Pour les professionnels des données, les règles, la gouvernance et la conformité ne sont pas de nouvelles prérogatives ; elles ont été assimilées avec la mise en place de la RGPD. En revanche, il y a quelque chose de nouveau et d’aussi important qui se profile à l’horizon. Lori Witzel, Director of Research for Analytics and Data Management, Tibco Software nous livre son analyse.
En effet, en avril 2021, l’Union européenne a annoncé son projet de loi sur l’intelligence artificielle* (EU AIA), sous la houlette de la commission « Europe Fit for the Digital Age ». L’objectif de la commission qui mène la charge est de « faire de l’Europe le centre mondial de l’intelligence artificielle (IA) digne de confiance » et, en partenariat avec les États membres, de développer le tout premier cadre juridique de l’Intelligence Artificielle (IA).
À lire aussi : [Chronique] RGPD/PIA : fin de la récréation le 25 mai 2021
Coucher sur le papier une « déclaration des droits de l’IA » pour que cette technologie soit exploitée afin d’offrir une expérience utilisateur optimisée, fiable, responsable et sécurisée, paraît simple. En revanche, dans la pratique, son utilisation va être un réel défi à relever. Les experts en données vont devoir prêter beaucoup d’attention aux détails et fournir des efforts considérables pour évangéliser les équipes et adapter les systèmes afin d’éviter les lourdes amendes que la non-conformité pourrait imposer.
En clair…
Avant de plonger dans l’impact de la législation proposée, il est utile de comprendre ce que la loi définit comme l’IA. À ce stade précoce du projet de loi, la définition actuelle est assez large et inclut diverses approches telles que : l’apprentissage automatique (machine learning), celles fondées sur la logique et les connaissances, les systèmes experts, les méthodes statistiques, l’estimation bayésienne, les processus de recherche et d’optimisation, etc. Par ailleurs, il va de soi que toute modélisation effectuée par l’analytique augmentée et la data science tombera également sous le coup de la loi, ce qui rend la tâche d’autant plus compliquée.
En outre, tout comme dans le cas du RGPD, il importe peu que l’entreprise se trouve en dehors des frontières de l’UE. Si elle a un quelconque lien avec l’UE – des clients, des fournisseurs, du personnel voire si elle fabrique des produits pour l’UE – l’entreprise se doit d’être en conformité. La non-conformité entraîne des sanctions financières pouvant atteindre 30 millions d’euros ou 6 % du chiffre d’affaires annuel mondial. La loi stipule clairement que si les entreprises fournissent aux organismes de réglementation des informations incorrectes, incomplètes ou falsifiées, des amendes de 10 millions d’euros ou de 2 % du chiffre d’affaires seront infligées.
A lire aussi : Conformité RGPD : quels enjeux pour 2022 ?
Où, quand, comment ?
Officiellement, la loi a été confiée à la commission du Parlement européen, qui sera suivie d’un examen de la loi par le Conseil des ministres. Ce n’est qu’une fois qu’elle aura été adoptée que la période de mise en œuvre de deux ans commencera. Il est donc évident que les entreprises ne disposent que de très peu de temps pour intégrer cette nouvelle règlementation. En tout cas, le RGPD a déjà démontré que s’adapter à de telles réglementation équivaut à une course contre la montre.
Il est important de noter que la loi proposée n’est pas mise en place pour vilipender l’IA. Au contraire, elle vise à faire de l’Europe un centre d’excellence en matière d’Intelligence Artificielle. Elle intervient à un moment où le monde reconnaît le potentiel de l’IA sur des marchés aussi divers que la santé, les transports, l’énergie, l’agriculture, le tourisme et même la cybersécurité.
La loi se concentrera donc sur les domaines jugés à haut risque – les systèmes de sécurité, les infrastructures critiques, l’éducation et la formation, le maintien de l’ordre public, les programmes pour les employés, les services financiers, le contrôle des frontières ainsi que la justice – et couverts par la législation d’harmonisation du marché unique de l’UE.
Quelle démarche à suivre ?
Il serait préférable de commencer par appréhender l’IA sous un jour nouveau. Si l’entreprise entame ou a entamé une forme quelconque de transformation numérique ou d’automatisation, la probabilité que l’IA soit déjà en jeu est élevée. Un excellent point de départ consiste à établir un plan d’atténuation des risques qui y sont liées. De même, il est crucial que les équipes dirigeantes sachent comment leur entreprise intègre l’IA dans les données et les processus d’automatisation. En effet, en la matière, les régulateurs ne feront preuve d’aucune indulgence.
L’IA peut être infiltré partout sans que l’on s’en aperçoive. C’est pourquoi, il est nécessaire de passer en revue tous les systèmes nouveaux, anciens et prévus, et ne pas s’arrêter à la partie émergée de l’iceberg. Il faut consulter les fournisseurs, vérifier les services cloud pour savoir quelle IA est déployée au nom de l’entreprise, pour répertorier scrupuleusement ces informations. Ce n’est qu’à cette condition qu’il sera possible de prendre des décisions quantifiables sur la façon dont ils s’alignent sur les règlements et les classifications de l’UE.
Les systèmes qui mériteront un examen plus approfondi seront ceux qui incluent : l’apprentissage automatique pour la reconnaissance des formes, la détection des anomalies de bord et l’analyse des causes profondes, la tarification dynamique, l’engagement des clients, les jumeaux numériques pour améliorer le rendement, la surveillance de la production et la maintenance conditionnelle, ainsi que la gestion des fraudes et des risques.
Il serait, d’ailleurs, pertinent de créer une équipe d’observateurs composée de différentes parties prenantes, et pas seulement de data scientists, qui intégreront un comité directeur interne de la loi sur l’Intelligence Artificielle. Ces observateurs peuvent se voir confier différentes tâches dans divers secteurs d’activité où leurs conclusions sont rassemblées pour gérer les risques algorithmiques de l’IA en tant que groupe.
Le temps est compté !
Le processus doit démarrer dès à présent. En effet, il existe une différence importante entre les informations personnelles facilement identifiables, liées au RGPD, et l’IA qui n’est pas toujours visible. Elle est souvent cachée dans le tissu d’un système si profondément que les métiers n’en sont même pas conscients et c’est là que résident toute la difficulté et le danger de non-conformité ! Très peu imaginent que les informations dont ils disposent naturellement sont le fruit de l’IA tant cette dernière est intégrée dans le système.
En conclusion, il faut rester informés et sensibiliser les équipes. L’UE a créé une liste** de diffusion pour les mises à jour sur l’AIA, et lorsque les choses commenceront à bouger, elles bougeront rapidement.