Faut-il réguler l’intelligence artificielle et, si oui, de façon globale ou sectorielle ?

Plutôt que de créer un « code de l’intelligence artificielle » ou une nouvelle personnalité juridique (solvable ?) pour les systèmes d’IA, une régulation mesurée de l’IA pourrait faire l’affaire. Mais la faut-il globale avec un super-régulateur de l’IA, ou bien sectorielle avec les régulateurs existants ?

Par Winston Maxwell, avocat associé, Hogan Lovells, et David Bounie, professeur d’économie, Telecom ParisTech

L’intelligence artificielle (IA) – qui regroupe plusieurs technologies dont l’apprentissage machine (ou apprentissage automatique, en anglais machine learning) – est
une forme avancée de logiciel.
Un logiciel est simplement un ensemble de programmes destiné à faire fonctionner un système informatique. Il n’existe pas de régulation spécifique dédiée aux seuls logiciels. Faut-il traiter l’IA différemment ?

Bon équilibre entre sécurité, prix et utilité
Examinons d’abord la question de la responsabilité civile. Sur le plan économique, les règles de responsabilité civile sont destinées à encourager le déploiement de nouvelles technologies, tout en s’assurant que ces technologies s’entourent de mesures de sécurité adéquates. Si les règles de responsabilité sont trop strictes, certaines technologies utiles pour la société ne seront pas déployées. Si les règles de responsabilité sont trop laxistes, la technologie créera des dommages pour la population dépassant largement les bénéfices de la technologie. Il faut chercher le bon équilibre. Pour illustrer, il suffit de penser à la voiture : une technologie utile mais relativement dangereuse car responsable de milliers de morts et de blessés par an. Si nous exigions un niveau de sécurité absolu, la vitesse de chaque voiture serait bridée à 30 km par heure, et la voiture serait construite comme un char d’assaut. Mais cela réduirait son utilité et augmenterait sensiblement son prix ! Comme pour la voiture, le défi pour l’IA est de trouver le bon équilibre entre mesures de sécurité, prix et utilité. L’entreprise qui déploie un système d’IA – par exemple, un constructeur automobile ou une banque – sera incitée par les règles de responsabilité civile à s’assurer de la sécurité du système. L’une des particularités des systèmes d’apprentissage machine est leur utilisation de données d’entraînement. Le concepteur du modèle d’apprentissage fournira un modèle vierge. Ce modèle apprendra ensuite en utilisant les données de l’entreprise A. Amélioré par les données de l’entreprise A, le modèle se nourrira ensuite des données de l’entreprise B, et ainsi de suite. Lorsque le modèle produit une erreur, l’origine de l’anomalie sera difficile à identifier. S’agit-il d’un défaut dans le modèle d’origine, ou est-ce que l’anomalie provient des données d’apprentissage de l’entreprise A ou B ? Il est donc important pour chaque entreprise qui déploie un système d’IA de préciser par contrat comment ses données seront utilisées pour améliorer le modèle et prévoir des règles de responsabilité, de sécurité et de partage de valeur relatif au modèle amélioré. Le modèle devient plus intelligent grâce aux données d’entraînement ; le propriétaire des données d’entraînement pourrait donc exiger une rémunération. Les contrats devront également prévoir des dispositions pour garantir que le modèle amélioré ne peut pas indirectement révéler des données confidentielles de l’entreprise, ou des données à caractère personnel contenues dans les données d’entraînement. Entre les entreprises, la plupart des questions de responsabilité seront régulées par contrat. Les décisions d’un système d’apprentissage automatique sont souvent opaques — on ne comprendra pas pourquoi un système a décidé A au lieu de B. Cela pose problème pour l’application des règles de responsabilité civile et pour la régulation en général – les tribunaux, experts et régulateurs doivent pouvoir comprendre a posteriori pourquoi un système a commis une erreur afin d’en tirer des leçons et d’allouer la responsabilité à l’acteur approprié. De nombreux travaux sont actuellement consacrés aux problèmes de la transparence et de l’« auditabilité » des algorithmes, à l’« explicabilité » et à la responsabilisation (accountability) des décisions IA (1). Ces travaux ne font pas consensus. Sur le thème de la transparence et de l’auditabilité des algorithmes, deux camps s’affrontent. Le premier défend l’idée qu’un algorithme propriétaire qui prend des décisions de nature à causer des préjudices devrait pourvoir être rendu transparent et audité de manière à découvrir l’origine des erreurs,
et à pouvoir les corriger. La chancelière d’Allemagne, Angela Merkel, a récemment plaidé pour la transparence des algorithmes.

L’Europe veut de la transparence
En Europe, la transparence est également au cœur du règlement général sur la protection des données (RGPD) qui énonce que pour les décisions automatisées basées sur des données personnelles et qui créent des effets juridiques, les individus ont droit à « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement ». Le deuxième camp considère que l’idéal de transparence n’a pas de sens car, d’une part, les chercheurs sont souvent dans l’incapacité de comprendre les résultats produits par des algorithmes sophistiqués (réseaux de neurones), et d’autre part, que rendre transparents les algorithmes menacerait à terme les investissements et briserait les secrets. En France, la Commission nationale de l’informatique et des libertés (Cnil) a semble-t-il choisi son camp en proposant récemment une plateforme nationale pour auditer les algorithmes. Sur le thème de la discrimination ensuite, les débats également sont animés.

Secret, discrimination et responsabilité
Des travaux récents aux Etats-Unis ont montré que des algorithmes étaient biaisés envers certaines catégories de personnes, et conduisaient donc à des discriminations. L’originalité du préjudice vient cependant d’un problème nouveau lié à l’IA : les algorithmes ont appris à discriminer à partir de données d’entraînement qui étaient biaisées, ou par simple association
de variables corrélées entre elles : les personnes d’une certaine origine nationale ou ethnique résident en majorité dans certains quartiers, etc.
Les algorithmes n’ont pas intentionnellement discriminé : dès lors qui est responsable ? L’entreprise qui utilise l’algorithme, celle qui a mis au point l’algorithme, celle qui a entraîné l’algorithme ? Outre ces questions qui divisent, la charge de la preuve se révèle beaucoup plus difficile pour les plaignants : comment prouver l’origine de la discrimination (non-intentionnelle) sans un accès à l’algorithme ?
Enfin, quand bien même la preuve serait établie, comment corriger le problème s’il est difficile de comprendre comment la technologie IA a produit le résultat ? Dernière question liée au cas particulier d’un algorithme causant une discrimination : comment corriger une discrimination sur le genre, par exemple, s’il est impossible de collecter des informations personnelles sur le genre (du fait de la protection des données) ? Devant la complexité des décisions, une autre question émerge : faut-il créer une personnalité juridique pour les systèmes d’IA ? Pour que
la responsabilité civile puisse fonctionner, il faut identifier une personne responsable, et cette personne devra disposer de suffisamment de ressources ou d’assurances pour dédommager les victimes. En matière d’IA, la personne responsable sera généralement l’entreprise qui exploite le système – la banque ou le constructeur automobile par exemple. Cette personne sera généralement responsable en première ligne, et se retournera ensuite contre ses fournisseurs du système IA en amont. L’entreprise exploitante sera généralement assurée contre les risques de responsabilité civile, et vérifiera que ces fournisseurs en amont le sont également. La création d’une personnalité juridique pour les systèmes d’IA ne changera rien par rapport à la situation actuelle, car le problème restera celui de la solvabilité de la personne morale responsable, et de son niveau d’assurance. Les navires marchands illustrent bien le point : ils sont chacun détenus par une société dédiée – une société par navire. Lors d’un naufrage, la société propriétaire du navire sera généralement insolvable, son seul actif étant le navire. L’enjeu sera celui de l’assurance et éventuellement la recherche d’autres personnes morales responsables à travers des théories de responsabilité indirecte (vicarious liability). La création d’une société ou personne morale ad hoc pour les systèmes IA n’avancerait pas le débat par rapport à l’existant. Fautil une régulation spécifique de l’IA ? Deux points de vue s’opposent. Selon le premier point de vue, l’IA doit être régulée dans son ensemble car les risques pour la société traversent différents secteurs économiques et peuvent avoir des effets cumulatifs néfastes qui ne seraient pas visibles par des régulateurs sectoriels. Selon l’autre point de vue, les risques de l’IA sont étroitement liés à chaque type d’exploitation, et il vaut mieux laisser chaque régulateur sectoriel traiter les risques dans son secteur. La régulation bancaire s’occuperait des risques de l’IA dans le secteur bancaire et la régulation des transports s’occuperait des risques
de l’IA dans les voitures autonomes.
Un super-régulateur de l’IA ne rajouterait rien par rapport aux régulateurs sectoriels spécialisés, et pire, créerait une couche de régulation potentiellement en friction avec la régulation sectorielle. En matière de régulation, il faut avancer avec précaution lorsqu’il s’agit de technologies en mouvement. Comme un médicament, une régulation peut créer des effets secondaires imprévus (2). La régulation de l’Internet a évolué de manière progressive en s’appuyant sur la législation existante. L’IA devrait suivre le même chemin. Au lieu d’un « code de l’intelligence artificielle »,
il faudrait privilégier une série d’améliorations de la réglementation existante. Les normes ISO (3) en matière de sécurité des véhicules sont déjà en cours de modification pour intégrer l’IA (4). Le régulateur américain de la santé, la Food & Drug Administration (FDA), a développé des procédures pour homologuer des dispositifs médicaux utilisant l’IA (5). Le seul problème lié à cette approche sectorielle est l’apparition de risques cumulatifs pour la société qui échapperaient à la vigilance des régulateurs sectoriels. Est-ce que la généralisation de l’IA dans la vie des citoyens pourrait rendre les individus plus idiots, détruire le tissu social, ou affaiblir les institutions démocratiques ? Ce genre de risque ne doit pas être ignoré, et pourrait échapper à la vigilance des régulateurs sectoriels.

Observatoire des effets de l’IA sur la société ?
Un récent rapport de la fondation World Wide Web (6) prend l’exemple
des « fake news » propagées à travers les réseaux sociaux : quelle structure faut-il mettre en place pour changer les incitations des acteurs à communiquer des fausses nouvelles sur la plateforme et comment réparer les préjudices causés à la société ? Comment définir et mesurer ces préjudices, et quels acteurs sont au final responsables ? La Commission européenne favorise en premier lieu des solutions d’auto-régulation pour limiter l’impact de la désinformation sur la société. La surveillance de ce type de risque plus diffus pourrait être confiée à une institution dédiée – une sorte d’observatoire des effets de l’IA sur la société. L’objectif de cette institution serait de tirer la sonnette d’alarme en cas de remontée des indices de nocivité sociale, à l’image d’un canari dans une mine de charbon. Encore faut-il définir les indices ! @