IA Act : allier conformité et innovation passe par une collaboration entre équipes technique et juridique

« Sur la route de l’IA Act : co-piloter l’innovation entre équipes technique et juridique », tel était le thème de la première conférence interdisciplinaire organisée par le groupe scientifique IA de l’AFJE, co-piloté par Stéphanie Corbière, directrice juridique d’Aramis Group et Nitza Agrait Vilà, assistant general counsel chez Microsoft. Les premières dispositions du règlement sur l’intelligence artificielle, dit IA Act, ont commencé à s’appliquer en février mais le texte dans son ensemble suscite encore des interrogations. Pourtant, il « va transformer durablement notre manière d’encadrer les outils numériques dans nos organisations », introduit Stéphanie Corbière. L’IA « est déjà dans nos outils de travail, dans nos process et parfois dans nos décisions » et l’enjeu de l’IA Act est de « poser les premières balises juridiques à l’échelle d’un continent », rappelle-t-elle. 

Si l’IA Act concerne toutes les entreprises, qu’elles soient simples utilisatrices ou créatrices de système d’IA, toutes ne sont pas égales quant à sa mise en application et son intégration dans les process. C’est valable dans tous les secteurs mais en particulier pour les acteurs de la tech sur qui pèsent le plus d’obligations. Et parmi ces acteurs, il faut distinguer les « géants » qui ont une longueur d’avance dans l’appréhension du règlement comme Microsoft et les entreprises de taille plus modeste comme Theodo pour qui il est plus difficile de s’emparer totalement de ce texte. Cette configuration n’est pas sans rappeler la mise en œuvre du RGPD il y a 5 ans. « J’observe des choses similaires », témoigne Noé Achache, head of AI engineering chez Theodo. Les grandes entreprises, « les milieux plus visibles », ont des personnes « responsables de cette mise en conformité IA » alors que les plus petites entreprises n’ont pas « toujours de budget libéré pour s’intéresser en profondeur à ce règlement ». Donc, elles « ont plus de mal à comprendre concrètement ce qu’elles doivent faire ». 

Mathilde Régent, legal manager chez Theodo, abonde en son sens : « la mise en conformité nécessite des ressources ». Mais en tant que prestataire, « on va pouvoir se baser sur tous les projets d’IA qu’on est en train de faire pour transformer le droit en pratique opérationnelle qui sera réplicable pour nos clients ». Et pour assurer la conformité by design dès la conception des produits IA, la collaboration entre la juriste et la technique est clé. Pour chaque nouveau projet, ils se réunissent pour « établir la checklist », explique Mathilde Régent avant de prendre l’exemple d’un projet de système d’IA pour aider les neurochirurgiens à opérer. Plusieurs questions doivent être posées : « Est-ce une IA à haut risque ? » Oui dans ce cas. Ensuite, « est-on clair sur quel rôle à chaque partie ? » Ici, « ce serait le chef de clinique qui serait responsable de nous donner les cas d’usage. Côté Théodo, on serait tenu de la robustesse technique, mais aussi de l’hébergement, de la sécurité, etc. » Autres questions : « la gestion des erreurs critiques » ou « la supervision humaine à chaque étape » ont-elles été correctement envisagées ? « Que se passe-t-il si l’image médicale est floue ou incomplète ? », « Est-ce que Théodo va traiter des données personnelles sensibles ? Et si oui, est-ce qu’on a toujours bien une finalité déterminée et aussi une base légale pour justifier le traitement ? » etc. 

« La majorité de nos projets sont des IA à risque limité » précise Noé Achache et dans ce cas, la principale obligation posée par l’IA Act est d’être transparent avec l’utilisateur sur l’utilisation d’une IA. « C’est assez simple à mettre en place avec un disclaimer (clause de non-responsabilité) par exemple » alors que pour les IA à haut risque, c’est plus compliqué. Mais il s’agit avant tout de « bonnes pratiques pour construire des produits qui marchent et qui sont adoptés en production ». On le faisait « by design bien avant l’IA Act », explique-t-il. L’éthique et la conformité marchent ensemble et permettent d’avancer plus vite sur les projets. 

Chez Microsoft, la donne est encore différente notamment en raison de la taille et des ressources de l’entreprise. Dès 2017, l’entreprise a débuté son « voyage vers l’IA responsable » en définissant des « principes d’IA responsable en termes de biais, de sécurité, de protection de la vie privée, d’inclusivité, de transparence, de contrôle humain… », explique Marc Gardette, deputy CTO de Microsoft. Puis elle a mis en place « une véritable structure de gouvernance avec un organe central appelé office of responsible AI ». Aujourd’hui, 400 personnes travaillent à plein temps sur ce sujet. L’entreprise n’a donc pas attendu l’IA Act pour s’emparer du sujet.  

Malgré tout, elle a mis en œuvre des actions concrètes en anticipation du règlement, dont la première mesure entrée en application concernait l’interdiction de certaines IA. D’abord « on a identifié les cas d’usages qui seraient prohibés », indique le CTO. Des questionnaires ont été envoyés à toutes les équipes engineering dont les réponses ont été compilées par des experts pour demander des précisions ou donner des guidelines. « C’est un gros travail qui a mobilisé les équipes de recherche, engineering et légales pour définir ce qu’il fallait changer pour se mettre en conformité », précise-t-il. Par exemple, une IA de reconnaissance des émotions sur le lieu de travail est interdite et l’entreprise a refusé de la développer pour un client qui en avait fait la demande. 

Chez Théodo, les premières actions concrètes ont été de définir un langage commun entre le juridique et la tech, de cartographier les IA en cours et à venir et de les classer par niveau de risque. « Certaines étaient à risque élevé. Pour celles-ci, on a fait un plan d’action, on a vérifié que la documentation était suffisamment adaptée aux enjeux que les responsabilités de chaque partie étaient claires et des checklist », explique Mathilde Régent. Mais cette collaboration n’est pas sans difficulté. « On a deux équipes, les équipes IA qui sont objectivées par faire, mettre des modèles en production rapidement et une équipe juridique objectivée par la conformité ». Cette différence d’objectifs peut créer des tensions problématiques ou saines. Si les deux équipes travaillent en silo, elle sera problématique mais si ces équipes travaillent ensemble, « cette tension va devenir beaucoup plus saine, on va trouver un juste milieu ». En effet, entre deux logiques de travail différentes, « on va essayer de chercher un équilibre entre la rigueur qu’exige la conformité et la souplesse que nécessite l’innovation pour exister », conclut Mathilde Régent sur ce point. 

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement