L’intelligence artificielle (IA). Elle est partout. Et pas seulement récemment - bien que l’on puisse remercier un certain chatbot d’en avoir fait un sujet d’actualité brûlant. En effet, l’IA alimente la technologie qui nous entoure depuis un certain temps. Par exemple, elle fournit les informations nécessaires aux applications de navigation pour proposer des suggestions d’itinéraire en temps réel. Entre autres, l’IA est utilisée pour donner des estimations de l’heure d’arrivée pour les applications de covoiturage, elle sous-tend la technologie de transcription et trie vos e-mails pour vous épargner des milliers de spams. Mais c'est aussi elle qui est au cœur de technologies à plus haut risque, comme par exemple les véhicules autonomes et la détection des fraudes.
Lorsqu’une technologie est introduite auprès du grand public, il y a des risques. L’avènement de l’automobile a entraîné la création de la National Highway Safety Administration aux États-Unis. Les nouveaux médicaments font l’objet d’études approfondies par l’Agence européenne du médicament ou par la FDA aux États-Unis avant de pouvoir être mis sur le marché. Et c’est ce que nous constatons actuellement avec l’IA : les leaders de la technologie et de la politique lancent des appels de plus en plus pressants pour réguler l’IA. L’Information Commissioner’s Office du Royaume-Uni a récemment commenté l’adoption généralisée de l’IA en exhortant les entreprises à ne pas lancer de produit sur le marché sans d’abord évaluer correctement les risques liés à la protection de la vie privée. En outre, les leaders du secteur ont reconnu la rapidité avec laquelle cette technologie évolue, comme en témoigne le pacte volontaire développé entre Alphabet et l'Union européenne, qui permettrait de régir l'utilisation de l'IA en lieu et place d'une législation officielle.
Alors, comment aborder le développement de nouvelles technologies dans une démarche construite basée sur les risques ? Il existe actuellement un certain nombre de cadres de référence à utiliser quand on crée des produits et des solutions d’IA. Ces cadres peuvent fournir des orientations et des conseils pratiques pour aider à aborder le développement de ces nouvelles technologies de manière éthique et consciente des risques. Les organismes spécialisés tels que le NIST (National Institute of Standards and Technology) et l’ISO (International Standards Organization) ne sont que quelques-unes des organisations qui ont fourni des cadres de référence pour l’IA et technologies similaires. Dans cet article, nous allons examiner plus en détail le cadre de référence de l’Organisation de coopération et de développement économiques (OCDE) pour la classification des systèmes d’IA et la check-list associée, comment il se positionne par rapport à ses homologues NIST et ISO et comment l’adoption de ce cadre de référence peut être abordée.
Qu’est-ce que le cadre de référence de l’OCDE pour la classification des systèmes d’IA ?
Le cadre de référence de l’OCDE pour la classification des systèmes d’IA est un guide destiné aux décideurs politiques qui définit plusieurs dimensions pour caractériser les systèmes d’IA. Il relie ces caractéristiques aux principes de l’OCDE en matière d’IA. Il définit un ensemble clair d’objectifs et cherche à établir une compréhension commune des systèmes d’IA, à renseigner les inventaires de données, à soutenir les cadres spécifiques au secteur, à aider à gérer et à évaluer les risques et à mieux comprendre les risques typiques de l’IA liés par exemple aux biais, à l’explicabilité et à la robustesse.
Les principes de l’OCDE en matière d’IA établissent un ensemble de normes pour l’IA qui ont été conçues de manière à être pratiques et souples et qui comprennent notamment :
la croissance inclusive, le développement durable et le bien-être. Ce principe reconnaît que l’IA est une technologie susceptible d’avoir un impact considérable. Par conséquent, elle peut et doit être utilisée pour aider à faire des progrès vers certains des objectifs les plus critiques pour l’humanité, la société et la durabilité. Cependant, il est essentiel d’atténuer le potentiel de l’IA à perpétuer ou même à aggraver les biais sociaux existants ou le déséquilibre des risques/impacts négatifs possibles en fonction de la richesse ou de la géographie. L’IA doit être conçue de façon à responsabiliser chacun.
Valeurs centrées sur l’humain et équité. Ce principe vise à placer les droits humains, l’égalité, l’équité, l’état de droit, la justice sociale et la protection des données personnelles au centre du développement et du fonctionnement des systèmes d’IA. Tout comme le concept de protection des données personnelles dès la conception, il garantit que ces éléments sont pris en compte tout au long de chaque étape du cycle de vie de l’IA, et en particulier lors des étapes de conception. Le non-respect de ce principe peut conduire à une violation des droits humains fondamentaux ou à de la discrimination et peut saper la confiance du public dans l’IA en général.
La transparence et l’explicabilité : ce principe repose sur la communication que l'IA est utilisée et sur la possibilité pour les individus de comprendre comment le système d'IA est construit, comment il fonctionne et quelles sont les informations qui l’alimentent. La transparence correspond à la définition communément acceptée où les individus sont informés des détails concernant le traitement, ce qui leur permet de faire des choix éclairés. L’explicabilité vise à permettre aux personnes concernées de comprendre comment le système a généré les sorties. Lorsqu’ils reçoivent des informations transparentes et accessibles, les individus sont plus à même d’être critiques par rapport à ces sorties.
Robustesse, sécurité et sûreté. Ce principe garantit que les systèmes d’IA sont développés de façon à résister aux risques liés à la sécurité numérique et qu'ils ne présentent pas de risques déraisonnables pour la sécurité des consommateurs lorsqu’ils sont utilisés. Les considérations centrales pour maintenir ce principe comprennent la traçabilité, qui est axée sur la tenue de registres des caractéristiques des données, des sources de données et sur le nettoyage des données, ainsi que sur l’application d’une approche de gestion des risques, accompagnés d’une documentation appropriée des décisions prises en fonction des risques.
Responsabilité. La plupart des professionnels de la protection de la vie privée connaissent bien ce principe. La responsabilité sous-tend le cycle de vie du système d’IA. Il s’agit de garantir que le système d’IA fonctionne correctement et respecte manifestement les autres principes.
Comment le cadre de référence de l’OCDE se positionne-t-il par rapport à d’autres cadres ?
Le cadre de référence de l’OCDE pour la classification des systèmes d’IA n’est pas le seul cadre de référence qui se concentre sur l’établissement de processus de gouvernance pour une utilisation fiable et responsable de l’IA et des technologies similaires. Ces dernières années, plusieurs organismes spécialisés ont développé et publié des cadres de référence visant à aider les entreprises à élaborer leur programme de gouvernance des systèmes d’IA. Quand vous êtes en phase de détermination de l’approche qui vous convient, plusieurs cadres de référence doivent être pris en compte. Celui de l’OCDE peut être utilisé pour soutenir votre approche, mais son large périmètre lui permet de facilement en compléter d’autres. Vous n’avez donc pas besoin de décider entre les cadres de l'OCDE, du NIST ou ISO, mais vous pourrez les intégrer pour qu'ils fonctionnent de manière harmonieuse. Nous allons comparer ici les cadres NIST et ISO.
Cadre AI Risk Management Framework du NIST
Le 26 janvier 2023, le NIST a publié son cadre de référence sur la gestion des risques liés à l’intelligence artificielle (Artificial Intelligence Risk Management Framework, AI RMF). Il s’agit d’un document d’orientation destiné à être utilisé sur une base volontaire par les organisations qui conçoivent, développent ou utilisent des systèmes d’IA. Il vise à fournir un cadre de référence pratique pour mesurer et protéger les dommages potentiels posés par les systèmes d’IA en atténuant les risques, en déverrouillant les opportunités et en augmentant la fiabilité des systèmes d’IA. Le NIST liste les caractéristiques suivantes pour que les organisations mesurent la fiabilité de leurs systèmes :
Valide et fiable
Sûr, sécurisé et résilient
Responsable et transparent
Explicable et interprétable
Focalisé sur une protection des données personnelles renforcée
Équitable, avec une gestion des biais nuisibles
En outre, le cadre AI RMF du NIST donne des conseils à appliquer suivant quatre étapes : gouverner, cartographier, mesurer et gérer. Ces étapes ont pour but de fournir aux organisations un cadre de référence pour comprendre et évaluer les risques et pour les maîtriser avec des processus définis.
Lignes directrices ISO sur la gestion des risques liés à l’intelligence artificielle
Le 6 février 2023, l’ISO a publié la norme ISO/IEC 23894:2023, un document d’orientation pour la gestion des risques liés à l’intelligence artificielle. Tout comme le cadre AI RMF du NIST, les lignes directrices de l’ISO visent à aider les organisations qui développent, déploient ou utilisent des systèmes d’IA à mettre en place les bonnes pratiques de gestion des risques. Elles décrivent une série de principes directeurs qui soulignent que la gestion des risques doit être :
Intégrée
Structurée et complète
Personnalisée
Inclusive
Dynamique
Éclairée par les meilleures informations disponibles
Adaptée aux facteurs humains et culturels
Améliorée en continu
Tout comme le AI RMF du NIST, les lignes directrices de l’ISO définissent les processus et les politiques pour la gestion des risques liés à l’IA. Elles incluent la communication et le conseil, l’établissement du contexte, l’évaluation, le traitement, la surveillance, l’examen, l’enregistrement et le reporting des risques liés au développement des systèmes d’IA et prennent en compte leur cycle de vie.
Comment ces cadres de référence se positionnent-ils par rapport à celui de l’OCDE ?
Le cadre de référence de l’OCDE a un périmètre plus large que d’autres cadres de gestion des risques liés à l’IA et vise à aider les organisations à comprendre et à évaluer les systèmes d’IA dans plusieurs contextes ou dimensions, notamment :
les personnes et la planète
le contexte économique
les données et les entrées
les modèles d’IA
les tâches et les sorties
Contrairement aux cadres de référence du NIST et de l’ISO, le cadre de référence de l’OCDE favorise la construction d’une compréhension fondamentale de l’IA et du langage associé pour aider à éclairer les politiques dans différents contextes. Il vient aussi en appui à des cadres sectoriels et peut être utilisé en parallèle de réglementations ou de directives financières ou spécifiques aux soins de santé. Il vise également à soutenir le développement d’évaluations des risques ainsi que de politiques de gouvernance pour la gestion continue des risques liés à l’IA.
Les cadres de gestion des risques liés à l’IA du NIST et de l’ISO se concentrent sur les mesures et les exigences spécifiques pour l’audit des risques. À ce titre, ils peuvent compléter les parties plus centrées sur la politique du cadre de référence de l’OCDE et peuvent aider les organisations à mûrir et à rendre opérationnelles leur vision du développement et de l’utilisation des systèmes d’IA.
Comment les organisations peuvent-elles mettre en œuvre le cadre de référence de l’OCDE pour la classification des systèmes d’IA ?
OneTrust a ajouté un modèle de check-list basé sur le cadre de référence de l’OCDE pour la classification des systèmes d’IA à son nouveau produit AI Governance. Cette check-list pour l’IA de l’OCDE a pour but de vous aider à évaluer les systèmes d’IA d’un point de vue politique et peut être appliqué à une gamme de systèmes d’IA selon les axes suivants, décrits dans le cadre de référence de l’OCDE.
Elle permet également de garantir qu’un triage et que des politiques efficaces sont en place au sein de votre organisation pour traiter l’ensemble des domaines et des préoccupations potentielles liées à l’utilisation des systèmes d’IA. En résumé : vous pouvez utiliser cette check-list pour valider s’il existe la bonne série de politiques dans votre entreprise pour combler les lacunes dans les systèmes d’IA en vertu de chacun des principes, s’il existe une organisation et les responsables appropriés pour gérer les risques identifiés par cette check-list et pour superviser leur atténuation, ou si tous les domaines sont correctement représentés dans le cycle de vie du développement et/ou de l’utilisation du système d’IA.
Pour garantir que les organisations développent et déploient les systèmes d’IA de manière responsable, OneTrust a créé un modèle d’évaluation complet dans son produit AI Governance. Il inclut la check-list du cadre de référence de l’OCDE pour la classification des systèmes d’IA. OneTrust AI Governance est un outil complet conçu pour aider les organisations à répertorier, à évaluer et à surveiller le large éventail de risques associés à l’IA.
Parlez à un expert dès aujourd’hui pour en savoir plus sur la façon dont OneTrust peut aider vos organisations à gérer les systèmes d’IA et les risques associés.
