fur et à mesure de l’évolution de la réglementation – et de l’IA elle-même.
« L’idée maîtresse c’est que l’IA doit être au service du citoyen, et non le contraire », ajoute M. Gross.