Utilisés aussi bien pour s’inscrire à un cursus universitaire, décider d’un film à regarder ou même trouver l’âme sœur, les algorithmes sont de plus en plus présents. Pour s’assurer de leur équité, les chercheurs du projet Regalia de l’Inria travaillent à définir des procédures d’audit d’algorithmiques. Avec l’objectif de fournir aux autorités françaises (et européennes) les outils pour réguler leur utilisation.

Les algorithmes fonctionnent de manière opaque et sont qualifiés de « boîtes noires » par leurs développeurs. Comment garantir l’absence de favoritisme, de fraude ou d’abus ? De telles accusations ont déjà été formulées contre l’éditeur de logiciel Realpage ou encore de l’application de rencontre Tinder. De plus, un fonctionnement biaisé n’est pas nécessairement intentionnel.

Les algorithmes opèrent des calculs sans considérations « éthiques », ce qui peut causer inintentionnellement des cas de discrimination. Une étude publiée au mois de décembre 2022 par l’université de Stanford explique comment un algorithme du fisc américain avait tendance à davantage suspecter d’omission les déclarations de contribuables afro-américains (bien qu’il fonctionne à partir de données anonymisées).

Une méthode pour auditer les algorithmes

Lancé début 2020, le projet-pilote « Regalia » ambitionne de repérer le fonctionnement défectueux d’un algorithme et prévenir les incidents provoqués. Il associe l’INRIA, un établissement de recherche et d’enseignement supérieur qui coordonne les travaux scientifiques prévus par la stratégie nationale pour l’intelligence artificielle de 2017 et la Direction Générale des Entreprises. Cette dernière est à l’origine de la Task force interministérielle pour la régulation des plateformes numériques, lancée début 2021, à laquelle ont participé des chercheurs de l’Inria.

Les chercheurs de ce projet travaillent sur un protocole d’interrogation par le dehors pour confirmer une déviance de la part du système. Pour cela l’algorithme, ou un modèle de substitution constitué à l’occasion du test, sera soumis à des requêtes issues de profils différents pour en analyser les réponses. Si ces dernières font apparaître deux groupes dont les caractéristiques sont les plus semblables mais dont les résultats sont les plus dissemblables, il y aura une « frontière décisionnelle ».

Concrètement, il s’agira de travailleurs indépendants qui ne seront pas rémunérés de la même manière pour une même mission ou bien de produits quasi-identiques qui ne seront pas recommandés à la même fréquence aux visiteurs d’un site de e-commerce. Repérer cette frontière oblige à fouiller les fronces de l’algorithme, c’est-à-dire se focaliser sur un groupe de réponses non discernables à l’échelle générale, importantes néanmoins d’un point de vue statistique et mises à l’écart de façon injustifiée.

Benoît Rottembourg, responsable du projet à l’Inria, précise que ces audits ne sauraient être une panacée : « Un test de requête n’est pas une preuve, mais un élément de preuve, un outil d’aide à la conviction du juge et surtout un outil de dialogue avec la plate-forme. » Ils ont lieu lors d’une enquête qui va répondre à une interrogation précise du régulateur et dont l’angle de recherche adopté aura été défini. « Un régulateur ne va pas arriver vierge pour mener un audit d’algorithme. Les enquêtes se feront avec le concours de trois métiers : des officiers judiciaires, des experts des métiers faisant usage de ces algorithmes et enfin des data-scientists », précise Benoît Rottembourg.

Le rôle de l’expert-métier est de fournir des renseignements tels que le contexte d’utilisation ou le niveau de performances poursuivi par l’algorithme, exprimé par des unités de mesure précises comme le temps passé sur un site internet.

« Le meilleur data scientist ne pourra pas seul reconstituer le comportement type d’une catégorie de consommateurs », affirme Benoît Rottembourg. La régulation algorithmique suit le modèle établi par les règlements européens (DSA, AI Act, DMA) qui distinguent les risques associés à l’utilisation possible de cette technologie : recommandation de produits, modération des contenus et détection des faux comptes, allocation de ressources ou encore pricing.

La durée d’un audit va de trois jours à plusieurs mois selon la complexité du système étudié. Ce délai peut être rallongé à cause de l’absence d’un API (interface de programmation) fournissant les données d’une plateforme, de variables cachées qui auront une incidence réelle mais insoupçonnée sur le fonctionnement du système ou encore la saisonnalité des comportements.

Il est en effet difficile d’étudier l’influence des réseaux sociaux sur les électeurs hors périodes électorales. Ces audits présentent d’autres difficultés techniques, comme celle de disposer de profils en nombre suffisant, nommés « personae » pour adresser les requêtes.

Ceux-ci doivent présenter les caractéristiques suspectées d’être à l’origine du biais. Il s’agira donc soit d’utilisateurs réels soit de profils de synthèse créés à cette occasion. Cette dernière option requiert d’être furtif. Si un algorithme détecte une activité anormale, il suspectera l’utilisation de bots et suspendra un profil suspect. « L’état de l’art chez les scientifiques et les régulateurs consiste à économiser les requêtes adressées. » précise Benoît Rottembourg. C’est la raison pour laquelle les chercheurs collaborent avec le Pôle d’Expertise de la Régulation Numérique (PEReN).

Composé de développeurs, de data-scientists et d’informaticiens, le pôle fournit aux autorités les solutions techniques nécessaires pour surveiller le cyberespace. Il a ainsi fourni à Viginum un tableau de bord pour suivre la fréquentation de mots clés sur Twitter. L’étude des « procédés algorithmiques » est explicitement citée dans le décret créant le pôle, en août 2020, et une convention d’association a été signée avec l’Inria en 2021 pour procéder à des audits.

Vers une surveillance chronique des algorithmes ?

L’objectif du projet Regalia est de faire appliquer les lois européennes à des acteurs numériques parfois très puissants. Le Digital Service Act impose l’explication du fonctionnement des algorithmes utilisés par les plateformes et la conduite d’une analyse préventive des risques causés par leur utilisation. Il stipule aussi que des tierces parties effectueront des audits pour détecter des biais. La Commission européenne a présenté, fin avril 2023, les plateformes ayant à se conformer aux exigences du DSA. L’AI Act, quant à lui, opère une répartition entre les différents types d’IA selon leur dangerosité et réitère l’obligation d’expliquer le fonctionnement des algorithmes.

La législation européenne fait surtout émerger un écosystème chargé de vérifier l’innocuité des algorithmes. Il sera composé d’ONG (comme l’organisation allemande AlgorithmWatch), d’autorités régulatrices et même d’entreprises vertueuses. Le secteur bancaire, officiant sous l’égide de l’ACPR, est particulièrement en pointe sur cette question. A l’échelle l’européenne, le Centre Européen de Transparence Algorithmique, dont le premier partenariat fut conclu avec le PEReN, a été inauguré en mai 2023 à Séville pour fournir l’assistance technique nécessaire à l’application du DSA et de l’AI Act. Ses membres analyseront les résultats des audits indépendants déjà conduits.

Les autorités françaises ne sont pas en reste : en novembre 2022, un hackathon a été organisé par la DGE pour traiter des limites et des possibilités de la régulation des algorithmes au cours duquel s’est tenu un concours de code. Les participants devaient identifier un l’algorithme servant à établir le montant facturé par un service de livraison (un scenario tiré de faits réels). Les vainqueurs ont pu identifier 14,8 % des algorithmes présents en une journée.

Interrogé sur ce point, Benoît Rottembourg a indiqué que ce score était très impressionnant compte tenu de la difficulté et du temps limité pour cette épreuve. Il a enfin souligné un point important : « Un algorithme est correctible alors qu’il est plus dur de changer des comportements d’origine humaine. »

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.