Le paysage mondial de la gouvernance de l’IA est complexe et évolue rapidement. Des thèmes et des préoccupations clés commencent à émerger, mais il est impératif pour les agences publiques d’anticiper en évaluant leurs priorités et processus spécifiques.
La conformité aux politiques officielles au moyen d’outils d’audit et d’autres mesures n’est que la dernière étape. La mise en place d’une gouvernance efficace repose sur une approche centrée sur l’humain et comprend l’obtention de mandats financés, l’identification de dirigeants responsables, le développement de la maîtrise de l’IA à l’échelle de l’agence et la création de centres d’excellence, ainsi que l’intégration des connaissances issues du monde universitaire, des organisations à but non lucratif et du secteur privé.
À l’heure où nous écrivons ces lignes, l’Observatoire des politiques de l’OCDE répertorie 668 initiatives nationales en matière de gouvernance de l’IA provenant de 69 pays, territoires et de l’UE. Il s’agit notamment de stratégies, de programmes et de plans nationaux, d’organismes de coordination ou de surveillance de l’IA, de consultations publiques des parties prenantes ou des experts, et d’initiatives pour l’utilisation de l’IA dans le secteur public. En outre, l’OCDE place les réglementations et normes juridiquement contraignantes en matière d’IA dans une catégorie distincte de celles mentionnées précédemment, dans laquelle elle répertorie 337 initiatives supplémentaires.
Le terme « gouvernance » peut être difficile à définir. Dans le contexte de l’IA, il peut faire référence aux garde-fous en matière de sécurité et d’éthique des outils et systèmes d’IA, aux politiques concernant l’accès aux données et l’utilisation des modèles ou à la réglementation elle-même imposée par le gouvernement. C’est pourquoi nous constatons que les lignes directrices nationales et internationales abordent ces définitions qui se chevauchent et s’entrecroisent de différentes manières. Pour toutes ces raisons, la gouvernance de l’IA devrait commencer au niveau du concept et se poursuivre tout au long du cycle de vie de la solution d’IA.
D’une manière générale, les agences publiques s’efforcent de mettre en place une gouvernance qui soutienne et équilibre les préoccupations sociétales en matière de prospérité économique, de sécurité nationale et de dynamique politique, comme nous l’avons vu récemment dans le décret de la Maison Blanche visant à créer des comités de gouvernance de l’IA au sein des agences fédérales américaines. Parallèlement, de nombreuses entreprises privées semblent donner la priorité à la prospérité économique, en se concentrant sur l’efficacité et la productivité qui sont les moteurs de la réussite commerciale et de la valeur actionnariale, tandis que certaines entreprises, comme IBM, mettent l’accent sur l’intégration de garde-fous dans les workflows de l’IA.
Des organismes non gouvernementaux, des universitaires et d’autres experts publient également des conseils utiles aux agences du secteur public. Cette année, l’annuaire de l’Alliance pour la gouvernance de l’IA du Forum économique mondial a publié le Presidio AI Framework (PDF). Ce cadre « fournit une approche structurée pour le développement, le déploiement et l’utilisation sécurisés de l’IA générative. Ce faisant, il met en évidence les lacunes et les opportunités en matière de sécurité, du point de vue de quatre acteurs principaux : les créateurs de modèles d’IA, les adaptateurs de modèles d’IA, les utilisateurs de modèles d’IA et les utilisateurs d’applications d’IA. »
Dans tous les secteurs d’activité, certains thèmes réglementaires communs émergent. Par exemple, il est de plus en plus recommandé d’assurer la transparence envers les utilisateurs finaux quant à la présence et à l’utilisation de toute IA avec laquelle ils interagissent. Les dirigeants doivent garantir la fiabilité des performances et la résistance aux attaques, ainsi qu’un engagement concret en matière de responsabilité sociale. Cela implique notamment de privilégier l’équité et l’absence de biais dans les données d’entraînement et les résultats, de minimiser l’impact environnemental et de renforcer la responsabilité en désignant des personnes responsables et en mettant en place une formation à l’échelle de l’agence.
Que les politiques de gouvernance reposent sur des mesures non contraignantes ou sur une application formelle, et quelle que soit leur exhaustivité ou leur érudition, elles restent des principes. Ce qui compte, c’est la manière dont les agences les mettent en œuvre.
Par exemple, la ville de New York a publié son propre plan d’action en matière d’IA en octobre 2023 et a officialisé ses principes en mars 2024. Bien qu’ils soient conformes aux thèmes susmentionnés, notamment en stipulant que les outils d’IA doivent être testés avant leur déploiement, le chatbot alimenté par l’IA que la ville a mis en place pour répondre aux questions sur la création et l’exploitation d’une entreprise a donné des réponses qui encourageaient les utilisateurs à enfreindre la loi. Alors, où la mise en œuvre a-t-elle échoué ?
La mise en œuvre de la gouvernance nécessite une approche responsable, participative et centrée sur l’humain. Examinons trois grandes mesures que doivent prendre les agences :
La confiance ne peut exister sans responsabilité. Pour mettre en œuvre les cadres de gouvernance, les agences publiques ont besoin de responsables qui disposent de mandats financés afin d’accomplir leur travail. Pour ne citer qu’une seule lacune en matière de connaissances : plusieurs responsables technologiques de haut niveau avec lesquels nous avons discuté ne comprennent pas comment les données peuvent être biaisées.
Les données sont le fruit de l’expérience humaine, sujettes à la cristallisation des visions du monde et aux inégalités. L’IA peut être considérée comme un miroir qui nous renvoie nos propres biais. Il est impératif d’identifier des dirigeants responsables qui comprennent cela et qui peuvent à la fois être dotés de moyens financiers et tenus responsables de veiller à ce que leur IA soit exploitée de manière éthique et conforme aux valeurs de la communauté qu’elle sert.
Nous observons que de nombreuses agences organisent des journées d’innovation en matière d’IA et des hackathons visant à améliorer l’efficacité opérationnelle (par exemple réduction des coûts, engagement des citoyens ou des employés et autres KPI). Nous recommandons d’élargir la portée de ces hackathons afin de relever les défis de la gouvernance de l’IA, en suivant les étapes suivantes :
Ces délais sont basés sur notre expérience en matière de formation des praticiens sur des cas très spécifiques. Cela donne aux futurs dirigeants l’occasion de s’exercer à la gouvernance, guidés par un formateur, tandis que les membres de l’équipe jouent le rôle de juges avisés en matière de gouvernance.
Mais les hackathons ne suffisent pas. On ne peut pas tout apprendre en trois mois. Les agences devraient investir dans la création d’une culture d’éducation à l’IA qui favorise l’apprentissage continu, notamment en abandonnant les anciennes hypothèses lorsque cela est nécessaire.
Les entreprises qui développent de nombreux modèles d’IA s’appuient souvent sur des formulaires d’évaluation d’impact algorithmique comme principal mécanisme pour recueillir des métadonnées importantes sur leur inventaire et évaluer et atténuer les risques liés aux modèles d’IA avant leur déploiement. Ces formulaires ne font qu’interroger les propriétaires ou les acheteurs de modèles d’IA sur l’objectif de ces modèles, leurs données et leur approche d’entraînement, les parties responsables et les préoccupations relatives aux effets disparates.
L’utilisation isolée de ces formulaires, sans formation rigoureuse, communication et considérations culturelles, soulève de nombreuses préoccupations. En voici quelques exemples :
Nous avons constaté des entrées préoccupantes dans les formulaires remplis par des praticiens d’IA de différentes régions et de différents niveaux d’éducation, ainsi que par ceux qui affirment avoir lu la politique publiée et en comprendre les principes. Parmi ces entrées, on trouve notamment : « Comment mon modèle d’IA pourrait-il être injuste si je ne collecte pas de données personnelles ? » et « Il n’y a aucun risque d’effets disparates car j’ai les meilleures intentions ». Cela souligne le besoin urgent d’une formation appliquée et d’une culture organisationnelle qui évalue systématiquement les comportements des modèles par rapport à des directives éthiques clairement définies.
Une culture participative et inclusive est essentielle alors que les entreprises s’efforcent de gérer une technologie ayant un impact aussi considérable. Comme nous l’avons déjà mentionné, la diversité n’est pas un facteur politique, mais mathématique. Des centres d’excellence multidisciplinaires sont essentiels pour garantir que les employés soient des utilisateurs d’IA éduqués et responsables, qui comprennent les risques et les effets disparates. Les entreprises doivent intégrer la gouvernance dans leurs efforts d’innovation collaborative et souligner que la responsabilité incombe à tout le monde, et pas seulement aux propriétaires de modèles. Elles doivent identifier des dirigeants véritablement responsables qui apportent une perspective socio-technique aux questions de gouvernance et qui sont ouverts à de nouvelles approches visant à atténuer les risques liés à l’IA, quelle qu’en soit la source (gouvernementale, non gouvernementale ou universitaire).
