L’AI ACT est le futur règlement européen qui va réguler les usages de l’IA. En France, l’Afnor est mandatée par le gouvernement pour piloter les normes et certifications. La feuille de route fait appel aux contributions volontaires de tous les acteurs du secteur. L’enjeu est de développer la confiance sans nuire à l’innovation.
L’IA (Intelligence artificielle) est l’objet de fortes attentes de la part des entreprises et institutions mais sa mise en œuvre et son utilisation induisent de nombreuses implications et risques qui ne sont pas traités dans un cadre législatif commun. La feuille de route de l’AFNOR est explicite sur le long chemin à parcourir. En clair, les menaces pour la sécurité, la confidentialité, l’imprévisibilité, la fiabilité, les défaillances matérielles des systèmes, etc. doivent être pris en compte pour élaborer les futures normes et certifications.
Pour l’heure, 4 types de risques ont été identifiés. Au plus haut niveau, le risque inacceptable et prohibé que constituent la manipulation des comportements, le Crédit Social, la reconnaissance faciale. Au niveau 3, très important, figurent les infrastructures critiques, les services publics et privés essentiels, la santé, la justice. Ils feront l’objet d’un examen de conformité par des organismes certificateurs. Au niveau 2 on trouve les faibles risques tels ceux liés au chatbots, deepfakes, etc. Ils émargeront aux obligations de transparence. Enfin, le risque minimum concerne les jeux vidéos, les filtres à spam et autres services ayant trait à la sécurité globale des produits. eFutura, association regroupant les acteurs de la gestion de contenu dans la transition numérique et contributeur de la commission IA de l’AFNOR déclare « nous pouvons analyser tous les aspects de la fiabilité, notamment la transparence, la robustesse, la résilience, la confidentialité et la sécurité, et recommander des pratiques exemplaires susceptibles d’induire un comportement prévisible et bénéfique des systèmes d’IA »
Une feuille de route normative déclinée sur 6 axes
La stratégie française est structurée selon l’AFNOR autour de lignes de forces qui suivent.
L’axe 1 porte sur le développement des normes sur la confiance (exigences, critères et métriques). Cela concerne notamment la sécurité, la sûreté, la robustesse, la transparence, l’équité.
Le deuxième axe cible les normes sur la gouvernance et le management de l’IA. Il s’agit de la norme ISO 42001 sur le système de management de la qualité des IA (qualité des données, mauvaise conception, mauvaise qualification, mauvaise identification ou compréhension des risques) et de l’ISO 23894.2 sur la gouvernance des risques.
L’axe 3 concerne les normes sur la supervision et le reporting des systèmes d’IA. Il s’agit surtout de permettre à l’homme d’intervenir dans les moments critiques où l’IA sortira de son domaine de fonctionnement attendu.
Le 4ème axe porte sur les compétences des organismes de certification chargés de vérifier la mise en place des processus de qualification et s’assurer de la conformité des produis aux exigences réglementaires.
L’axe 5 s’intéresse à la normalisation de certains outils numériques (simulation, jumeaux numériques…). L’un des enjeux consistera à disposer de simulations reposant sur des données synthétiques, par exemple, celles sur une ville ou un processus industriel.
Le dernier axe met l’accent sur la simplification de l’accès et de l’utilisation des normes. La complexité des textes règlementaires cette nature a de quoi effrayer certains acteurs de l’IA.
De la contribution active de toutes les parties concernées dépendront la robustesse et l’efficacité des futures normes.