La loi sur l'IA : L'importance de la conformité réglementaire - et les enjeux pour les entreprises de tout type et de toute taille

Regardez la vidéo du leader Data 

Écouter le podcast 

Nathalie Beslay est PDG et cofondatrice de Naaia, un fournisseur de solutions de conformité et de gestion des risques pour l'industrie artificial intelligence. Avocate depuis 2004, Nathalie se consacre à l'industrie de la santé et de la beauté. Elle est éminemment qualifiée pour discuter des questions réglementaires, ayant mené un projet pour l'Institut de prospective technologique de Séville sur les défis et les risques liés à l'introduction de nouvelles technologies dans le secteur de la santé. Elle a également été conseillère technique auprès du secrétaire d'État français à la santé sur les questions de bioéthique et directrice juridique d'un opérateur de solutions de santé en ligne.

Que ce soit dans le domaine des soins de santé ou de l'intelligence artificielle, les gens se heurtent à des contraintes réglementaires. La clé est de transformer les contraintes en opportunités. Comprendre le cadre réglementaire des produits de santé m'a aidé à comprendre les enjeux et les risques du nouveau cadre réglementaire de l'IA, car il est construit exactement de la même manière que celui des produits de santé : les objectifs sous-jacents sont fondamentalement la sécurité des utilisateurs et des bénéficiaires des produits.

La loi sur l'IA est conçue comme un la réglementation horizontale des produits. Cela signifie qu'elle s'applique à tout type d'entreprise, quelle que soit sa taille, privée ou publique. Il existe des exceptions pour certains secteurs, tels que l'armée, mais il s'agit d'une réglementation sur les produits, dont le concept et le type d'obligation sont similaires à ceux d'autres réglementations sur les produits. 

Derrière ses 400 pages de complexité, la loi sur l'IA est essentiellement un système de gestion des risques, un système d'assurance qualité, une documentation, une documentation technique et un mode d'emploi. On a beaucoup parlé du seuil réglementaire - lorsqu'une réglementation est si restrictive qu'elle impose un fardeau au lieu de conduire à des objectifs favorables. Mais des études ont montré que si les entreprises sont très numériques, la réglementation les aidera à se développer.

Pour ce faire, les entreprises doivent adopter la loi sur l'IA, la prendre en compte et intégrer ses obligations dans leur processus dès la conception. La meilleure façon de procéder est de dire, “Je vais m'intéresser à la conformité fondée sur la valeur, je vais examiner ce que la conformité peut apporter à mon produit et donc à mes clients.”

La loi sur l'IA étant une réglementation de produit, elle imposera différentes obligations à la chaîne d'approvisionnement artificial intelligence, selon que vous êtes fournisseur, distributeur ou déployeur. Différentes étapes seront juxtaposées, selon que vous fabriquez vous-même ou achetez sur étagère, ou que vous utilisez un modèle et le transformez ensuite en système d'IA. Les fournisseurs devront démontrer la conformité et fournir la documentation technique, les acteurs qui personnalisent devront démontrer qu'ils respectent ce que les fournisseurs leur ont donné, mais aussi que toute couche ajoutée est conforme, impartiale, respectueuse des droits d'auteur, qualitative et utilisant des données représentatives data.

Le texte original de la loi sur l'IA a évolué, en partie grâce aux voix de ceux qui s'opposaient à la réglementation. Aujourd'hui, la période de R&D est un répit pour les contrôles, et les modèles open source sont exemptés sauf lorsqu'ils présentent un risque dit systémique, c'est-à-dire lorsque le niveau de risque est trop élevé pour bénéficier de l'exemption. Je voudrais dire aux sceptiques que l'IA européenne, c'est la prise en compte de ces enjeux et l'intégration de ces règles dans leurs processus de commercialisation. Mais surtout, je veux leur dire que lorsque vous avez autant de capacité, de puissance, d'intelligence et de vision que nos acteurs français et européens, il n'est pas du tout compliqué de construire et d'intégrer la conformité.

Il est important de rappeler que les législations américaine et chinoise en matière d'IA sont également en cours d'élaboration et que l'on peut s'attendre à ce qu'elles se développent rapidement. tous ont le même objectif : préserver et recentrer l'élément humain dans l'utilisation de ces nouvelles technologies - ou du moins essayer de le faire, le mieux possible.

La meilleure solution consiste à revoir le calendrier. La loi sur l'IA sera officiellement votée le 22 avril. au Parlement européen. En mai, la loi sera publiée au Journal officiel, et le calendrier commencera alors à s'appliquer. Dans six mois, l'IA interdite devra être retirée des plateformes ou mise en conformité. Dans un an, les éditeurs de modèles artificial intelligence à usage général devront se conformer à la réglementation. Dans deux ans, tous les autres systèmes d'IA devront répondre à l'ensemble des obligations, avec des délais un peu plus longs pour les IA dont la mise en conformité sera plus complexe. En d'autres termes, chaque fois qu'une IA concernera un produit ou un équipement lui-même soumis à une réglementation - dispositifs médicaux, transport de gaz, certaines machines-outils, par exemple - le législateur accordera un délai de 36 mois pour se mettre en conformité, car ces réglementations doivent être cumulées et ordonnées.

Ainsi, la première priorité est de cartographier, d'identifier et de filtrer les IA interdites, afin de les éliminer ou de les mettre en conformité. L'objectif est d'atteindre la conformité par la valeur en nous demandant à quoi sert la conformité, en fabriquant des produits de qualité qui sont sûrs, compréhensibles et explicables, qui servent un objectif et qui tentent de consommer le moins d'énergie possible.

La loi sur l'IA adopte une approche basée sur le risque. Certains systèmes d'IA étant considérés comme présentant un risque “inacceptable”, le législateur les a listés comme interdits. Ils sont au nombre de huit, dont les systèmes artificial intelligence qui pourraient permettre une manipulation subliminale. La liste comprend également les systèmes de notation sociale généralisée, c'est-à-dire la qualification et la catégorisation des individus en fonction de leur niveau économique ou de leur position sociale, mais à grande échelle. Les systèmes de reconnaissance émotionnelle basés sur la biométrie sont également interdits sur le lieu de travail et dans les établissements d'enseignement, sauf pour des raisons de sécurité. Par exemple, dans les installations de production, il peut être nécessaire d'essayer de mesurer l'état émotionnel des personnes afin de maintenir leur sécurité sur une chaîne de production ou d'assurer la sécurité contre d'éventuels intrus. Les systèmes de reconnaissance faciale utilisés pour lutter contre la criminalité constituent un autre SIA interdit. Ce type de vidéosurveillance est réservé à certaines autorités et à certains délits. Lorsqu'elle est autorisée pour les organisations privées, c'est pour certaines infractions jugées très graves, comme le terrorisme, les crimes, les agressions et les viols, et c'est aussi précis que cela dans la loi sur l'IA.

Dans ce cas, oui, les gens devraient cesser de l'utiliser, et OpenAI serait passible d'une pénalité substantielle. Mais je ne crois pas à ce scénario. Je pense que les joueurs se conformeront aux règlements. Ce ne sera pas facile - ce sera coûteux et cela nécessitera beaucoup de planification. La mise en conformité implique de prévoir un budget pour répondre aux exigences, de se mettre à niveau, de mobiliser des experts, de former les équipes et d'inscrire la mise en conformité dans la feuille de route de l'entreprise. Ce n'est pas facile, mais c'est faisable et, compte tenu des enjeux, il faut le faire.

Lorsque nous appliquons les règles, nous examinons la mesure dans laquelle la règle peut servir le produit. Par exemple, lorsque vous avez une obligation de traçabilité, d'explicabilité tout au long de la chaîne, et que vous faites appel à des sous-traitants, s'adresser à ces sous-traitants pour la qualité peut signifier améliorer le coût ou mettre en place des normes, et c'est évidemment au bénéfice du produit. Comment transformer cette contrainte en opportunité ? Nous examinons dans quelle mesure la règle va apporter la réponse nécessaire en matière de qualité et de sécurité.

Certaines industries l'ont bien compris, comme l'alimentation. Le Nutri-Score est une règle qui aide les produits qui jouent le jeu. Il renforce la confiance des consommateurs. Certes, le Nutri-Score a été une contrainte dans la chaîne de valeur, mais qui peut s'en plaindre aujourd'hui ? Tout le monde est d'accord avec ce type de règle. L'aéronautique est un autre secteur qui sait que la conformité et les règles sont bonnes pour ses produits. Dans les secteurs où la sécurité est essentielle, ils ont transformé les contraintes en un atout de confiance, une occasion de fidéliser leurs clients, de les comprendre et de créer un lien avec eux. C'est la même chose pour artificial intelligence : c'est une bonne chose d'avoir ces réglementations... et peut-être même une occasion de se demander si nous avons vraiment besoin d'une IA donnée, si l'effort est trop important par rapport au bénéfice.

Le général MacArthur a eu cette phrase célèbre : “Les batailles perdues se résument en deux mots : trop tard”. Il peut être trop tard parce que le législateur européen a mis en place un système coercitif avec des autorités et des sanctions. Au-delà de la crainte des répercussions juridiques, il peut être trop tard dans la chaîne d'accès au marché. En matière d'IA, rares sont les acteurs aujourd'hui qui ne disent pas “ confiance ” ou “ IA responsable ” ou “ IA alignée ”, comme si c'était intrinsèque. Vous ne pouvez pas faire de l'IA sans confiance, donc cela fera forcément une différence sur le marché. Si vous ne disposez pas d'un processus de conformité dès le départ, vous serez certainement perdant sur l'ensemble de la chaîne de valeur. 

Naaia aide les entreprises à se concentrer sur leur cœur de métier, sur l'innovation et sur leurs équipes. Notre outil fournit les clés pour se mettre en conformité le plus rapidement et le plus efficacement possible. Il comprend un algorithme de qualification qui crée un référentiel au sein de l'entreprise pour identifier et qualifier tous les systèmes artificial intelligence, puis génère un plan d'action. Ce plan d'action sera établi sur le périmètre de chaque EAE, mais il mutualisera aussi les efforts sur l'ensemble des réglementations pour aider les entreprises à se mettre en conformité rapidement et efficacement, en leur donnant des listes d'actions concrètes avec des modèles de documentation et des outils de formation pour que les équipes puissent se mettre en mouvement. Nous le faisons en limitant les contraintes et les coûts, en limitant le recours à tout expert qui ne serait pas suffisamment proche des équipes et des produits, et en essayant d'internaliser cette fonction afin de la digérer et de la métaboliser. Le mot juste pour la conformité est “métaboliser”, de sorte que lorsque nous mettons le produit sur le marché, nous soyons le moins inquiets et le moins gênés possible.

Aujourd'hui, ce sont surtout les early adopters et les adopteurs massifs d'IA, les groupes C40 qui ont un gros tuyau et beaucoup d'IA déjà déployée. Et des acteurs plus spécialisés dont le cœur de métier est l'IA, qui sont absolument obligés d'adopter des pratiques de conformité tout de suite, car c'est une question de vie ou de mort : ils ne pourront pas aller sur le marché s'ils ne sont pas conformes. Plus tard, nous inclurons progressivement les petites entreprises. Elles disposent de moins de ressources pour traiter les questions de conformité, mais elles auront moins d'options à l'avenir. De même qu'il existe un CRM pour gérer les relations avec les clients, un ERP pour gérer la production et un SIRH pour gérer les ressources humaines, nous pensons qu'il faut un outil pour gérer l'IA de manière centralisée., et d'aider chacun à faire un bon usage de l'IA et à gérer les responsabilités. En ce sens, Naaia est un AIMS, un système de gestion de l'intelligence artificielle qui deviendra une commodité - c'est notre vision pour demain.