The Bridge - Série « Data »
Nathalie Beslay, PDG et cofondatrice de Naaia, a rencontré Caroline Goulard, journaliste et PDG des sociétés data Dataveyes et Modality, pour discuter de la nouvelle loi sur l'IA, qui devrait entrer en vigueur après sa publication le 22 avril au Journal officiel de l'Union européenne. Leur entretien de 45 minutes, réalisé au Artefact The Bridge by Artefact , explore tous les aspects de cette loi conçue pour garantir la sécurité et le respect des droits fondamentaux, tout en stimulant l'innovation.
Nathalie Beslay est PDG et cofondatrice de Naaia, un fournisseur de solutions de conformité et de gestion des risques pour le secteur de l'intelligence artificielle. Avocate depuis 2004, Nathalie se consacre au secteur de la santé et de la beauté. Elle est particulièrement qualifiée pour aborder les questions réglementaires, ayant dirigé un projet pour l’Institut de prospective technologique de Séville sur les défis et les risques liés à l’introduction de nouvelles technologies dans le secteur de la santé. Elle a également été conseillère technique auprès du secrétaire d’État français chargé de la Santé sur les questions de bioéthique et directrice juridique d’un opérateur de solutions de santé en ligne.
En quoi votre parcours vous a-t-il aidé à comprendre les enjeux actuels liés à l'intelligence artificielle ?
Que ce soit dans le domaine de la santé ou de l’IA, les acteurs sont confrontés à des contraintes réglementaires. L’essentiel est de transformer ces contraintes en opportunités. Ma connaissance du cadre réglementaire applicable aux produits de santé m’a aidé à saisir les enjeux et les risques liés au nouveau cadre réglementaire de l’IA, car celui-ci est structuré exactement de la même manière que celui qui régit les produits de santé : les objectifs sous-jacents sont essentiellement la sécurité des utilisateurs et des bénéficiaires de ces produits.
L'IA est donc réglementée de la même manière qu'un médicament ?
La loi sur l'IA est conçue comme une réglementation horizontale des produits. Cela signifie qu’elle s’applique à tout type d’entreprise, quelle que soit sa taille, qu’elle soit privée ou publique. Il existe des exceptions pour certains secteurs, tels que le secteur militaire, mais il s’agit d’une réglementation des produits, similaire en termes de concept et de type d’obligations à d’autres réglementations des produits.
Parlez-nous un peu plus de la loi sur l'IA. Comment les entreprises peuvent-elles tirer parti de cette réglementation ?
Derrière ses 400 pages complexes, la loi sur l'IA est essentiellement un système de gestion des risques, un système d'assurance qualité, une documentation, une documentation technique et un mode d'emploi. On a beaucoup parlé du seuil réglementaire – ce moment où une réglementation devient si restrictive qu'elle impose une charge au lieu de mener à des objectifs positifs. Mais des études ont montré que si les entreprises sont très numériques, la réglementation les aidera à se développer.
Pour cela, les entreprises doivent adhérer à la loi sur l'IA, l'intégrer pleinement et en intégrer les obligations dès la conception de leurs processus. La meilleure approche consiste à dire : « Je vais mettre en place une conformité fondée sur la valeur, je vais examiner ce que la conformité peut apporter à mon produit, et donc à mes clients. »
Les composants d'IA ne sont pas toujours développés en interne. Les acteurs européens devront-ils se procurer des solutions d'IA auprès de fournisseurs respectant les normes européennes ?
Étant donné que la loi sur l'IA est une réglementation relative aux produits, elle imposera des obligations différentes aux acteurs de la chaîne d'approvisionnement en intelligence artificielle, selon que vous soyez fournisseur, distributeur ou exploitant. Différentes étapes se succéderont, selon que vous fabriquez vous-même ou achetez des produits prêts à l'emploi, ou que vous utilisez un modèle pour ensuite le transformer en système d'IA. Les fournisseurs devront démontrer la conformité et fournir une documentation technique ; les acteurs qui personnalisent les produits devront démontrer qu'ils respectent ce que les fournisseurs leur ont fourni, mais aussi que toute couche ajoutée est conforme, impartiale, respecte les droits d’auteur, est de qualité et utilise data représentatives.
Que répondez-vous à ceux qui craignent que cela ne fasse prendre du retard à l'Europe par rapport aux États-Unis ou à la Chine ?
Le texte initial de la loi sur l'IA a évolué, en partie sous l'influence de ceux qui se sont ouvertement opposés à toute réglementation. Aujourd'hui, la phase de R&D bénéficie d'un sursis en matière de contrôles, et les modèles open source sont exemptés, sauf lorsqu'ils présentent ce qu'on appelle un risque systémique, c'est-à-dire lorsque le niveau de risque est trop élevé pour pouvoir bénéficier de cette exemption. Je voudrais dire aux sceptiques que l’IA européenne implique de prendre ces enjeux en compte et d’intégrer ces règles dans leurs processus de commercialisation. Avant tout, je tiens à leur dire que lorsque l’on dispose d’autant de capacités, de puissance, d’intelligence et de vision que nos acteurs français et européens, la mise en place et l’intégration de la conformité ne sont pas du tout compliquées.
Il est important de garder à l'esprit que les législations américaine et chinoise en matière d'IA sont également en cours d'élaboration et que tout le monde partage le même objectif : préserver et remettre l'accent sur la dimension humaine dans l'utilisation de ces nouvelles technologies – ou du moins d’essayer de le faire, du mieux possible.
Qu'en est-il de la conformité pour les entreprises européennes qui ont déjà commencé à tester ou à utiliser des systèmes d'IA ?
La meilleure solution consiste à revoir le calendrier. La loi sur l'IA sera officiellement votée le 22 avril au Parlement européen. En mai, la loi sera publiée au Journal officiel, et le calendrier entrera alors en vigueur. Dans six mois, les IA interdites devront être retirées des plateformes ou mises en conformité. Au bout d’un an, les éditeurs de modèles d’IA à usage général devront se conformer à la réglementation. Au bout de deux ans, tous les autres systèmes d’IA devront respecter l’ensemble des obligations, avec des délais légèrement plus longs pour les IA dont la mise en conformité sera plus complexe. En d’autres termes, chaque fois qu’une IA concerne un produit ou un équipement lui-même soumis à une réglementation – dispositifs médicaux, transport de gaz, certaines machines-outils, par exemple –, le législateur accordera un délai de 36 mois pour se conformer, car ces réglementations doivent être cumulées et ordonnées.
Donc, la priorité absolue est de recenser, d'identifier et de filtrer les IA interdites, afin de les éliminer ou de les mettre en conformité. L'objectif est d'atteindre la conformité en lui donnant du sens, en nous demandant à quoi elle sert, en créant des produits de qualité qui soient sûrs, compréhensibles et explicables, qui répondent à un besoin et qui consomment le moins d'énergie possible.
Pourriez-vous nous donner des exemples d'IA qui seront bientôt interdites ?
La loi sur l'IA adopte une approche fondée sur les risques. Certains systèmes d'IA ont été jugés présenter un risque « inacceptable » ; le législateur les a donc classés parmi les systèmes interdits. Ils sont au nombre de huit, dont l’un concerne les systèmes d’intelligence artificielle susceptibles de permettre une manipulation subliminale. La liste comprend également les systèmes de notation sociale généralisée, c'est-à-dire la classification et la catégorisation des individus en fonction de leur niveau économique ou de leur position sociale, mais à très grande échelle. Les systèmes de reconnaissance émotionnelle basés sur la biométrie sont également interdits sur le lieu de travail et dans les établissements d'enseignement, sauf pour des raisons de sécurité. Par exemple, dans les sites de production, il peut être nécessaire de mesurer l'état émotionnel des personnes afin d'assurer leur sécurité sur une chaîne de production ou de se prémunir contre d'éventuels intrus. Un autre système d'IA interdit est celui de la reconnaissance faciale utilisé pour lutter contre la criminalité. Ce type de vidéosurveillance est réservé à certaines autorités et à certaines infractions. Lorsqu'il est autorisé pour des organisations privées, c'est pour des infractions jugées très graves, telles que le terrorisme, la criminalité, les agressions et les viols, et cela est défini de manière aussi précise dans la loi sur l'IA.
À titre d'exemple, si OpenAI ne documente pas ses modèles et ne « joue pas le jeu », sera-t-elle interdite en Europe d'ici un an ?
Dans ce cas, oui, les gens devraient cesser de l'utiliser, et OpenAI s'exposerait à une sanction importante. Mais je ne crois pas à ce scénario. Je pense que les acteurs du secteur se conformeront à la réglementation. Ce ne sera pas facile : cela coûtera cher et demandera beaucoup de planification. Se conformer signifie établir un budget pour répondre aux exigences, se mettre à niveau, mobiliser des experts, former des équipes et intégrer la conformité dans la feuille de route de l'entreprise. Ce n'est pas facile, mais c'est faisable, et vu les enjeux, il faut le faire.
Comment aller au-delà de la simple conformité et transformer ces réglementations en un avantage concurrentiel ?
Lorsque nous Postuler règles, nous examinons la mesure dans laquelle la règle peut servir le produit. Par exemple, lorsque vous avez une obligation de traçabilité, d’explicabilité tout au long de la chaîne, et que vous faites appel à des sous-traitants, se tourner vers ces sous-traitants pour la qualité peut signifier améliorer le coût ou mettre en place des normes, ce qui est évidemment bénéfique pour le produit. Alors, comment transformer cette contrainte en opportunité ? Nous examinons dans quelle mesure la règle va apporter la réponse nécessaire en matière de qualité et de sécurité.
Certains secteurs l'ont bien compris, comme celui de l'alimentation. Le Nutri-Score est une règle qui favorise les produits qui jouent le jeu. Il renforce la confiance des consommateurs. Bien sûr, le Nutri-Score a constitué une contrainte dans la chaîne de valeur, mais qui pourrait s'en plaindre aujourd'hui ? Tout le monde adhère à ce type de règle. L'aéronautique est un autre secteur qui sait que la conformité et les règles sont bénéfiques pour ses produits. Dans les secteurs où la sécurité est cruciale, les contraintes ont été transformées en atout de confiance, en opportunité de fidéliser la clientèle, de favoriser la compréhension et de créer un lien avec les clients. Il en va de même pour l'intelligence artificielle : c'est une bonne chose d'avoir ces réglementations… et peut-être même une occasion de se demander si nous avons vraiment besoin d'une IA donnée, si l'effort est trop important par rapport au bénéfice.
Quels sont les risques pour une entreprise qui retarde la mise en œuvre de la loi sur l'IA ?
Le général MacArthur a dit cette phrase célèbre : « Les batailles perdues peuvent se résumer en deux mots : trop tard. » Il pourrait être trop tard parce que le législateur européen a mis en place un système coercitif assorti d’autorités et de sanctions. Au-delà de la crainte des répercussions juridiques, il peut être trop tard dans la chaîne d’accès au marché. En matière d’IA, rares sont aujourd’hui les acteurs qui ne parlent pas de « confiance », d’« IA responsable » ou d’« IA alignée », comme si cela allait de soi. On ne peut pas créer d’IA sans confiance, ce qui ne manquera pas de faire la différence sur le marché. Si vous ne disposez pas d’un processus de conformité intégré dès le départ, vous allez certainement passer à côté de toute la chaîne de valeur.
En quoi votre nouveau projet, Naaia, aide-t-il les entreprises à relever ces défis ?
Naaia aide les entreprises à se concentrer sur leur cœur de métier, sur l'innovation et sur leurs équipes. Notre outil fournit les clés pour se mettre en conformité aussi rapidement et efficacement que possible. Il intègre un algorithme de qualification qui crée un référentiel au sein de l'entreprise afin d'identifier et de qualifier tous les systèmes d'intelligence artificielle, puis génère un plan d'action. Ce plan d’action sera élaboré dans le périmètre de chaque système d’IA, mais il permettra également de mutualiser les efforts sur l’ensemble des réglementations afin d’aider les entreprises à se mettre en conformité rapidement et efficacement, en leur fournissant des listes d’actions concrètes accompagnées de modèles de documentation et d’outils de formation pour permettre aux équipes de se mettre au travail. Pour ce faire, nous limitons les contraintes et les coûts, en réduisant le recours à des experts qui ne sont pas suffisamment proches des équipes et des produits, et en essayant d’internaliser cette fonction afin de l’assimiler et de la métaboliser. Le mot juste pour la conformité est « métaboliser », afin que, lorsque nous mettons le produit sur le marché, nous soyons aussi sereins et libres de toute entrave que possible.
Avec quel type de clients travaillez-vous actuellement ?
Aujourd’hui, ce sont principalement les pionniers et les grands utilisateurs de l’IA, les groupes C40 qui disposent d’une infrastructure importante et ont déjà déployé de nombreuses solutions d’IA. Et des acteurs plus spécialisés dont l’activité principale est l’IA, qui sont absolument tenus d’adopter immédiatement des pratiques de conformité, car c’est une question de survie : ils ne pourront pas commercialiser leurs produits s’ils ne sont pas en conformité. Par la suite, nous inclurons progressivement les petites entreprises. Elles disposent de moins de ressources pour gérer les questions de conformité, mais elles auront moins d’options à l’avenir. Tout comme il existe un CRM pour gérer les relations clients, un ERP pour gérer la production et un SIRH pour gérer les ressources humaines, nous pensons qu’il nous faut un outil pour gérer l’IA de manière centraliséeet pour aider chacun à faire bon usage de l’IA et à gérer les responsabilités. À cet égard, Naaia est un AIMS, un système de gestion de l’intelligence artificielle qui deviendra un produit de base – telle est notre vision pour demain.
