IA de confiance : de la certification à la normalisation

Combien de fois dans une journée une intelligence artificielle a-t-elle influencé votre choix voire a pris une décision à votre place ? Quand un algorithme vous suggère un morceau de musique ou une nouvelle série TV sur une plateforme de streaming, la portée est limitée. L’IA peut, en revanche, littéralement changer le cours de votre vie quand il s’agit de vous orienter dans l’enseignement supérieur avec Parcoursup, d’analyser votre candidature dans un processus de recrutement ou de vous octroyer ou non un prêt bancaire.

Au regard de l’importance des enjeux, la confiance portée en ces modèles algorithmiques devient un élément clé. Une IA de confiance répond, d’après la Commission européenne, à sept exigences, dont la robustesse du modèle, son explicabilité, le respect de la vie privée, de la diversité et de l’équité. Elle propose un guide d’auto-évaluation, baptisé ALTAI (Assessment List for Trustworthy Artificial Intelligence), pour s’assurer de la conformité d’une IA à ces critères.

L’adoption ou tout du moins l’acception de l’IA par le corps social ne peut passer que par cette notion de confiance. 73 % des Français déclarent ainsi que le développement d’une IA de confiance est un enjeu important, voire essentiel selon une enquête de l’Ifop datée de décembre 2020. Le business de nombreuses entreprises en dépend. À partir de mi-2025, et l’entrée en vigueur attendue de l’AI Act, elles disposeront d’un cadre réglementaire, à l’image du RGPD pour la protection des données personnelles.

Cet AI Act prévoit de classer les IA selon leur niveau de risque. Les applications et les systèmes d’IA créant un risque inacceptable, comme le projet de notation sociale actuellement déployé en Chine, seront interdits. Les modèles présentant un risque élevé comme les outils de tri automatique de CV, de scoring bancaire ou de la justice assistée par IA seront, eux, régulés. Le futur règlement européen fixe également des garde-fous dans les domaines du véhicule autonome, des dispositifs médicaux ou de l’identification biométrique.

Anticiper la mise en place de l’AI Act

Pour Gwendal Bihan, PDG d’Axionable, société de conseil en IA durable, et vice-président du collectif Impact AI regroupant plus de soixante entreprises (Microsoft, AXA, Orange, Deloitte…) faisant la promotion de l’IA de confiance, les entreprises ont tout intérêt à se préparer au plus tôt au futur règlement. « Elles doivent commencer dès maintenant à documenter, à tracer leurs IA pour s’inscrire dans l’approche par les risques souhaitée par l’AI Act. »

Selon lui, le RGPD a préparé les esprits et les entreprises ne souhaitent pas revivre le même retard à l’allumage. « Je sens une meilleure anticipation, poursuit Gwendal Bihan. Il s’agit d’éviter de créer une dette technique et devoir, après coup, mettre en conformité les modèles conçus avant le règlement. »

Le parallèle avec le RGPD est d’ailleurs naturel puisqu’il s’agit, comme pour les traitements de données personnelles, de commencer par dresser un inventaire des IA existantes dans une organisation. « Il est aisé de cartographier les modèles développés en interne. C’est plus compliqué quand l’IA se cache dans des solutions du marché, utilisées par la DRH ou la DAF. »

Après la cartographie, le responsable de traitement, à savoir l’entreprise, procède à une analyse des risques. Il convient aussi d’avoir une incarnation ce projet avec « un interlocuteur dédié à qui on le donne les moyens et le pouvoir d’agir », à l’instar du délégué à la protection des données (DPO) avec le RGPD. Cela peut être le chief AI ethics officer que l’on voit émerger dans l’organigramme de certaines multinationales.

En attendant l’AI Act, l’entreprise peut s’appuyer sur des cadres méthodologiques pour assurer la documentation, la gouvernance et la traçabilité des modèles. Le Laboratoire nationale métrologie et d’essais (LNE) propose une certification de processus pour l’IA et le cabinet GoodAlgo un label baptisé ADEL. De même, l’association Labelia a lancé un label d’IA responsable et de confiance. Après Axionable, la Maif est la deuxième entreprise à obtenir cette certification.

L’Afnor à la manœuvre en France

Après les labels et les certificats arriveront, selon la suite logique, les normes. En France, l’Afnor a été mandatée, en mai 2021, par l’État pour conduire le volet normalisation du Grand Défi Intelligence Artificielle. Un projet piloté par le Secrétariat général pour l’investissement (SIG) – rattaché au Premier ministre – et financé par le Programme d’investissements d’avenir (PIA) à hauteur de 1,2 million d’euros.

Objectif : « créer l’environnement normatif de confiance accompagnant les outils et les processus de certification des systèmes critiques à base d’intelligence artificielle. » « La commission de normalisation IA a pour objectif de définir et de promouvoir la position de la France sur le sujet, et de valoriser les initiatives françaises« , précise Louis Morilhat, chargé de mission Grand Défi Intelligence Artificielle au sein du groupe Afnor.

Ce travail de normalisation s’opère à trois niveaux. Il y a donc le niveau français avec la commission de normalisation IA de l’Afnor, le niveau européen avec le Comité Européen de Normalisation (CEN) et son comité technique CEN-CLC/JTC 21 sur l’IA et, enfin, le niveau international avec l’Organisation internationale de normalisation (ISO) et le comité JTC 1/SC 42.

Pour alimenter le débat au niveau hexagonal, le Grand Défi IA comprend, lui, trois piliers. Il y a le pilier technologique avec le consortium Confiance.ai qui réunit des industriels comme Airbus, Thales, Renault, Air Liquide ou Safran. Ce consortium définit les méthodes et les outils pour créer une IA de confiance. Le deuxième pilier est dédié à l’homologation et aux tests. Enfin, le pilier normatif est représenté par l’Afnor.

La feuille de route normative, dévoilée en avril, comprend six axes dont l’un porte sur les caractéristiques d’une IA de confiance (sécurité, sûreté, explicabilité, robustesse transparence, équité), un autre sur l’analyse des risques ou encore les moyens mis en œuvre pour s’assurer que les systèmes d’IA soient contrôlables et qu’à tout moment un humain pourra reprendre la main.

« L’objectif est de rapprocher le plus possible la stratégie nationale contenue dans la feuille route des stratégies établies au niveau européen et international », reprend Caroline de Condé, responsable du projet Grand Défi normalisation en intelligence artificielle à l’Afnor. Ce travail de concertation doit aboutir, d’ici le 31 octobre 2024, à la définition de normes harmonisées au niveau européen. Les entreprises qui se conformeront à ces normes bénéficieront d’une présomption de conformité au futur cadre réglementaire.

Dix grandes thématiques vont ainsi se décliner en normes harmonisées. Parmi elles, on trouvera l’évaluation de la conformité – à savoir les exigences portées par les organismes de certification ou les mécanismes de l’audit – ou les règles de cybersécurité spécifiques à l’IA. « La France est actuellement à l’origine de deux initiatives poussées au niveau européen, note Caroline de Condé. La première porte sur une approche unifiée des caractéristiques d’une IA de confiance, la seconde sur la création d’un catalogue de risques. »

La Cnil, future autorité de contrôle ?

Durant ce processus normatif, la consultation du paysage économique français se poursuit. Parmi les organisations consultées, on trouve des startups, des entreprises, des institutionnels, des acteurs juridiques, académiques ou associatifs mais aussi des collectifs comme le Hub France IA ou France Digitale. « Une plateforme pour recueillir les réflexions de ces acteurs et les retours d’expérience sera opérationnelle fin septembre, début octobre« , indique Louis Morilhat.

Dans un laps de temps encore plus loin, après l’entrée en vigueur de l’AI Act, la Cnil devrait, selon les recommandations d’une étude du Conseil d’État, publiée le 30 août, être l’autorité de contrôle nationale responsable de la régulation des systèmes d’IA.

Pour se préparer à ses futures missions, la commission aurait, selon l’Usine Digitale, testé deux dispositifs d’explicabilité des mécanismes algorithmiques pour éviter l’effet « boite noire ». Par ailleurs, la Cnil a déjà mis en ligne une grille d’analyse « permettant aux organismes d’évaluer par eux-mêmes la maturité de leurs systèmes d’IA au regard du RGPD ».