Que signifie l’AI Act pour le secteur public ? La législation peut stimuler la confiance en l’IA, mais marche sur une corde raide entre régulation, technologie et mise en œuvre pratique.
L’AI Act est officiellement entré en vigueur le 1er août 2024 et les règles s’appliquent progressivement. La législation a pour objectif principal d’encadrer l’intégration rapide de l’IA dans notre vie quotidienne. C’est certainement nécessaire, car l’incertitude sur ce qui est permis ou non freine l’adoption dans le monde des affaires.
Cette tension est encore plus palpable dans le secteur public, où les décisions prises par ou avec l’IA peuvent avoir un impact majeur sur les citoyens. Le Smals AI Competence Center a récemment réuni quatre experts de différentes disciplines pour discuter de l’impact de l’AI Act sur le secteur public. Le panel croit en l’impact positif de la loi sur la confiance dans la technologie, mais voit des obstacles à sa mise en œuvre pratique.
lire aussi
L’AI Act dans le secteur public : un exercice d’équilibre délicat
Risques systémiques
Les règles de l’AI Act sont déterminées par une catégorisation des risques des systèmes d’IA. Pour certains systèmes d’IA, le législateur européen sort sans discussion le carton rouge. Cela s’applique entre autres aux technologies pouvant être utilisées pour attribuer des scores sociaux défavorables ou pour la reconnaissance faciale et émotionnelle dans l’espace public.
« Ensuite, il y a la catégorie des “systèmes d’IA à haut risque”, qui se voient imposer, entre autres, des exigences spécifiques de qualité des données », explique Thomas Gils, expert de l’AI Act à la KU Leuven.
En descendant l’échelle, nous rencontrons les systèmes d’IA qui doivent tenir compte d’obligations spécifiques de transparence, comme les chatbots et les générateurs d’images. Ces systèmes peuvent utiliser des modèles d’IA à ‘usage général’, dont relèvent la plupart des LLM. Une subdivision supplémentaire est faite selon que le modèle peut ou non présenter des risques systémiques.
Renforcement du RGPD
Cela semble déjà complexe, mais en essence, l’AI Act renforce le RGPD, note Kurt Maekelberghe, DPO à la Banque Carrefour de la Sécurité Sociale (BCSS). « Le RGPD s’applique intégralement aux systèmes d’IA. Pour les systèmes à haut risque, nous devons faire une analyse approfondie des menaces pour les droits fondamentaux des personnes dont les informations sont traitées, ou qui dépendent des résultats. L’administration n’a pas de marge pour prendre de mauvaises décisions ».
lire aussi
Le secteur public mise largement sur l’IA générative, mais se heurte à des obstacles en matière d’infrastructure et de sécurité
« Certaines données peuvent être conservées pour l’entraînement des modèles. Il est donc important de bien lire le contrat avec votre fournisseur pour voir s’il garantit que vos données ne seront pas conservées plus longtemps que nécessaire pour le traitement », ajoute Katy Fokou, chercheuse en IA pour Smals.
Littératie
Un principe important de l’AI Act est la « littératie ». La loi exige que les personnes qui utilisent l’IA aient les bagages techniques, pratiques et juridiques nécessaires pour l’utiliser de manière responsable. « En théorie, cela va très loin, car tout le monde avec un smartphone utilise en fait l’IA. La question de savoir si cela sera appliqué aussi largement est une autre histoire », dit Gils.
Fokou explique comment Smals aborde cela. « Nous adoptons une approche pragmatique, avec une formation spécifique pour chaque rôle. La première étape est de reconnaître l’importance de la réglementation, mais aussi de l’innovation. Les outils d’IA arrivent sur le marché, il est donc essentiel d’informer tout le monde et de les sensibiliser à ce qui est possible ou non, pour “démystifier” la technologie et gagner la confiance. Mais je ne pense pas qu’il existe une formation unique pour tous ».
Karel Van Eeckhoutte témoigne en tant que Strategic Advisor pour l’Office National de Sécurité Sociale : « L’ONSS mise fortement sur l’augmentation de la littératie en IA au sein de l’organisation. Nous proposons un large éventail d’activités, dont des formations, des newsletters et des sessions après le travail. Elles traitent de ce qu’est précisément l’IA, des formes qu’elle prend et des risques qui y sont associés. Nous encourageons activement les employés à poser des questions et à partager leurs expériences. »
Qui est responsable ?
De la littératie, on passe à la gouvernance. Maekelberghe souligne un manque de règles uniformes. « Il n’existe pas encore aujourd’hui de matériel dont on peut dire que si on le suit, on y arrivera. Les normes qui existent doivent encore être interprétées. Nous devons encore travailler à un modèle pratique pour le moment ».
Le panel s’accorde cependant pour dire que la gouvernance ne doit pas être isolée dans l’organisation. « À l’ONSS, nous travaillons avec un groupe AI Governance multidisciplinaire, chacun avec sa propre expertise. Cette équipe développe les initiatives et offre un soutien sur le terrain. Dans l’Innovation Board, nous impliquons toutes les directions dans la définition de l’orientation stratégique concernant l’IA. Ainsi, l’IA est pensée à l’échelle de toute l’organisation », dit Van Eeckhoutte.
« Le gouvernement flamand a établi un ‘playbook’ pour le secteur public », enchaîne Gils. « C’est un document intéressant à consulter, mais en tant qu’organisation, vous devez déterminer où vous voulez aller. Dans chaque projet d’IA, vous devez impliquer les gens et les informer des risques et des limitations, tant techniques que juridiques. Ce n’est pas possible si la gouvernance reste dans sa ‘tour d’ivoire’. Qui effectue le contrôle et la supervision varie selon chaque projet et entreprise ».
L’IA dans l’ombre
Une stratégie de gouvernance étendue doit surveiller ce qu’on appelle la shadow AI, où les employés utilisent des outils d’IA de leur propre initiative. Maekelberghe : « Le problème est lié à l’accès que les employés obtiennent aux applications sur Internet. Ce n’est pas un nouveau phénomène. Faites attention aux outils qui divulguent des données personnelles ou les sortent des limites de l’environnement de l’entreprise. En tant qu’employeur, vous devez clairement définir quels moyens peuvent être utilisés ».
« Nous l’avons vu presque immédiatement avec ChatGPT », renchérit Fokou. « Une des premières mesures que nous avons prises chez Smals est l’établissement de règles de politique pour l’utilisation de l’IA générative. Il est normal que les gens veuillent utiliser ces outils, mais vous devez bien les informer sur la manière de le faire correctement ».
lire aussi
Des agents à votre thermostat : l’IA ne se laisse pas classer dans une seule catégorie
« Vous pouvez mettre des outils en liste blanche ou en liste noire, mais ce dernier est difficile car l’IA est maintenant partout. Comment allez-vous gérer cela ? », demande Van Eeckhoutte à voix haute. Maekelberghe arrive rapidement avec une réponse :
« Je trouve souvent la discussion trop brutale. Pour moi, la question est de savoir si vous pouvez utiliser l’IA pour un objectif spécifique. Pouvez-vous utiliser ChatGPT pour écrire une macro dans Excel ? Oui, mais sachez qu’il peut y avoir des erreurs dans le code. Pouvez-vous utiliser ChatGPT pour écrire des dossiers personnels ? Non, car vous travaillez alors avec des données personnelles. En pratique, c’est souvent plus nuancé ».
Rôle du gouvernement
Le gouvernement joue un rôle actif dans la fourniture d’outils et de cadres pour le respect de l’AI Act. Ce n’est pas toujours évident dans un pays complexe comme la Belgique. « Le gouvernement flamand examine depuis deux à trois ans comment utiliser l’IA de manière responsable. La consultation interrégionale est donc importante. Pour le citoyen, peu importe de quel gouvernement vient un outil. Nous devons éviter de faire les mêmes erreurs qui ont été faites dans d’autres pays », selon Gils.
L’importance de la collaboration entre les institutions gouvernementales et les experts externes est soulignée ici, par analogie avec par exemple la loi NIS2. « Mais le faire uniquement du point de vue de la sécurité est trop limité. Vous devez l’élever jusqu’aux niveaux de la gestion, de l’exécution et de l’IT pour parvenir à une bonne collaboration », souligne Maekelberghe.
Arbitre
Le gouvernement devra également assumer le rôle d’arbitre. « En principe, l’AI Act applique le principe de la surveillance du marché, comme nous le connaissons déjà pour les dispositifs médicaux par exemple. Le fournisseur est responsable du respect de certaines normes avant de mettre sur le marché un système d’IA à haut risque. C’est une forme de surveillance très différente », explique Gils.
La question de savoir qui est responsable des dommages causés par l’IA peut d’ailleurs être complexe. Les questions de responsabilité tombent en effet dans la zone grise extracontractuelle. « En ce qui concerne l’IA, il y a encore beaucoup de questions. La Commission européenne a retiré la directive proposée, donc la législation nationale s’applique. La responsabilité du fait des produits pour les logiciels doit encore être transposée en droit belge », poursuit Gils.
Qui sera l’arbitre n’est pas non plus totalement clarifié. L’IBPT agira probablement comme principal régulateur, mais la législation n’est pas délimitée sur ce que sera son rôle à côté d’autres instances pertinentes comme le SPF Économie ou l’Autorité de protection des données. Sans parler des questions régionales potentielles qui sont toujours au coin de la rue en Belgique.
« Nous n’avons actuellement pas encore d’autorités pour faire respecter les règles. Le dernier mot politique n’a pas encore été dit à ce sujet », garde Gils tactiquement la balle au centre. « Les autorités ont encore beaucoup de choses à mettre en œuvre, mais nous ne savons même pas quand elles seront prêtes », intervient Fokou de manière tranchante.
Trouver l’équilibre
Le panel aborde brièvement les pièges techniques que le gouvernement doit éviter à tout prix. Ils ne sont en principe pas différents de ceux des entreprises commerciales, où les « boîtes noires » et le « verrouillage fournisseur » sont tout autant à éviter. Fokou : « Cette question d’architecture nous empêche parfois d’avancer. Il n’y a pas assez de concurrence et pas assez de choix. Maintenant, les fournisseurs ont des formules attractives, mais nous ne savons pas quel sera le prix final ».
« Selon moi, il y a ici besoin d’une analyse de risque spécifique où l’on prend en compte les risques des grands fournisseurs. Ce sont des questions IT traditionnelles. Je pense qu’on met trop d’énergie à développer soi-même des LLM pour le secteur public. Si on fait l’analyse économique, elle serait surtout en faveur des LLM déjà existants, mais avec le risque que la continuité ne soit pas garantie », réplique Maekelbergh.
La mise en œuvre de l’AI Act dans le secteur public sera un exercice d’équilibre délicat. C’est la courte conclusion d’une longue histoire qui ne fait que commencer. Le mot de la fin revient à Van Eeckhoutte :
« Comment trouver l’équilibre entre régulation et innovation est une question difficile. La finalité visée par l’AI Act est bonne car elle offre la sécurité et la certitude nécessaires pour donner le ton. Dans quelle mesure l’AI Act sera un frein à l’innovation reste à voir.
Nous ne savons pas quel sera le prix final de l’IA.
Katy Fokou, Chercheuse en IA chez Smals
Cette contribution éditoriale a été réalisée en collaboration avec notre partenaire Smals.