IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un cadre pour la gouvernance de l'IA aux États-Unis : Créer un secteur de l'IA sûr et prospère
En consultation avec le comité ad hoc sur la réglementation de l'IA

Le , par Jade Emy
1 commentaire

90PARTAGES

5  0 
I. OBJECTIFS

La présente note d'orientation est motivée par deux objectifs :

  • Maintenir le leadership des États-Unis en matière d'IA - qui est vital pour le progrès économique et la sécurité nationale - tout en reconnaissant que l'IA, si elle n'est pas correctement supervisée, pourrait avoir des effets néfastes importants sur la société (notamment en compromettant les intérêts économiques et de sécurité nationale).
  • Réaliser un déploiement largement bénéfique de l'IA dans un large éventail de domaines. Pour que l'IA soit bénéfique, il faut donner la priorité à la sécurité (contre les dangers tels que les "deep fakes"), à la vie privée et à l'autonomie des individus (en empêchant les abus tels que la surveillance et la manipulation excessives), à la sécurité (en minimisant les risques créés par le déploiement de l'IA, en particulier dans les domaines déjà réglementés tels que la santé, le droit et la finance), à la prospérité partagée (en déployant l'IA de manière à créer des opportunités et des gains largement accessibles grâce à l'IA) et aux valeurs démocratiques et civiques (en déployant l'IA de manière à ce qu'elle soit conforme aux normes sociétales).


II. PRINCIPES FONDAMENTAUX

En gardant ces objectifs à l'esprit, nous proposons la discussion et les conseils suivants sur la manière dont la gouvernance de l'IA pourrait être mise en œuvre. Il est important de soumettre les systèmes d'IA à une combinaison de réglementation et de droit de la responsabilité pour garantir que l'IA est développée et déployée de manière à faciliter ses utilisations bénéfiques aujourd'hui et à long terme. Les utilisateurs (et le grand public) devraient avoir une idée claire de ce qu'ils obtiennent (et n'obtiennent pas) d'un système d'IA, et devraient être en mesure d'avoir confiance en cette compréhension grâce à des mécanismes tels que les relations contractuelles, les divulgations et les audits.

Pour y parvenir :

  • Les normes, les réglementations et les institutions qui façonnent l'IA doivent évoluer en même temps qu'elle. La technologie ayant tendance à évoluer rapidement, les approches existantes en matière de surveillance ou de réglementation doivent être étendues, dans la mesure du possible, afin d'aligner l'IA sur les normes et les lois actuelles (contrairement aux approches de novo en matière de réglementation de l'IA, telles que celles poursuivies dans l'UE).
  • En d'autres termes, la première étape de la gouvernance de l'IA devrait consister à s'assurer que les réglementations actuelles s'appliquent à l'IA, dans la mesure du possible. Si l'activité humaine sans l'utilisation de l'IA est réglementée, l'utilisation de l'IA devrait l'être également. Le développement, la vente et l'utilisation de systèmes d'IA devraient, dans la mesure du possible, être régis par les mêmes normes et procédures que les humains agissant sans IA dans les domaines d'application de l'IA (par exemple, les soins de santé, le droit, l'embauche et la finance). Entre autres choses, cela garantira intrinsèquement que de nombreuses applications de l'IA présentant un risque plus élevé sont couvertes, étant donné qu'il s'agit de domaines pour lesquels des lois et des règlements ont déjà été élaborés. (L'une des questions sera de savoir comment traiter les lois qui reposent sur l'"intention". À l'heure actuelle, l'IA n'a pas d'intention, mais ceux qui la développent et l'utilisent peuvent en avoir une). Cette approche consistant à appliquer les lois existantes empêchera également les systèmes d'IA d'être utilisés pour contourner les réglementations existantes. Ce type d'approche est déjà utilisé dans certains domaines ; par exemple, les véhicules autonomes sont soumis aux mêmes normes que ceux conduits par des humains. (L'IA à usage général, comme le GPT-4, ou les chatbots construits sur cette base, comme le ChatGPT, sont traités plus loin).
  • Cette approche consistant à étendre les cadres juridiques actuels aux activités impliquant l'IA devrait également s'appliquer aux activités entreprises par les gouvernements, y compris le maintien de l'ordre, la fixation des cautions, l'embauche, etc.
  • En général, les lois et réglementations relatives à l'IA devraient être promulguées et appliquées par la ou les mêmes entités que celles qui régissent les actions humaines sans IA dans le même domaine. Cela peut nécessiter que ces entités acquièrent une certaine expertise en matière d'IA, comme nous le verrons plus loin.
  • Au fur et à mesure que les lois et les règles relatives à l'IA se développent, les différences entre les capacités de l'IA et celles de l'homme peuvent être prises en compte. L'IA aura des capacités que les humains n'ont pas, par exemple
    par exemple, pour trouver des modèles ou prendre en compte des propositions contre-factuelles. Cela peut justifier que l'utilisation de l'IA à certaines fins soit soumise à des normes plus strictes que celles appliquées aux humains agissant sans IA.
  • Pour que l'approche décrite dans cette section soit couronnée de succès, les fournisseurs de systèmes d'IA devraient être tenus d'identifier le(s) but(s) visé(s) par un système d'IA avant son déploiement. Les organismes de réglementation pourraient publier des orientations ou des règles définissant la manière dont les utilisations prévues doivent être décrites et/ou les tribunaux pourraient développer une jurisprudence définissant quelles divulgations de l'usage prévu sont adéquates pour satisfaire des objectifs particuliers. Cette dernière solution, tout en laissant plus d'ambiguïté et de risques, pourrait permettre aux fournisseurs d'IA et à leurs clients de déterminer quels types d'informations sont nécessaires, et pourrait laisser plus de souplesse au fur et à mesure de l'évolution de l'IA. Mais cela ne fonctionnera que si des mesures sont prises pour garantir que ceux qui achètent et utilisent l'IA ont la capacité d'imposer des exigences efficaces aux fournisseurs d'IA et peuvent être sûrs que toutes les conditions contractuelles qu'ils négocient seront applicables. En outre, l'approche plus ouverte peut être plus appropriée pour certaines utilisations de l'IA que pour d'autres. Différents États pourraient également expérimenter différentes approches dans des domaines d'application qui sont réglementés au niveau de l'État.
  • Il est important (mais difficile) de définir ce qu'est l'IA, mais cela est souvent nécessaire pour déterminer quels systèmes seraient soumis à des régimes de réglementation et de responsabilité. L'approche la plus efficace pourrait consister à définir les systèmes d'IA en fonction de ce que fait la technologie, par exemple "toute technologie permettant de prendre des décisions ou de formuler des recommandations, ou de générer du contenu (y compris du texte, des images, de la vidéo ou du son)". Cela peut poser moins de problèmes que de fonder une définition sur les caractéristiques de la technologie, telles que "semblable à l'homme", ou sur des aspects techniques tels que "grand modèle de langage" ou "modèle de fondation" - des termes qui sont difficiles à définir ou qui sont susceptibles d'évoluer avec le temps ou de devenir obsolètes. En outre, les approches fondées sur des définitions de ce que fait la technologie sont plus susceptibles de s'aligner sur l'approche consistant à étendre les lois et règles existantes aux activités qui incluent l'IA.
  • Les régimes d'audit devraient être élaborés dans le cadre de l'approche décrite ci-dessus. Pour être efficace, l'audit doit reposer sur des principes qui précisent des aspects tels que les objectifs de l'audit (c'est-à-dire ce qu'un audit est conçu pour apprendre sur un système d'IA, par exemple si ses résultats sont biaisés d'une manière ou d'une autre, s'il génère des informations erronées et/ou s'il peut être utilisé de manière non intentionnelle) et les informations à utiliser pour atteindre ces objectifs (c'est-à-dire les types de données qui seront utilisées lors d'un audit).

    Un "écosystème" d'audit efficace pourrait se développer de plusieurs manières (qui ne s'excluent pas nécessairement les unes les autres). Pour certaines utilisations, le gouvernement (fédéral, étatique ou local) pourrait exiger qu'un audit soit réalisé (par un fournisseur, une entité réglementaire et/ou un utilisateur) avant et/ou après le déploiement d'un système, en particulier pour les utilisations à haut risque telles que les domaines d'application déjà réglementés (par exemple, les soins de santé). Un système peut aussi se développer de manière plus organique, les utilisateurs exigeant des audits ou les réalisant (avant ou après le déploiement), et les tribunaux évaluant plus sévèrement la responsabilité lorsqu'un système d'IA ne fonctionne pas comme prévu ou enfreint une réglementation, et qu'aucun audit approprié n'a été réalisé. Les audits pourraient être effectués par des tiers, par des utilisateurs ou par le gouvernement. Tout audit devrait protéger la propriété intellectuelle du fournisseur du système d'IA et de l'utilisateur.

    Les audits peuvent être facilement manipulés pour ne pas révéler des problèmes existants ou, à l'inverse, pour suggérer que quelque chose pose problème alors que ce n'est pas le cas. Il faudra donc élaborer des normes publiques en matière d'audit. Ces normes pourraient être établies par une entité à but non lucratif, par exemple une entité analogue au Public Company Accounting Oversight Board (PCAOB), ou par (ou avec) une entité fédérale comme le National Institute of Standards and Technology (NIST).
  • Il est important de comprendre les limites et les exigences des différents types d'audits. Par exemple, les audits prospectifs permettent de tester un système avant qu'il ne soit utilisé, ce qui peut être utile dans les environnements à haut risque. Cependant, la distribution des données lors de ces tests a priori peut être très différente de celle rencontrée lors de l'utilisation réelle (par exemple, un audit d'un système d'intelligence artificielle qui sera utilisé pour identifier les bons candidats à l'emploi peut utiliser une distribution de candidats différente de celle qui apparaîtra dans le pool réel de candidats). Les audits rétrospectifs, en revanche, peuvent nécessiter l'accès à des informations confidentielles pour l'organisation faisant l'objet de l'audit, de sorte qu'il sera important d'établir des lignes directrices claires et de définir les responsabilités en matière de confidentialité des données.
  • L'"explicabilité", c'est-à-dire l'explication automatisée de la manière dont un système d'IA est parvenu à une conclusion ou a généré un résultat, qui soit à la fois précise et compréhensible pour l'homme, n'est pas possible actuellement et ne le sera peut-être jamais. Mais les systèmes d'IA peuvent et doivent être plus interprétables, c'est-à-dire qu'ils doivent donner une idée des facteurs qui ont influencé une recommandation ou des données qui ont été utilisées pour une réponse. L'amélioration de l'interprétabilité doit être encouragée par des moyens qui ne sont pas très normatifs en ce qui concerne la technologie, car les méthodes continueront d'évoluer rapidement. Le gouvernement pourrait encourager une plus grande interprétabilité par le biais d'un système réglementaire qui impose davantage d'exigences aux systèmes d'IA qui sont moins susceptibles d'être interprétés, ou les tribunaux pourraient élaborer un régime de responsabilité plus sévère pour de tels systèmes.
  • Les données d'apprentissage jouent un rôle central dans de nombreux systèmes d'IA. De nombreuses sources de données, en particulier celles provenant de l'internet public, contiennent des inexactitudes, des biais, des divulgations involontaires d'informations privées et divers défauts contre lesquels les systèmes d'IA devraient être conçus pour se prémunir. Des déclarations claires sur les résultats escomptés pour les systèmes d'IA, ainsi que des mécanismes tels que les tests, le contrôle et l'audit (à la fois pour des domaines d'application spécifiques et pour une utilisation générale) sont importants, en partie, pour limiter les problèmes qui peuvent découler de problèmes dans les données d'apprentissage.


III. PILES D'IA POUR DES APPLICATIONS SPÉCIFIQUES

  • Il est important de reconnaître que les systèmes d'IA seront souvent construits "au-dessus" les uns des autres ; par exemple, un système à usage général comme GPT-4 peut être à la base d'un autre système utilisé pour l'embauche. Nous considérons qu'il s'agit d'une "pile d'IA" comprenant tout système d'IA pouvant servir de composant à d'autres systèmes, y compris, mais sans s'y limiter, les modèles de base. (Cela s'apparente aux systèmes logiciels généraux, qui peuvent comprendre de nombreux composants reliés par des interfaces de programme (API) et sont communément appelés "pile logicielle"). En général, le fournisseur et l'utilisateur finaux d'un service fourni par une pile d'IA seraient responsables de son fonctionnement, mais devraient pour ce faire dépendre du bon fonctionnement des composants de la pile globale. Ainsi, par exemple, une pile déployée à des fins d'embauche relèverait principalement de la responsabilité du fournisseur et de l'utilisateur de la pile complète (et le fournisseur serait soumis aux régimes décrits ci-dessus). Mais lorsqu'un système composant d'une pile ne fonctionne pas comme prévu, il peut être raisonnable que le fournisseur de ce composant partage la responsabilité.

    Pour faciliter cela, ceux qui construisent des systèmes dépendant d'une IA à usage général devraient demander des informations sur la manière dont le système à usage général traiterait la fonction particulière prévue et demander des garanties exécutoires que le système à usage général fonctionnera comme prévu. (Comme indiqué ci-dessus, cela présuppose un environnement juridique dans lequel des garanties contractuelles peuvent être exigées et appliquées). Il convient de noter que les composants de l'IA dans une pile peuvent interagir de manière inattendue, d'où l'importance de considérer tous les composants d'une pile ensemble - par exemple en auditant ces systèmes (à la fois avant et éventuellement après le déploiement).
  • L'un des objectifs (et l'un des tests) d'un système de réglementation et de responsabilité est qu'il devrait, en fait, clarifier ce qui constitue une situation de "fourchette dans le grille-pain", c'est-à-dire lorsqu'un utilisateur (plutôt qu'un fournisseur d'IA) est responsable d'un problème parce que le système d'IA a été utilisé d'une manière qui n'était manifestement pas responsable ou voulue. De telles situations ne peuvent être identifiées que si les fournisseurs précisent quelles sont les utilisations appropriées, s'il existe des garde-fous en matière de bonnes pratiques contre d'autres utilisations et si les responsabilités juridiques des fournisseurs sont clairement délimitées et largement comprises. En outre, les utilisations et les limites de l'IA doivent être largement comprises par les utilisateurs. Par analogie, on ne peut être tenu personnellement responsable d'avoir mis une fourchette dans un grille-pain si ni la nature des grille-pains ni les dangers de l'électricité ne sont largement connus. Ce qu'un utilisateur raisonnable, ou un développeur raisonnable d'une application, est censé savoir est susceptible d'évoluer au fil du temps. Dans la plupart des cas, le fournisseur du système d'IA devrait être tenu pour responsable d'un problème, sauf s'il est en mesure de démontrer qu'un utilisateur aurait dû savoir qu'une utilisation était irresponsable et qu'elle n'aurait pas pu être prévue ou empêchée par le fournisseur.


IV. IA À USAGE GÉNÉRAL

  • On ne peut attendre des fournisseurs de systèmes d'IA à usage général comme le GPT-4 (et des applications générales fondées sur ces systèmes comme le ChatGPT) qu'ils divulguent toutes les utilisations prévues de leurs systèmes. Pourtant, ces systèmes comportent des risques supplémentaires en raison de leur large utilisation, de leur grande disponibilité et de la possibilité pour des applications telles que les chatbots d'interagir d'une manière qui semble humaine aux utilisateurs. Malgré les vastes domaines d'utilisation potentielle des systèmes à usage général, les pouvoirs publics pourraient exiger que les systèmes d'IA à usage général indiquent si certaines utilisations sont prévues (comme la délivrance de conseils médicaux) et qu'ils soient dotés de garde-fous contre les utilisations non prévues (qui pourraient être définies dans la réglementation). Indépendamment des déclarations d'intention, les systèmes d'IA générale - comme tous les autres - devraient être conformes aux lois et réglementations régissant les activités qui seraient couvertes par les humains agissant sans IA (voir ci-dessus). (En outre, les lois et/ou la jurisprudence pourraient imposer une responsabilité plus sévère pour les problèmes résultant d'utilisations que le fournisseur aurait pu raisonnablement prévoir, mais qu'il n'a pas empêchées par des garde-fous ou des avertissements ou instructions suffisants à l'intention de l'utilisateur. Tout avertissement ou instruction doit être fourni de manière à ce que l'utilisateur soit susceptible de le voir et d'en tenir compte. Des pages en petits caractères qu'un utilisateur a peu de chances de lire ne sont pas suffisantes.
  • Les fournisseurs d'IA à usage général pourraient être tenus de contrôler l'utilisation de leurs systèmes d'IA (comme les sociétés pharmaceutiques sont souvent tenues de contrôler les effets de leurs produits une fois qu'ils sont sur le marché). Cela sera particulièrement important si les systèmes d'IA à usage général développent de nouvelles capacités au fur et à mesure de leur utilisation (au lieu de simplement changer lorsqu'un système mis à jour, comme le GPT-4, est mis sur le marché). Le gouvernement pourrait préciser les types de problèmes que les fournisseurs sont chargés de découvrir, de signaler et de traiter. Le gouvernement pourrait également exiger que les nouveaux systèmes d'IA à usage général fassent l'objet d'un projet pilote avant d'être largement diffusés.
  • Il convient de noter que ce qui est considéré comme de l'"IA à usage général" changera probablement au fil du temps, à mesure que la technologie se développera, et que la réglementation devra être suffisamment souple pour évoluer avec la technologie.
  • Dans certains domaines, la réglementation relative à l'IA devrait aller au-delà de ce qui est généralement imposé aux acteurs humains, par exemple lorsque l'IA possède des capacités que les humains n'ont pas. L'un de ces domaines est l'utilisation de l'IA pour créer des images, des vidéos ou des sons fictifs mais réalistes qui ressemblent à des lieux et à des personnes réels (vivants ou morts), parfois appelés "deep fakes" (en particulier lorsqu'ils sont utilisés sans autorisation). Si l'homme est depuis longtemps capable de manipuler des images, l'IA rend la création d'un faux réaliste aussi facile que la prise d'une vraie photo et permet également de cibler plus facilement les destinataires de la désinformation. Un autre domaine est celui de la vie privée et de la surveillance. Alors que les technologies antérieures à l'IA étaient capables de violer la vie privée des individus et d'exercer une surveillance intrusive, ces capacités sont considérablement amplifiées par les progrès de l'IA. En outre, le gouvernement devrait exiger que les images créées par l'IA soient clairement identifiées comme telles, à la fois par des étiquettes généralement visibles par les humains et par des moyens détectables par les machines, tels que le filigrane.


V. UNE AGENCE DE RÉGULATION DE L'IA

  • Pour la surveillance de l'IA qui dépasse le cadre des domaines d'application actuellement réglementés et qui ne peut être assurée par des mécanismes d'audit et un système similaire à celui utilisé pour les audits financiers, le gouvernement fédéral pourrait avoir besoin de créer une nouvelle agence qui réglementerait ces aspects de l'IA. Le champ d'action d'une telle agence de régulation devrait être aussi restreint que possible, compte tenu de la large applicabilité de l'IA et des difficultés liées à la création d'une agence unique dotée d'un large champ d'action. L'agence pourrait recruter du personnel technique hautement qualifié qui pourrait également conseiller les agences réglementaires existantes qui traitent des questions d'IA (conformément aux points ci-dessus). (Cette tâche pourrait également être confiée à une agence existante, mais toute agence existante sélectionnée devrait déjà avoir une mission réglementaire et le prestige nécessaire pour attirer le personnel requis, et elle devrait être libre de toute controverse politique ou autre liée à des missions existantes qui pourraient compliquer sa surveillance de l'IA). Un organisme d'autorégulation (comme la Financial Industry Regulatory Authority, FINRA, dans le monde financier) pourrait se charger d'une grande partie des travaux détaillés sous contrôle fédéral en élaborant des normes et en supervisant leur mise en œuvre.
  • Même avec une nouvelle agence de l'IA, la réglementation des systèmes d'IA destinés à des usages spécifiques (tels que l'aide au diagnostic médical) continuerait de relever de l'agence existante régissant ce domaine (telle que la Food and Drug Administration), comme décrit ci-dessus.


VI. AUTRES ASPECTS DE LA GOUVERNANCE

[LIST][*]L'un des objectifs de toute approche en matière de réglementation ou de responsabilité devrait être d'encourager le secteur privé, les universités et les organismes de recherche à mener davantage de recherches sur les moyens de rendre les systèmes d'IA bénéfiques (tels que définis dans la section "Objectifs" du présent rapport). Tout comme la réglementation du secteur automobile a incité les constructeurs et les universités à mener des recherches sur la manière de rendre les...[/*]
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

1 commentaire
Commenter Signaler un problème