Transcription de l'entretien
Nathalie Beslay
CEO et co-fondatrice de Naaia, et avocate
"L’AI Act et son application business."
Bonjour Nathalie, est-ce que tu peux te présenter ?
Je suis avocat de formation et en exercice depuis plus de 20 ans et par ailleurs je suis fondatrice et je dirige une société qui s’appelle Naaia, qui est un éditeur de solutions de management de la conformité de gestion des risques de l’intelligence artificielle.
Quel est ton parcours professionnel ?
Bien sûr. Alors, avocat c’est une formation universitaire en droit et puis avant d’exercer mon métier, j’ai commencé avec une mission conseil technique d’un secrétaire d’État à la santé sur le sujet nouvelles technologies et santé, et là ça m’a vraiment donné le goût de ce croisement et des problématiques que ça pouvait poser et surtout des réponses et des solutions qu’il fallait mettre en face. C’est comme ça que j’ai commencé mon activité dans un cabinet dédié aux nouvelles technologies et j’avais la responsabilité des activités santé et puis à force de croiser des entrepreneurs qui avaient des bonnes idées mais aussi en les voyant un peu à la peine avec les contraintes réglementaires et quelques fois en difficulté de les convertir, j’ai eu très envie de créer du business et des services et donc j’ai co-fondé une première société qui a été vendue à un groupe français et puis à nouveau avec cette émergence de l’intelligence artificielle, je n’ai pas pu résister, j’ai eu envie à nouveau de créer du service autour de cette problématique de la conversion de la contrainte en opportunité.
Comment as-tu mis tes compétences d’avocate au service de la Tech et de l’IA ?
Alors ça m’aide beaucoup parce que l’intelligence artificielle est considérée par la réglementation comme un produit avec des exigences et des balises réglementaires à tous les stades de fabrication, test, mise en marché et puis aussi marketing de ce produit et ça c’est vraiment typiquement l’encadrement qu’il y a sur les produits de santé quels qu’ils soient d’ailleurs, pas que les médicaments, il y a aussi les dispositifs médicaux. Donc ça m’a beaucoup aidé à appréhender les enjeux et les risques mais aussi ce nouveau cadre réglementaire parce qu’il est construit exactement comme sont construits les cadres réglementaires autour des produits de santé et on le comprend bien ici, c’est-à-dire à quel moment donné on fait poids sur des segments, le segment de la fabrication, le segment de de l’étiquetage, le segment de la revendication, quelle revendication sur un produit, à quel moment la réglementation peut faire poids pour atteindre une cible de sécurité, de qualité, évidemment de conformité mais les objectifs sous-jacents au fond c’est la sécurité des utilisateurs, des bénéficiaires de produits. Ça c’est pour le secteur de la santé et c’est très transposable au sujet de l’intelligence artificielle.
Comment la réglementation de l’IA est-elle proche de celle d’un médicament ?
Alors au niveau européen en tout cas. Notre fameux AI Act est totalement construit comme une réglementation produit, c’est d’ailleurs assumé. Le législateur européen a dit que c’est une réglementation produit horizontale donc qui s’applique à tout type d’entreprise, quelle que soit sa taille, privé ou publique. Il y a bien sûr des exclusions pour certains domaines, par exemple le domaine militaire mais oui c’est une réglementation produit, elle est construite ainsi et elle est très proche en termes de concept et de type d’obligation que d’autres réglementations produit. Je cite la santé mais je pourrais aussi citer d’une certaine manière les jouets, des sujets régulés comme l’alimentation, c’est assez proche en terme de concept légal.
Cette approche produit pour le numérique est nouvelle. C’est ça qui est nouveau parce qu’évidemment il y a tout le le paquet data, toutes les réglementations autour des données et du numérique, mais là qui visait plus des opérations et pas forcément avec cette approche end to end à tous les stades en fait de la fabrication du produit jusqu’à sa mise en marché. Donc ça c’est nouveau pour le numérique.
Peux-tu nous parler de l’AI Act et de ses enjeux ?
Il y a eu le débat évidemment sur trop de réglementations par rapport aux enjeux de compétitivité de l’Europe, je dirais que ce débat est terminé puisque le texte est voté. C’était un débat utile, c’est un débat qui est toujours utile, ça a d’ailleurs fait l’objet d’études. On parle souvent de seuil réglementaire, c’est-à-dire à quel moment une réglementation est tellement contraignante qu’elle va au lieu d’aboutir à des objectifs favorables (sécurité, qualité par exemple), finalement peser et peser tellement que ça va brider. Donc ce débat a lieu depuis des années et voilà des études ont montré qu’en fait ça pèse défavorablement selon la nature de la réglementation et selon les entreprises et leur taille. Par exemple, ça pèse quand il s’agit de la réglementation organisant le travail, ça ne pèse pas quand il s’agit de la réglementation encadrant le numérique. Je sais que ce que je vous dis là peut surprendre puisque ça a été très visible ce débat sur on n’arrivera pas à avoir de champion européen à cause de cette réglementation, il s’avère que ce n’est pas moi qui le dit, il y a des études qui ont démontré que lorsque les entreprises sont très numériques, très digitalisées, alors la réglementation va les aider à se développer mais pour ça c’est vrai qu’il faut qu’elles prennent le sujet et qu’elles le convertissent, qu’elles l’assument au fond et qu’elles s’intègrent dans leur mise en marché.
Quels sont les bénéfices de l’AI Act pour les entreprises ?
Je dirais que la première chose c’est très pragmatique, il faut regarder le texte et le regarder de près donc il y a du travail. La première pierre c’est de bien comprendre le texte, la deuxième pierre c’est de convertir l’obligation en action, au fond c’est un peu conceptuel ce que je vais vous dire, mais c’est passer du subir au bien faire et et donc se dire je vais faire de la conformité par la valeur, je vais regarder ce que la conformité peut apporter à mon produit et donc à mes clients, là je parle de manière un peu générique B2B, B2C, je vais regarder ce que ça peut apporter et ces obligations je vais les intégrer dans mon process by design. Je peux vous donner des exemples concrets, dans l’AI Act par exemple pour certains systèmes d’intelligence artificielle, dit à haut risque, c’est vrai il y a de lourdes exigences de conformité, mettre en place un système de gestion des risques, mettre en place un système d’assurance qualité, mais ça veut dire quoi concrètement ? En fait ça veut dire regarder à tous les stades de la conception que les gens développent bien. Qu’est-ce que ça veut dire bien développer, ça veut dire faire attention aux biais, ça veut dire ne pas admettre des algorithmes discriminants, ça veut dire structurer les données, disposer des droits sur les données pour faire ce qu’on a à faire. Quand je vous le dis comme ça je pense que c’est difficilement contestable, c’est effectivement des leviers de qualité et de sécurité et l’AI Act derrière des pages et des pages complexes quand on n’est pas juriste ne dit rien de plus que ce que je suis en train de vous dire au fond, un système de gestion des risques, un système d’assurance qualité, de la documentation, la documentation technique de la notice d’utilisation. Vous voyez ça c’est des sujets produits typiques en fait. Comment imaginer par exemple qu’un médicament puisse aller sur le marché sans notice technique, comment imaginer qu’un médicament aille sur le marché sans des phases de test, des phases de test sur paillasse, des phases de test sur humain. Bon là c’est adapté aux produits d’intelligence artificielle, rien de plus. Alors c’est vrai que c’est aussi rien de moins clairement. Il y a beaucoup à faire, mais au fond à l’échelle de ce dont on se parle et des enjeux en présence c’est accessible.
Comment s’associer à des acteurs conformes aux normes de l’AI Act ?
Alors l’AI Act, et je ne dis pas ça parce que c’est devenu ma bible, mais en l’occurrence comme c’est une réglementation produit, elle a pensé à cela et en fait va faire peser sur la chaîne de valeur, donc la chaîne alimentaire de l’intelligence artificielle, différentes obligations selon que vous êtes fournisseur, distributeur, déployeur. Et donc en effet, il va se juxtaposer des étapes, selon que vous fabriquez vous-même ou que vous achetez sur étagère ou que vous allez recourir à un modèle et en faire ensuite un système d’intelligence artificielle. Et bien le fournisseur aura ses obligations, principalement de démonstration de la conformité de mise à disposition d’une documentation technique et puis l’acteur qui va customiser aura entre ses mains la nécessité de démontrer que quand il customise, bien sûr qu’il respecte ce que le fournisseur lui aura mis entre les mains, mais aussi que la couche qu’il ajoute est conforme, donc elle n’a pas de biais, elle respecte les droits d’auteur, elle est qualitative, les données utilisées sont représentatives, voilà tout un tas de de choses que les data scientists connaissent bien maintenant.
Ça veut dire que quand on est un acteur européen on doit obligatoirement s’équiper en intelligence artificielle auprès de fournisseurs qui respectent les normes européennes et qui appliquent ces règles de conformité ?
Oui ça voudra dire ça pour l’avenir, on n’est pas encore en période de posabilité, ça va arriver très vite, on pourra en reparler tout à l’heure mais oui ça veut dire ça. Un acteur qui a recours à des produits d’IA, que ce soit des modèles ou des systèmes, qui sont étrangers devra s’assurer , d’ailleurs ça fait partie des obligations légales d’un distributeur ou d’un déployeur, que ce qu’on lui fourni est conforme. Alors il n’a pas à faire des tests du produit lui-même mais en tout cas il doit vérifier qu’il détient bien la documentation de conformité.
Comment répondre aux critiques sur les freins que pourraient apporter l’AI Act ?
Moi je comprends très bien que ce soit une préoccupation, qu’on ait pas envie d’être sous contrainte et que le spectre de la législation à l’européenne avec un trop gros poids de l’administration et de la documentation ça fasse surgir ce genre de propos et d’ailleurs au-delà de les faire surgir, ceux qui étaient plutôt anti réglementation ont bien porté leur voix, et se sont fait entendre, il faut quand même savoir que l’AI Act a évolué grâce à leur intervention. Il a même évolué favorablement puisque par exemple la période de R&D est une période de répit pour les contrôles, les modèles en open source sont dispensés sauf quand ils présentent un risque dit systémique, c’est que là on est à un niveau de risque trop élevé pour bénéficier de l’exemption. Donc leur répondre qu’ils ont bien agi, voilà la réponse à la question qu’est-ce qu’on leur répond, moi je dis ils ont bien fait d’appuyer au bon moment, c’est-à-dire au moment du débat législatif, j’ai aussi envie de leur dire maintenant que faire de l’IA à l’européenne c’est tenir compte de ces enjeux et intégrer dans leur process de mise en marché ces règles. Et j’ai surtout envie de leur dire que c’est à leur portée, parce que quand on a autant de capacité, de puissance, d’intelligence, de vision tel que nos acteurs français et européens l’ont, alors au fond construire et intégrer la conformité ce n’est pas compliqué. C’est ça que j’ai envie de leur dire.
Et dans le fond ce texte de loi européen, est-ce qu’il a plutôt un effet repoussoir sur nos partenaires ou au contraire un effet de tirer un peu tout le monde vers le haut y compris dans les autres écosystèmes que ce soit américains, chinois, asiatiques, etc ?
Ma conviction et je dirais mon observation du sujet c’est que ça tire plutôt vers le haut. Je donne un exemple concret : l’AI Act, le premier projet de texte est sorti en avril 2021 et donc après avril 2021 et la sortie de ce texte, c’est l’administration Biden qui a sorti un blueprint mais qui est strictement inspiré de l’AI Act. A ceci près et les objecteurs de la réglementation dirait que ce n’est pas neutre, en effet le blueprint n’est pas sanctionné, en effet les administrations font peu de contrôle, ça c’est plutôt à l’américaine. Pour autant sur les principes de fond, il est parfaitement inspiré. Derrière est arrivée la loi chinoise qui contient des spécificités typiquement chinoises, il faut que les algorithmes respectent les principes socialistes de la République Chinoise, notamment le principe d’amitié ou le principe de courtoisie, mais là encore quand on regarde le texte de près, il est très inspiré du texte européen. Ensuite l’AI Act est arrivé et là on a notre projet de texte qui fait 400 pages et qui est beaucoup plus complexe avec des sanctions, des autorités de contrôle et c’est ça qui fait la différence. Mais sur le fond, quand on regarde de très près ces textes, sur le fond c’est pas les mêmes techniques législatives mais tout le monde poursuit le même objectif à savoir préserver et recentrer l’humain avec le déploiement de ces nouvelles technologies, en tout cas essayer de le faire, essayer de le faire le mieux possible.
Quelles solutions pour la mise en conformité avec l’AI Act ?
La première chose dont je vais parler quand même, c’est de timeline, je trouve que c’est pertinent par rapport à votre question. En ce qui concerne l’AI Act, le texte ne bougera plus à l’heure où on se parle et il va être voté officiellement le 22 avril, puis ensuite publié vers mi-mai. À partir de là, il y aura 6 mois pour sortir des plateformes les IA interdites. Donc à la question comment on s’y prend, la première chose à faire, le premier chantier prioritaire c’est de cartographier, identifier et même presque dépister, moi je préconise des campagnes de dépistage sur les IA interdites, pour les sortir ou les mettre en conformité. Ça ne veut pas dire arrêter de faire ce qu’on faisait mais ça veut dire se conformer. Je peux prendre quelques exemples d’IA interdites mais par exemple sont interdits les systèmes de reconnaissance émotionnelle sur les lieux de travail lorsqu’ils ne poursuivent pas des objectifs de sécurité et de santé. Il existe aujourd’hui sur un certain nombre de centres d’appel, sur des outils bureautiques, des systèmes qui vont faire de la retranscription de compte-rendu de réunion et qui à l’occasion de l’analyse des mots utilisés, vont aussi mesurer le niveau d’engagement des participants, l’humeur et qui vont ensuite dans le transcript poser du scoring de cela. Ça va être interdit. Donc comment s’y prendre, et bien on repère tous ces systèmes et on regarde est-ce qu’il est utilisé à des fins de sécurité ce système, à des fins de santé et si ce n’est pas le cas et bien c’est fini, on ne peut plus l’utiliser. Et vraisemblablement la deadline ça sera fin de l’année.Le premier chantier c’est le dépistage des IA interdites. Ensuite il y a le reste du monde, c’est-à-dire toutes les autres IA, donc la prochaine timeline ça sera un an à compter du même point de départ mais un an pour les les modèles d’IA à usage général, les fameux GPAI, donc nos amis d’Open AI, Gemini, Mistral qui sont encore plus nos amis que ceux que j’ai cité en premier, auront un an pour documenter leur conformité, la déposer devant l’Autorité de contrôle, la mettre à disposition sous forme de documentation technique pour leurs clients avec un résumé pour le grand public. Donc pour ceux-là, le chantier va être de construire cette documentation. Donc s’ils ne s’y sont pas mis depuis le début, il va falloir en effet regarder tout le parcours de développement de leur modèle et le documenter au regard des critères. Aujourd’hui on nous parle surtout de ce seuil de risque systémique, on va attendre beaucoup de l’autorité de contrôle qui va être nommée et qui va poser plus d’opérationnel dans ces critères et des guidances. Et donc le deuxième chantier ça sera pour ces acteurs-là, une fois qu’ils auront les guidances de documenter leur conformité. Puis après il restera 2 pour tout le reste de l’IA, et là comment on s’y prend, forcément il faut cartographier dans l’entreprise, c’est-à-dire inventorier et qualifier, repérer, lister et pour chaque système analyser le niveau de risque, les qualifier à la grille réglementaire et puis attaquer le chantier de la mise en conformité. Pour attaquer ce chantier il n’y a pas 10 solutions, il ne faut pas regarder les textes et s’en tenir là. Il faut faire un plan d’action tout bêtement, c’est-à-dire renverser les obligations en action et s’y mettre. C’est un chantier en fait, c’est la conduite de projet et s’y mettre au plus proche des métiers, toujours dans l’objectif dont je parlais tout à l’heure, de faire de la compliance par la valeur, c’est se demander à quoi sert la conformité et ici à quoi ça sert, c’est faire des produits de qualité, safe, compréhensibles, explicables qui servent à quelque chose, qui essaient de consommer le moins d’énergie possible. Une fois encore, quand je vous le dis comme ça paraît évident que ces objectifs doivent être partagés par tous.
Dans les entreprises, qui sont les responsables de la mise en œuvre de ces réglementations ?
Comme ce sont des produits, ma conviction c’est que c’est forcément avec le produit, justement pour ne pas déconnecter les obligations des objectifs de mise en marché, des attentes de ceux qui développent les produits, des besoins, donc forcément c’est côté produit. Bien sûr il y a l’implication de la compliance parce qu’il va falloir un peu de sachant sur la compréhension des règles, et puis le légal aussi parce qu’on a des sujets de contractualisation, des sujets de de propriété intellectuelle qui sont pas que des sujets de conformité qui sont des sujets de valeur, de valorisation, de monétisation et puis de stratégie partenariale.
Quel impact si les grands acteurs américains ne respectent pas les règles ?
Alors il faudrait ne plus utiliser et pour ce qui les concerne, ils s’ exposent à une sanction importante. Mais personnellement je n’y crois pas du tout à ce scénario, je dirais que ces acteurs là ils vont se mettre à la réglementation. Et d’ailleurs ils l’ont dit, ils le feront, est-ce que ça sera facile, non car ça va être des coûts et du projet, c’est ça en fait qu’on entend dans l’objection innovation versus réglementation parce qu’en effet faire de la conformité, c’est poser un budget en face des exigences, se mettre en ordre de marche, mobiliser des experts, former des équipes et prendre cette dimension de conformité dans la roadmap. C’est ça la réalité, on ne peut pas faire sans. On peut pas dire que c’est léger mais comme c’est faisable avec les enjeux en face voilà.
Quel parallèle entre le déploiement du RGPD et de l’AI Act ?
Alors les acteurs américains s’y sont conformés, en partie, parce qu’on voit encore des sanctions qui tombent et auxquelles ils font face mais oui. Je vais vous prendre un exemple sur l’hébergement de données de santé, car c’est quand même un sujet que je connais bien. Donc les hébergeurs de données de santé en France ont fait l’objet d’une certification et à un moment donné on disait que les acteurs Américains ne pourront jamais héberger des données de santé, et bien ils sont tous allés chercher la certification. Après maintenant il y a un autre sujet qui est le flux transfrontalier de données qui se greffe sur ce sujet, mais il y a très grand volume de données de santé aujourd’hui qui sont hébergés chez les acteurs américains parce qu’ils sont allés chercher la certification. Donc ils ne sont pas anti-réglementation, ils ont d’abord les moyens pour aller la chercher. Après dans la mise en œuvre ça arrive qu’ils ne s’y conforment pas à 100%, les autorités sanctionnent et finalement ils finissent par ajuster leur marketing ou ajuster leur pratique.
Comment les entreprises peuvent-elles tirer de la valeur ajoutée de cette réglementation ?
Déjà au moment où on va appliquer les règles, je reviens sur ce que je disais tout à l’heure, on regarde à quel point la règle peut servir le produit. Je vais vous donner un exemple concret. Quand on a une obligation de traçabilité, d’explicabilité sur toute la chaîne et qu’on a recours à des sous-traitants, au fond aller chercher la qualité chez ces sous-traitants ça peut être améliorer le coût, ça peut être installer des standards, voilà ça c’est évidemment au service du produit. Donc comment on transforme cette contrainte en opportunité et bien on regarde à quel point la règle va avoir comme réponse nécessaire de la qualité de la sécurité, c’est un premier exemple. Deuxième exemple, il y a des industries, il y a des produits qui ont compris cela, je prends l’exemple de l’alimentation. Aujourd’hui le Nutri-Score qui est une règle, sert les produits qui jouent le jeu. Ça les sert et ça les sert parce qu’ils vont faire de la confiance, ils vont construire de la confiance, ils vont assumer le fait qu’un produit de qualité qui comporte moins de produits néfastes pour les consommateurs, c’est un produit qui va servir la santé publique mais aussi la santé individuelle et ils vont aller chercher cette confiance. Mais oui ça a été une contrainte, évidemment que le Nutri-Score ça a été une contrainte dans la chaîne de valeur, mais qui aujourd’hui a à se plaindre du Nutri-Score. Tout le monde est d’accord avec ce type de règle. Je prends un autre exemple, l’aéronautique, voilà encore des industries qui ont compris que la conformité et la règle servaient leurs produits. On nous parle beaucoup de la sécurité quand on rentre dans un avion, on nous explique, c’est des industries qui parlent beaucoup de la sécurité donc ils ont fait de de la contrainte un atout de confiance et ils l’ont converti en opportunité relationnelle pour mettre de la fidélité, pour mettre de la compréhension et du lien au fond avec leurs clients. Donc je sais qu’on va se dire l’intelligence artificielle comment ça va jouer mais tout le monde a envie d’utiliser l’intelligence artificielle, tout le monde l’utilise aujourd’hui, dans l’histoire des technologies, il n’y a jamais eu une adoption aussi rapide, aussi désirable, aussi nécessaire puisque avec des enjeux de compétitivité, productivité. Donc tout le monde a envie, mais tout le monde a envie forcément que ça se fasse bien, comment on peut contester cela. Voilà comment on convertit, on convertit en utilisant la règle au service de la qualité de la sécurité, c’est à-dire je regarde la règle, je la décortique et je vois comment quand je vais la traduire concrètement, à quoi elle peut servir et comment elle peut servir et c’est vrai que là où il y a plus de risques, je mets plus d’efforts, là il y a moins de risque je mets moins d’effort. Alors ça tombe bien la réglementation est construite comme ça et ça va peut-être aussi être l’opportunité de se demander si on a vraiment besoin de telle IA, si l’effort est trop important par rapport à l’usage, pourquoi pas, ça va servir un peu la frugalité.
Quels sont les risques d’un retard dans la mise en place de l’AI Act par une entreprise ?
Alors le danger c’est que ça soit trop tard. Vous connaissez sûrement cette phrase de MacArthur, les batailles perdues se résument en deux mots, ça peut être trop tard parce que oui le législateur européen a fait un système coercitif avec des autorités, des sanctions. Ensuite au-delà de la peur du gendarme, ça peut être trop tard dans la chaîne d’accès au marché parce que ça va faire la différence et alors là en terme d’IA, aujourd’hui il y a très peu d’acteurs qui ne prononcent pas le mot de confiance ou l’IA responsable ou l’IA alignée à chaque fois qu’ils disent IA, comme si c’était consubstantiel. C’est-à-dire qu’ il n’y a pas de possibilité de faire d’IA sans confiance, donc forcément ça va faire une différence sur le marché. C’est déjà comme ça que c’est compris, c’est déjà comme ça que c’est attendu donc ne pas intégrer un process de conformité ab initio et dans toute la chaîne de valeur ça sera perdu c’est sûr.
Après on le sait il y a aussi beaucoup de greenwashing, c’est du discours de communication, est-ce qu’on aura pas la même chose ?
Il y aura la même chose sur certains sujets c’est sûr, parce qu’évidemment que le texte n’est pas parfait et évidemment parmi les exigences, il y a des exigences à faible impact pour pas dire à impact nul et donc les entreprises feront pour faire, ça ne servira à rien, ça va être du coût inutile qu’on aurait pu concentrer sur autre chose. Donc bien sûr il y aura un peu de greenwashing c’est sûr, mais bon à côté de ça pour atteindre la cible il y a des étapes qui vont évidemment servir l’intérêt qu’on a déjà décrit depuis tout à l’heure.
Est-ce que les mentalités ont évolué concernant l’importance de la prise en compte de la réglementation ?
Les investisseurs c’est un très bon exemple. Pendant longtemps, les levées et les deals qui précédaient les levées, regardaient assez peu le sujet réglementaire. Il faut quand même le dire, elles regardaient plus les questions de marché, les opportunités, les assets l’IP, ces mots magiques et progressivement et c’est assez heureux, on a vu à l’occasion des du diligence les investisseurs poser leur conscience sur la réglementation et se dire au fond un produit qui a été dès le départ pensé comme intégrant les contraintes, c’est un produit qui va aller plus vite au marché, qui va aller plus vite et mieux donc toujours avec cette même logique de si c’est trop tard il va falloir que je repense le modèle légal, que je repense le modèle réglementaire, peut-être que je redéveloppe le produit donc si c’est pensé dès le début alors ça libère la capacité d’accéder au marché et effectivement ça fait monter la valeur. Donc oui au niveau des investisseurs, mais très clairement moi en tant qu’avocat spécialisé sur le sujet de la santé, on n’était pratiquement pas mobilisé sur ces étapes là et maintenant c’est clé, il n’y a pas un deal qui se fait sans regarder les sujets réglementaires dès que les produits sont réglementés donc santé et numérique aussi. Donc oui ça a évolué et sur le grand public aussi. Effectivement il y a plus de judiciarisation du rapport, il y a plus d’attente. Ça a évolué parce qu’une fois encore sur le produit, on veut le produit donc il y a le désir d’utiliser, découvrir, transformer ma vie avec ce nouvel outil mais je veux quand même le moins de risque possible pour moi. Et sur les gros risques que sont santé, sécurité, démocratie, il y a quand même une très large prise de conscience donc oui ça a évolué.
Comment Naaia accompagne les entreprises dans ce défi réglementaire ?
Naaia c’est pensé exactement comme ça, c’est-à-dire il y a une réglementation mais au-delà de la réglementation, les entreprises doivent se concentrer sur leur métier, sur l’innovation et sur leurs équipes donc comment faire pour que ça pèse le moins possible. Donc en cela, je rejoins encore nos détracteurs dont on a parlé tout à l’heure, il ne faut pas que ça pèse donc il faut trouver une solution et la solution c’est forcément avoir des outils, des méthodes et ça dès le départ. Et donc cette société qu’on a fondée, elle a pensé, elle a conçu, et elle a développé un outil qui a pour ambition de donner les clés pour aller le plus vite et le mieux à la cible de conformité donc c’est un outil qui est pensé comme embarquant un algorithme de qualification, qui va permettre de faire un repository dans l’entreprise pour identifier tous les systèmes d’intelligence artificielle et les qualifier, et puis générer un plan d’action. Et ce plan d’action il va être fait au périmètre de chaque SIA mais pour autant il va mutualiser les efforts, toute réglementation confondue d’ailleurs puisque penser l’intelligence artificielle localement c’est évidemment un non sens, et donc il va aider l’entreprise à aller vite et bien à la conformité en lui donnant les clés. C’est-à-dire des listes d’actions concrètes avec des modèles pour arriver à la documentation, des outils de formation pour les équipes et puis pour se mettre en trajectoire, se mettre en mouvement, se mettre en action, y aller et ne pas subir. Et se dire c’est possible en limitant les contraintes, coût en limitant le recours à des experts de toute nature qui ne vont pas être assez assez proches des équipes et des produits donc en essayant d’internaliser cette fonction et de l’internaliser pour la digérer, la métaboliser. Le bon mot pour la conformité c’est métaboliser, pour que quand on mette le produit sur le marché on soit le moins possible préoccupé et le moins possible freiner. C’est ça que fait Naaia.
Quel est le profil des entreprises ?
Aujourd’hui c’est plutôt les early adopters de l’IA et les adopters massifs donc c’est des groupes du C40 qui ont un gros pipe et un gros volume et beaucoup d’IA déjà déployées. Des IA en stratégie globale et puis sur tous leurs sujets (RH, finance, produits, relation client, production, chaîne de production) donc c’est plutôt des acteurs comme ça ou des acteurs hyper spécialisés dont le fond de commerce c’est l’IA et donc qui eux sont totalement en nécessité d’adopter tout de suite les pratiques de conformité parce que c’est une question de vie ou de mort, ils ne pourront pas aller au marché s’ils ne sont pas conformes et qui justement n’ont pas envie d’être lestés par des sujets de conformité et de construire leur modèle de fabrication au sens conceptuel du terme et la culture d’entreprise en intégrant cette dimension. Donc c’est plutôt ça les acteurs, on sait que ensuite progressivement ça va être des plus petites entreprises qui aujourd’hui ont moins les moyens de se préoccuper de ces sujets de conformité mais qui auront demain moins le choix. Donc il y a va avoir une espèce de trajectoire par entonnoir où à un moment donné il va falloir aller à la cible de conformité et donc il auront besoin de s’outiller. Notre conviction aussi, et ça c’est vraiment spécifique à l’IA, c’est que l’IA est vraiment diluée dans toute l’entreprise. Comme il y a un CRM pour gérer la relation client, comme il y a un ERP pour gérer la production, un SIRH pour gérer les RH, notre conviction c’est qu’il faut un outil pour gérer l’IA de manière centralisée dans l’entreprise, et pour aider tout le monde à utiliser proprement l’IA et à piloter les responsabilités. En ça, Naaia c’est un AIMS, c’est-à-dire un Artificial Intelligence Management System qui va devenir une commodité, c’est ça notre vision pour demain, et au fond assez rapidement. Il n’y aura pas 36 solutions pour piloter le risque et la responsabilité, il faudra avoir un cockpit de pilotage, c’est ça que fait Naaia.
Comment la gouvernance de l’AI Act doit se coordonner avec la gestion des données en entreprise ?
Si on se place du côté sujet gouvernance et privacy versus gouvernance IA, alors les réglementations sont différentes, il y a des passerelles puisque dans l’AI Act il y a petites incursions du RGPD, et dans un cas c’est du produit, ça cadre le produit, alors que la privacy ça cadre des opérations. Donc on a moins besoin d’être proche des métiers dans ce cas-là. En revanche ce qu’il y a de tout à fait commun, c’est que dans tous les cas il faut qu’il y ait une maîtrise de la donnée, de sa qualité, de sa disponibilité juridique, de sa structuration donc effectivement ça peut être un commun dans les équipes et c’est forcément une coordination dans les organisations. Je dirais que ce n’est pas la même chose la gouvernance des données et la gouvernance de l’IA, il ne peut pas y avoir de gouvernance d’IA sans gouvernance de données, on peut faire la gouvernance de données sans intelligence artificielle. Il y a des sujets privacy qui n’ont absolument aucun lien avec l’intelligence artificielle et c’est vrai qu’il faut s’appuyer sur les compétences disponibles dans les organisations en matière de gouvernance des données, parce qu’elles vont être utiles, nécessaires mais ça mobilise d’autres expertises. Pour moi c’est vraiment un autre métier.
Quelles sont les grandes catégories d’usage de l’IA non autorisées ?
Pour l’AI Act, le principe c’est la balance bénéfice – risque donc c’est l’approche par les risques. On a estimé que certains systèmes d’intelligence artificielle présentaient un risque dit inacceptable donc le législateur a listé ces IA Ià, à risque inacceptable. Il y en a huit, parmi ceux-là on voit par exemple des systèmes d’intelligence artificielle qui permettraient la manipulation subliminale donc ça paraît être de la science-fiction mais le législateur a quand même estimé qu’il était utile de l’interdire. Parmi cette liste figure aussi ce qui va être des systèmes de notation sociale généralisé donc concrètement qualifier un individu et le catégoriser en fonction de son niveau économique ou de sa position sociale mais à grande échelle, le faire de manière massive. Est interdit également les systèmes de reconnaissance émotionnelle à partir de données biométriques sur les lieux de travail et les lieux d’éducation. Donc ça c’est l’un des exemples très saillants de ce qui est interdit parce que c’est très diffusé aujourd’hui déjà, par exemple dans les focus group marketing, on observe le comportement des consommateurs en situation de test et on va essayer de mesurer à partir de leur émotions, leur désir ou au contraire leur rejet d’un produit. Et il y a des systèmes d’intelligence artificielle par reconnaissance des émotions qui vont être capables de poser de la prédiction ou de faire du profiling de tel ou tel consommateur? Donc c’est intéressant de regarder ce que vise le législateur européen. D’abord il vise à interdire la reconnaissance émotionnelle ou intentionnelle, donc qu’est-ce que c’est l’émotion au sens de l’AI Act, c’est de la colère, du désir, de la crainte, de la gêne, ça n’est pas un simple mouvement du corps donc ça c’est intéressant de le nommer. Par exemple, un système qui va regarder juste un corps qui bouge n’est pas de la reconnaissance émotionnelle, la reconnaissance émotionnelle ça va plus loin, c’est essayer de mesurer l’état émotionnel ou l’état intentionnel de la personne et le législateur a estimé que sur le lieu de travail ou en environnement d’éducation, sauf si ça poursuivait des objectifs de sécurité ou de santé, ça devait être interdit. Une fois encore, pour reprendre un exemple concret, vous allez sur des centres d’appel, des systèmes d’intelligence artificielle qui vont arriver à mesurer quel type de mot va tendre le client ou mettre en état de tension le téléopérateur et donc ça on a estimé qu’on ne pouvait pas confier à un système cette évaluation pour en faire quelque chose. Et ce pour en faire quelque chose spécifiquement en milieu de travail ou en milieu d’éducation où on a estimé ici que l’humain devrait rester au centre et donc ces systèmes d’IA doivent être interdits. Sauf une fois encore quand on poursuit un but de sécurité. Je vais prendre un exemple, c’est vrai que sur des lieux de production on peut avoir besoin d’essayer de mesurer l’état des personnes pour préserver leur propre sécurité sur une chaîne de fabrication ou une sécurité par rapport à des intrusions possibles. Ça évidemment les systèmes sont ok. On a estimé que de la surveillance émotionnelle à des fins de santé, on pense ici à des milieux hospitaliers où il y a des dispositifs médicaux logiciels de plus en plus en développement, où la surveillance des émotions des patients va être très utile en matière de santé individuelle ou de santé publique. Ça c’est autorisé. Autre type de SIA interdit c’est tout ce qui va être des systèmes de reconnaissance faciale à des fins de lutte contre des infractions. Ça aussi le législateur a estimé que ça ne pouvait pas être aussi ouvert que cela. Qui le souhaite ne peut pas aujourd’hui mettre en place des systèmes de vidéosurveillance pour lutter contre le vol ou contre des intrusions, d’abord c’est réservé à certaines autorités ce type de vidéosurveillance et pour certaines infractions. Et quand c’est permis à des organisations privées, c’est pour certaines infractions qui ont été considérées comme très graves comme le terrorisme, le crime, les atteintes, le viol, c’est aussi précis que ça dans l’AI Act. Là encore vous voyez bien qu que le législateur a essayé de trouver une balance entre ce qu’on peut autoriser parce qu’on poursuit des objectifs légitimes et nécessaire et, même si ces objectifs on peut les comprendre, lutter contre le vol ne justifie pas que ça soit une machine qui va ici mesurer l’intention de l’individu. C’est un exemple parfait où on s’est dit tant pis il peut y avoir des vols, mais la surveillance des vols doit rester une surveillance humaine. Pour vous donner l’atterrissage de pourquoi ces règles ont été mises en place, c’est parce qu’on a souhaité maintenir entre les humains certains objectifs de surveillance.
Attends-tu davantage de cette législation sur l’IA ?
Oui parce que une fois encore c’est un poids pour les entreprises. Dans notre échange, je crois avoir essayer de convaincre tout le monde que ça peut aussi être une opportunité mais c’est un poids. Donc ce qu’on peut attendre aujourd’hui des acteurs qui sont en charge de l’applicabilité de ces règles et de leur application, donc les autorités et donc le pouvoir politique, c’est d’avoir une approche pragmatique et une approche aidante, c’est-à-dire donner de la clarté derrière la règle, donc de la guidance, mettre des critères, être en ouverture et et en conseil vis-à-vis des entreprises et ne pas être en logique de sanction, considérer des périodes de tolérance. Voilà avoir une approche pragmatique et une approche de clarté et là elles resteront du côté des entreprises et là oui on peut vraiment faire quelque chose de bien de ces règles.
Pour conclure, est-ce qu’on peut reprendre le calendrier de déploiement de l’AI Act ?
Bien sûr. Alors pour le calendrier de l’AI Act, le 22 avril on a le vote officiel et sans discussion devant le Parlement européen. Au cours du mois de mai, publications aux JO, à partir de là il y a des timelines qui démarrent. Donc à 6 mois, il faut sortir des plateformes les IA interdites ou les mettre en conformité. À 1 an, les éditeurs de modèle d’intelligence artificielle à usage général devront se conformer à la réglementation. À 2 ans l’ensemble des autres systèmes d’intelligence artificielle devront répondre à toutes les obligations et il y a des délais un peu plus longs pour des IA dont la mise en conformité va être plus complexe parce que va se juxtaposer avec cette réglementation, d’autres réglementations qui relèvent de certification. Donc à chaque fois que l’IA porte sur un produit ou un matériel qui lui-même fait l’objet d’une réglementation, par exemple les dispositifs médicaux, le transport de gaz, certaines machines-outil, alors le législateur va donner 36 mois pour se conformer parce qu’il va falloir cumuler et ordonner ces réglementations. Voilà pour pour les deadlines. C’est vrai que très concrètement la première étape, c’est cartographier et identifier les SIA interdits, les mettre en conformité, être très à l’écoute et j’allais dire très en demande des éditeurs de GPAI pour aller chercher leur documentation de conformité et puis se mettre en place une gouvernance et un plan d’action pour chacun des SIA, construire la conformité.
Et pour terminer est-ce que tu aurais une recommandation de contenus pour approfondir ses connaissances sur l’IA ?
Je vais avoir des recommandations cinématographiques parce que pour aller plus loin sur le sujet j’ai envie de dire que le marché offre de la publication quotidienne quelle qu’elle soit pour la réflexion autour de la réglementation. Là j’ai plutôt envie de de vous parler de film, donc évidemment 2001, l’Odyssée de l’espace parce que c’était vraiment un exemple typique d’anticipation sur le sujet de l’intelligence artificielle, avec la beauté et l’horreur en même temps qui est traité. Aussi Minority Report, là c’est un peu plus pragmatique avec tout le sujet de la publicité personnalisée et sans doute enfin un film qui s’appelle HER et qui est toute la possibilité qu’une intelligence artificielle tombe amoureuse et crée du chagrin et donc ça c’est intéressant. C’est presque dérangeant en fait et c’est bien aussi de se poser ces questions sur ce qu’il y a d’essentiel en nous et sur ce que peut faire l’intelligence artificielle sur le sentiment amoureux. Donc pas beaucoup de réglementation dans ces films à priori.
Nathalie merci beaucoup.
Merci à vous.
J’espère que cet épisode vous a plu, on se retrouve très bientôt pour un nouvel épisode de The Bridge.