IA Act – Les Risques Liés à l’Intelligence Artificielle : Un Enjeu Majeur

Introduction

Si l’intelligence artificielle offre des perspectives fascinantes et des opportunités de progrès considérables, il est crucial de ne pas occulter les risques qu’elle engendre. Comme toute technologie puissante, l’IA peut être utilisée à mauvais escient, avec des conséquences potentiellement néfastes pour les individus et la société.

Ce chapitre explore en détail les principaux risques associés à l’intelligence artificielle. Nous analyserons les biais algorithmiques, les menaces pour la protection des données et la vie privée, les dangers de la manipulation et de la désinformation, les enjeux de sécurité et de robustesse des systèmes d’IA, les impacts sur l’emploi et le marché du travail, ainsi que les questions de responsabilité et de transparence. Enfin, nous aborderons d’autres risques éthiques et sociétaux qui nécessitent une réflexion approfondie.

Biais algorithmiques et discrimination

Les biais algorithmiques constituent l’un des risques majeurs de l’IA. Un système d’IA, aussi sophistiqué soit-il, n’est que le reflet des données sur lesquelles il a été entraîné. Si ces données comportent des biais, le système reproduira et amplifiera ces biais dans ses décisions, conduisant potentiellement à des discriminations.

Sources et types de biais

Les biais peuvent s’infiltrer dans les systèmes d’IA à différentes étapes de leur cycle de vie :

• Biais dans les données d’entraînement : Si les données utilisées pour entraîner un algorithme ne sont pas représentatives de la population concernée, ou si elles reflètent des discriminations historiques, le système sera biaisé. Par exemple, un algorithme de reconnaissance faciale entraîné principalement sur des visages de personnes blanches sera moins performant pour identifier les visages de personnes de couleur (JDN).
• Biais dans la conception de l’algorithme : Les choix effectués par les concepteurs d’un algorithme, par exemple dans la sélection des variables ou la définition des objectifs, peuvent introduire des biais, parfois de manière inconsciente (IBM).
• Biais dans l’interaction avec les utilisateurs : La manière dont les utilisateurs interagissent avec un système d’IA peut également générer des biais. Par exemple, si un système de recommandation propose systématiquement les mêmes types de contenus à certains utilisateurs, il risque de les enfermer dans une « bulle de filtres » et de limiter leur exposition à des perspectives différentes.

Exemple concret : En 2016, Microsoft a lancé Tay, un chatbot conçu pour apprendre de ses interactions avec les utilisateurs de Twitter. En moins de 24 heures, Tay est devenu raciste, misogyne et antisémite, à force d’être exposé à des messages haineux. Cet exemple illustre la rapidité avec laquelle un système d’IA peut être contaminé par des biais présents dans son environnement (Wikipedia).

Exemples concrets de discrimination par l’IA

Les biais algorithmiques peuvent avoir des conséquences graves et conduire à des discriminations dans divers domaines :

• Recrutement : Un algorithme de tri de CV peut écarter des candidats qualifiés sur la base de critères discriminatoires, tels que le genre, l’origine ethnique ou le lieu de résidence.
• Octroi de crédit : Un système d’IA utilisé pour évaluer les demandes de crédit peut défavoriser certains groupes de population, en se basant sur des données historiques reflétant des inégalités d’accès au crédit.
• Justice : Des algorithmes utilisés pour évaluer le risque de récidive peuvent reproduire des biais raciaux existant dans le système judiciaire, conduisant à des peines plus lourdes pour certains groupes de population.

Analyse approfondie : La discrimination algorithmique est d’autant plus insidieuse qu’elle est souvent difficile à détecter et à prouver. Les algorithmes d’apprentissage profond, en particulier, sont souvent considérés comme des « boîtes noires », dont le fonctionnement interne est opaque et difficile à interpréter (IBM).

Stratégies d’atténuation des biais

La lutte contre les biais algorithmiques est un enjeu crucial pour le développement d’une IA éthique et équitable. Plusieurs stratégies peuvent être mises en œuvre :

• Améliorer la qualité et la représentativité des données d’entraînement : Il est essentiel de collecter des données diversifiées et équilibrées, et de les nettoyer des biais existants (TWA).
• Développer des algorithmes plus transparents et explicables : Des efforts de recherche importants sont consacrés au développement de techniques d’explicabilité de l’IA, qui permettraient de mieux comprendre les décisions prises par les algorithmes (source).
• Mettre en place des audits algorithmiques : Des audits réguliers, réalisés par des tiers indépendants, permettraient de détecter et de corriger les biais dans les systèmes d’IA.
• Sensibiliser et former les développeurs et les utilisateurs : Il est crucial de sensibiliser les acteurs de l’IA aux risques de biais et de les former aux bonnes pratiques pour les prévenir.
• Garantir un contrôle humain sur les systèmes d’IA à haut risque : L’IA Act prévoit que les systèmes d’IA à haut risque doivent être conçus de manière à permettre un contrôle humain effectif, afin de prévenir ou de minimiser les risques de discrimination.

Conseil pratique : Pour les entreprises, la mise en place d’une gouvernance des données rigoureuse est essentielle pour lutter contre les biais. Cela implique de documenter les sources de données, les méthodes de collecte et de traitement, et de mettre en place des procédures de validation et de contrôle qualité. (Witik)

Protection des données personnelles et respect de la vie privée

L’IA repose souvent sur l’exploitation de grandes quantités de données, dont une partie peut être constituée de données personnelles. Cela pose des risques importants pour la protection de la vie privée, si ces données ne sont pas traitées de manière sécurisée et conforme aux réglementations en vigueur.

L’IA et le RGPD : Une relation complémentaire

Le Règlement Général sur la Protection des Données (RGPD), entré en application en 2018, constitue le cadre juridique principal pour la protection des données personnelles dans l’UE. L’IA Act ne remplace pas le RGPD, mais le complète en abordant les risques spécifiques liés à l’IA.

Le RGPD s’applique pleinement au développement et à l’utilisation de systèmes d’IA traitant des données personnelles. Les principes du RGPD, tels que la licéité, la loyauté, la transparence, la minimisation des données, l’exactitude, la limitation de la conservation et la sécurité, doivent être respectés tout au long du cycle de vie des systèmes d’IA.

Point stratégique : L’articulation entre l’IA Act et le RGPD est cruciale pour garantir un niveau élevé de protection des données personnelles dans le contexte de l’IA. Les entreprises doivent s’assurer qu’elles respectent à la fois les exigences du RGPD et celles de l’IA Act en matière de protection des données. Une analyse d’impact relative à la protection des données (AIPD) peut être nécessaire pour les traitements de données à haut risque, et les Délégués à la Protection des Données (DPO) joueront un rôle important dans la mise en conformité des systèmes d’IA avec le RGPD.

Risques liés à la reconnaissance faciale et à la surveillance

La reconnaissance faciale est une technologie d’IA particulièrement sensible en termes de protection de la vie privée. Elle permet d’identifier une personne à partir d’une image de son visage, ce qui ouvre la voie à des applications de surveillance de masse et à des atteintes potentielles aux libertés individuelles.

L’IA Act encadre strictement l’utilisation de la reconnaissance faciale. Les systèmes d’identification biométrique à distance en temps réel dans les espaces accessibles au public sont considérés comme présentant un risque inacceptable et sont donc interdits, sauf exceptions strictement définies (voir chapitre 3).

Exemple concret : En Chine, la reconnaissance faciale est largement utilisée par les autorités à des fins de surveillance de la population. Cette technologie est également utilisée dans certains aéroports et par certaines forces de police dans le monde, suscitant des inquiétudes quant aux risques de dérives et d’atteintes aux droits fondamentaux.

Anonymisation et pseudonymisation des données

Pour limiter les risques liés à l’utilisation de données personnelles dans les systèmes d’IA, des techniques d’anonymisation et de pseudonymisation peuvent être utilisées.

L’anonymisation consiste à rendre impossible l’identification des personnes concernées à partir des données, de manière irréversible.

La pseudonymisation consiste à remplacer les données identifiantes par des pseudonymes, de manière à rendre l’identification plus difficile, mais pas impossible.

Conseil pratique : L’anonymisation est la méthode la plus protectrice de la vie privée, mais elle peut réduire l’utilité des données pour l’entraînement des systèmes d’IA. La pseudonymisation peut constituer un compromis acceptable, à condition que des mesures de sécurité appropriées soient mises en place pour protéger les données pseudonymisées. Il est important de noter que l’article 9 du RGPD interdit le traitement de données biométriques à des fins d’identification unique, sauf exceptions limitées, et l’article 22 interdit les décisions individuelles basées uniquement sur un traitement automatisé, y compris le profilage, sauf exceptions limitées.

Manipulation et désinformation

L’IA peut être utilisée pour créer des contenus synthétiques, tels que des images, des vidéos ou des enregistrements audio, qui sont indiscernables de contenus réels. Ces « deepfakes » peuvent être utilisés à des fins malveillantes, pour manipuler l’opinion publique, diffuser de fausses informations ou nuire à la réputation d’une personne.

Deepfakes et contenus synthétiques

Les deepfakes sont de plus en plus sophistiqués et réalistes, grâce aux progrès de l’apprentissage profond. Il est devenu extrêmement difficile, pour un œil non averti, de distinguer une vidéo deepfake d’une vidéo authentique.

Exemple concret : En 2019, une vidéo deepfake du président gabonais Ali Bongo a circulé sur les réseaux sociaux, alimentant les rumeurs sur son état de santé et déstabilisant le pays. Cet exemple illustre le potentiel de nuisance des deepfakes, en particulier dans le contexte politique.

Risques pour la démocratie et la confiance

La diffusion de deepfakes et de fausses informations générées par l’IA représente une menace pour la démocratie et la confiance dans les institutions. Si les citoyens ne peuvent plus se fier à ce qu’ils voient et entendent, le débat public est faussé et la prise de décision démocratique est compromise.

Analyse approfondie : La lutte contre la désinformation à l’ère de l’IA est un défi majeur. Il ne s’agit pas seulement de détecter les deepfakes, mais aussi de sensibiliser le public aux risques de manipulation et de promouvoir l’esprit critique.

Détection et lutte contre la désinformation

Des efforts de recherche importants sont consacrés au développement de techniques de détection des deepfakes. Ces techniques reposent souvent sur l’analyse des imperfections des contenus synthétiques, telles que des anomalies dans les mouvements des yeux ou des lèvres.

L’IA Act impose des obligations de transparence aux fournisseurs de systèmes d’IA générant des contenus synthétiques. Les utilisateurs doivent être informés qu’ils sont en présence d’un contenu généré par l’IA, sauf si cela est évident compte tenu des circonstances et du contexte d’utilisation.

Conseil pratique : Les plateformes en ligne ont un rôle important à jouer dans la lutte contre la désinformation. Elles doivent mettre en place des mécanismes de signalement des contenus trompeurs et investir dans des technologies de détection des deepfakes.

Sécurité et robustesse des systèmes d’IA

Les systèmes d’IA peuvent être vulnérables à des cyberattaques, des erreurs de conception ou des manipulations malveillantes. Si ces systèmes sont utilisés dans des domaines critiques, tels que la santé, les transports ou les infrastructures énergétiques, des défaillances ou des attaques peuvent avoir des conséquences graves.

Vulnérabilités et cyberattaques

Les systèmes d’IA peuvent être la cible de différents types de cyberattaques :

• Attaques par empoisonnement de données : Un attaquant peut introduire des données malveillantes dans le jeu de données d’entraînement d’un système d’IA, afin de compromettre son fonctionnement.
• Attaques par évasion : Un attaquant peut concevoir des entrées spécifiques, appelées « exemples contradictoires », qui sont mal classées par un système d’IA, même si elles semblent normales à un observateur humain.
• Attaques par extraction de modèle : Un attaquant peut interagir avec un système d’IA pour en extraire des informations sur son fonctionnement interne, voire pour en reconstituer une copie.

Exemple concret : Des chercheurs ont démontré qu’il est possible de tromper un système de reconnaissance faciale en portant des lunettes spéciales, ou de faire croire à une voiture autonome qu’un panneau stop est un panneau de limitation de vitesse en y apposant des autocollants.

Importance de la maintenance et des mises à jour

La sécurité des systèmes d’IA n’est pas une préoccupation ponctuelle, mais un processus continu. Il est essentiel de mettre en place des procédures de maintenance et de mise à jour régulières, afin de corriger les vulnérabilités et d’améliorer la robustesse des systèmes.

Conseil pratique : Les fournisseurs de systèmes d’IA doivent mettre en place un plan de gestion des vulnérabilités, qui prévoit la surveillance des failles de sécurité, la mise à disposition de correctifs et la communication avec les utilisateurs.

Tests et validation des systèmes d’IA

Avant leur déploiement, les systèmes d’IA, en particulier ceux à haut risque, doivent être soumis à des tests rigoureux pour vérifier leur sécurité, leur fiabilité et leur robustesse. Ces tests doivent inclure des évaluations de la résistance aux cyberattaques et aux manipulations malveillantes.

Analyse approfondie : Les tests de sécurité des systèmes d’IA sont un domaine de recherche en pleine expansion. De nouvelles techniques, telles que le « fuzzing » ou les tests par simulation, sont développées pour identifier les failles de sécurité potentielles. L’IA Act exigera des fournisseurs de systèmes d’IA à haut risque qu’ils fournissent une documentation technique détaillée, y compris les résultats des tests effectués.

Impact sur l’emploi et le marché du travail

L’automatisation croissante des tâches, rendue possible par les progrès de l’IA, suscite des inquiétudes quant à son impact sur l’emploi et le marché du travail. Si l’IA peut créer de nouveaux emplois, elle risque également d’en détruire d’autres, en particulier dans les secteurs où les tâches sont répétitives et peu qualifiées.

Automatisation et remplacement des tâches

L’IA est particulièrement performante pour automatiser des tâches qui étaient auparavant effectuées par des humains, comme la saisie de données, la reconnaissance d’images ou la réponse à des questions simples.

Exemple concret : Dans le secteur bancaire, les chatbots sont de plus en plus utilisés pour répondre aux questions des clients, ce qui réduit le besoin d’opérateurs humains dans les centres d’appels.

Adaptation des compétences et formation

Pour faire face aux transformations du marché du travail induites par l’IA, il est crucial d’adapter les compétences des travailleurs. La formation continue et le développement de nouvelles compétences, en particulier dans les domaines liés à l’IA, seront essentiels pour garantir l’employabilité des travailleurs.

Conseil pratique : Les gouvernements et les entreprises doivent investir massivement dans la formation et la reconversion professionnelle, afin d’accompagner les travailleurs dans la transition vers une économie de plus en plus axée sur l’IA.

Vers de nouveaux métiers liés à l’IA

Si l’IA risque de détruire certains emplois, elle va également en créer de nouveaux, dans des domaines tels que le développement, la maintenance, la supervision et l’éthique de l’IA.

Exemple concret : Le métier de « data scientist », qui consiste à analyser des données et à développer des algorithmes d’apprentissage automatique, est en forte croissance depuis plusieurs années.

Analyse approfondie : L’impact de l’IA sur l’emploi est un sujet complexe et controversé. Il est difficile de prédire avec certitude l’ampleur des destructions et des créations d’emplois, mais il est clair que le marché du travail va connaître des transformations profondes dans les années à venir.

Responsabilité et transparence

Déterminer la responsabilité en cas d’incident impliquant un système d’IA peut s’avérer complexe, en particulier lorsque le système est autonome et que ses décisions sont difficiles à expliquer. Le manque de transparence des algorithmes d’apprentissage profond, souvent qualifiés de « boîtes noires », pose des problèmes en termes de responsabilité et de confiance.

Qui est responsable en cas d’incident ?

Lorsque l’IA cause un préjudice, la question se pose de savoir qui est responsable : le développeur, le fabricant, l’utilisateur, le propriétaire du système, ou le système lui-même ? La question de la responsabilité est complexe, en particulier pour les systèmes d’IA autonomes. Attribuer la responsabilité uniquement au développeur pourrait freiner l’innovation, tandis que la rendre trop diffuse pourrait diluer la responsabilité et rendre difficile l’indemnisation des victimes.

L’IA Act tente d’apporter des éléments de réponse en définissant les obligations des différents acteurs de la chaîne de valeur de l’IA (fournisseurs, déployeurs, importateurs, distributeurs – voir chapitre 8). Cependant, la question de la responsabilité en cas d’incident impliquant un système d’IA autonome reste un sujet de débat.

Conseil pratique : Les entreprises qui développent ou utilisent des systèmes d’IA doivent mettre en place des mécanismes clairs de répartition des responsabilités, et souscrire des assurances adaptées aux risques liés à l’IA.

Explicabilité et auditabilité des algorithmes

Pour garantir la transparence et la responsabilité des systèmes d’IA, il est essentiel de pouvoir comprendre comment ils prennent leurs décisions. L’explicabilité des algorithmes est un enjeu majeur, en particulier pour les systèmes à haut risque.

L’IA Act impose des exigences de transparence aux fournisseurs de systèmes d’IA à haut risque. Ils doivent fournir une documentation technique détaillée, qui explique le fonctionnement du système et les choix effectués lors de sa conception.

Analyse approfondie : L’explicabilité est un défi technique important, en particulier pour les algorithmes d’apprentissage profond, qui sont souvent opaques et difficiles à interpréter. Des recherches importantes sont en cours pour développer des techniques d’explicabilité de l’IA.

Importance de la documentation et de la traçabilité

Une documentation technique complète et à jour est essentielle pour assurer la transparence et la responsabilité des systèmes d’IA. Cette documentation doit décrire le fonctionnement du système, les données utilisées pour son entraînement, les tests effectués et les mesures de gestion des risques mises en place.

L’IA Act impose aux fournisseurs de systèmes d’IA à haut risque de tenir des registres d’activité (logs), qui permettent de tracer les opérations effectuées par le système et de faciliter les enquêtes en cas d’incident.

Conseil pratique : Les entreprises doivent mettre en place des processus rigoureux de documentation et de traçabilité tout au long du cycle de vie des systèmes d’IA, afin de pouvoir démontrer leur conformité avec l’IA Act et de faciliter les audits éventuels.

Autres risques éthiques et sociétaux

Outre les risques déjà évoqués, l’IA soulève d’autres questions éthiques et sociétales qui nécessitent une réflexion approfondie.

Autonomie et prise de décision des machines

Le développement de systèmes d’IA de plus en plus autonomes pose la question de la place de l’humain dans la prise de décision. Jusqu’où faut-il déléguer des décisions à des machines, et quelles sont les limites à ne pas franchir ?

Analyse approfondie : Cette question est particulièrement cruciale dans le domaine des armes létales autonomes, où la perspective de confier à une machine la décision de vie ou de mort suscite de vives inquiétudes.

Impact sur les relations humaines et la société

L’omniprésence de l’IA dans nos vies risque de modifier en profondeur nos relations humaines et le fonctionnement de la société. La dépendance croissante à l’égard des algorithmes de recommandation, par exemple, pourrait nous enfermer dans des « bulles de filtres » et limiter notre exposition à la diversité des opinions et des idées.

Nécessité d’une réflexion éthique continue

Le développement de l’IA doit s’accompagner d’une réflexion éthique continue, qui implique l’ensemble des parties prenantes : chercheurs, développeurs, entreprises, pouvoirs publics, citoyens. Il est essentiel de débattre des valeurs que nous souhaitons promouvoir à travers l’IA, et des limites que nous ne voulons pas franchir.

Conseil pratique : Les entreprises qui développent ou utilisent des systèmes d’IA ont intérêt à se doter de comités d’éthique, chargés de réfléchir aux implications éthiques de leurs activités et de formuler des recommandations pour un développement responsable de l’IA.

Conclusion

Ce chapitre a permis de mettre en lumière les principaux risques associés à l’intelligence artificielle. Des biais algorithmiques aux menaces pour la vie privée, en passant par les dangers de la manipulation et les enjeux de sécurité, l’IA soulève des défis importants qu’il est crucial de prendre en compte.

L’IA Act vise précisément à encadrer le développement et l’utilisation de l’IA pour minimiser ces risques et garantir que cette technologie soit au service du bien commun. En tant qu’expert en sécurité des systèmes IA, je suis convaincu que cette législation est une étape essentielle pour promouvoir une IA éthique, sûre et digne de confiance.