Responsible AI Framework, l’outil qui accroît la confiance dans l’IA

confiance dans l'IA
  • Publication
  • 22 mai 2024

Imaginez une invention grâce à laquelle “la personne la plus ignorante pouvait, à un prix modéré et par un léger exercice corporel, écrire des livres philosophiques, de la poésie, des traités sur la politique, la théologie, les mathématiques, sans le secours du génie ou de l’étude”. Ce que Jonathan Swift décrit en 1721 nous fait aujourd’hui penser à un grand modèle de langage (LLM), un type de programme d'intelligence artificielle. 

 

Trois siècles après "Les Voyages de Gulliver", les modèles d'IA générative (GenAI) ne sont toujours pas capables de produire de tels contenus à haute valeur ajoutée. Cependant, les progrès en matière de LLM sont de plus rapides et leur potentiel considérable à un horizon très proche.

 

Avec cet immense potentiel viennent des défis tout aussi élevés, pour les entreprises, les personnes et la société. Dès lors, quelle approche adopter à l'égard de la GenAI pour que son introduction auprès du grand public et son adoption dans les entreprises ne les exposent pas à des risques non maîtrisés ?

 

Qu’est-ce qu’un grand modèle de langage ?

Un large language model (LLM) est un modèle linguistique entraîné à comprendre et à générer du langage naturel, afin notamment de mettre en œuvre des agents conversationnels (chatbots). Cette forme d’intelligence artificielle est entraînée sur de grandes quantités de données textuelles non structurées jusqu’à devenir capable de prédire une suite probable à une entrée donnée. Les LLM possédant un grand nombre de paramètres (de l’ordre de plusieurs milliards) arrivent à maîtriser l’essentiel de la syntaxe et de la sémantique du langage humain. Les premiers LLM développés étaient BERT (Google, 2018) et GPT (OpenAI, 2019).

 

Travailler avec la GenIA, une question de confiance

De par son adoption fulgurante et la multiplication des cas d’usage dans une infinité de domaines, la GenAI fait figure d'innovation révolutionnaire. Sa puissance et sa vitesse de progression suscitent les plus grandes craintes. Les fonds de capital-risque et les grandes entreprises technologiques investissent des milliards de dollars dans des startups de l'IA générative. Les développements qui en découleront rendront encore plus ardues la gestion des risques et la définition de mesures de protection.

Pour autant, les questions d'éthique, de responsabilité et de régulation de l'IA ne sont pas des sujets inexplorés. Depuis des années, de nombreuses organisations ont acquis une grande expertise dans ce domaine. Dans une enquête PwC réalisée en 2022 aux États-Unis auprès d’un millier de dirigeants d'entreprise et directeurs tech impliqués dans les stratégies d'IA, 98% de ces derniers étaient conscients de l'impératif d'une IA responsable. Un certain nombre d’entre eux avaient déjà un ou plusieurs projets en cours visant à rendre leur IA responsable.

Si les cadres conceptuels élaborés pour l’IA traditionnelle restent pertinents, ils doivent aujourd’hui être revus à la lumière de l'essor de la GenAI. En particulier, une réflexion s’impose sur trois enjeux déterminants pour travailler avec confiance avec cette technologie : les risques associés aux usages de la GenAI, les questions de responsabilité et de transparence, ainsi que la maîtrise de l'infrastructure.

1- GenAI : quels risques pour quels usages ?

Se référer aux modèles de fondation tels que définis dans l'IA Act

Les systèmes d'IA à usage général ont un large éventail d'utilisations possibles, qu'elles soient prévues et voulues ou non par les développeurs. Ils peuvent être appliqués à de nombreuses tâches différentes dans divers domaines, souvent sans modification ni ajustement substantiels. 

Pour maîtriser les risques qui peuvent en découler, les GPAI devront se conformer à un certain nombre d’obligations de transparence :

  • indiquer que le contenu est généré par l’IA,

  • informer les personnes qu'elles interagissent avec un système d’IA,

  • produire une documentation technique,

  • conserver un résumé des données d'entraînement,

  • protéger les droits d'auteur et la propriété intellectuelle.

Les modèles de fondation doivent quant à eux se conformer à des obligations de transparence avancées, telles que publier un résumé détaillé des données de formation et rendre compte de la consommation d'énergie.

Dans l’IA Act, les modèles de fondation entraînés avec de grandes quantités de données et dont la complexité, les capacités et les performances sont bien supérieures à la moyenne seront considérés comme "à fort impact". Ils devront faire l'objet d'évaluations de modèles, d'évaluations des risques, de rapports d'incidents et de protection en matière de cybersécurité.

Prendre pour repères les catégories de risques de l'AI Act

L'AI Act, projet de loi de l'Union européenne régulant l’intelligence artificielle, sera la référence de toutes les législations dans ce domaine. Il établit des mesures de protection différenciées selon la catégorie de risque associés aux systèmes d'IA. Cette classification se fonde principalement sur leur l’usage. 

Prenons l’exemple des technologies de reconnaissance faciale que nous utilisons quotidiennement pour déverrouiller nos téléphones. Dans le projet de loi, elles sont strictement interdites pour un usage en temps réel dans les lieux publics, mais une autorisation exceptionnelle peut être accordée pour des raisons de sécurité publique.

Catégories de risques définis par l’AI Act

Risques inacceptables Risques élevés Risques limités Risques minimes

Risques graves pour la santé, la sécurité et les droits fondamentaux des individus.

Les systèmes d'IA qui pourraient entraîner des blessures physiques, des discriminations et autres violations graves des droits humains sont classés dans cette catégorie.

Risques qui nécessitent une attention particulière et une réglementation stricte.

En font partie les risques potentiels pour des domaines tels que la vie privée, la sécurité, les droits de l'homme et la sécurité des enfants.

Les systèmes d'IA de cette catégorie devront respecter des exigences et des contrôles spécifiques pour garantir leur utilisation responsable.

Risques moins graves, mais qui peuvent avoir un impact négatif sur les individus ou la société. 

Cela comprend les biais algorithmiques, les erreurs et les inexactitudes dans les résultats des systèmes d'IA. 

Bien que ces risques soient moins graves que les précédents, ils doivent toujours être pris en compte et atténués.

Risques qui ont un impact très faible ou négligeable sur les individus ou la société. 

Les risques sont minimes pour la sécurité, la santé et les droits fondamentaux des personnes. 

Cependant, une surveillance et une transparence sont nécessaires pour assurer la confiance dans l'utilisation de l'IA.

2- Responsabilité et enjeu de transparence

En mars 2023, des centaines d’experts dans le monde ont appelé à suspendre pour six mois les recherches sur les systèmes d’IA plus puissants que GPT-4. Leur lettre ouverte demandait notamment de rendre obligatoire l’utilisation d’un système robuste d’audit de code pour assurer la responsabilité, la transparence et la confiance dans le développement et l'utilisation de ces modèles avancés. Si un tel moratoire n’aura finalement pas lieu, les entreprises peuvent cependant tenir compte de ce signal d’alerte en prenant un certain nombre de mesures préventives.

Définir un cadre éthique de la GenAI propre à l’entreprise

Comment la GenAI se situe-t-elle en termes de risques par rapport aux autres systèmes d'intelligence artificielle ? En Europe, la même classification devrait être appliquée à l’IA et à la GenAI. Mais, du fait de l’utilisation de cet outil extrêmement polyvalent, dans de nombreux secteurs, par un très grand nombre de personnes et pour des cas d'usage extrêmement variés, il est très complexe de lui assigner un score de risque définitif. Cela dépendra de cas spécifiques d'utilisation. L'Union européenne elle-même, avec l’IA Act, classe à part les modèles tels que GPT et Gemini du fait de leur modèle de fondation, de la classification des risques et des exigences spécifiques qui en découlent.

Il est donc essentiel que chaque entreprise adopte son propre cadre éthique de GenAI pour fixer, au-delà de la réglementation, quels usages et quel niveau de risque elle souhaite intégrer dans sa stratégie globale. Cette approche permet également d’enrichir sa politique de responsabilité sociétale des entreprises (RSE) de dispositifs garantissant une exploitation des avantages de l'IA sans risques collatéraux pour la société et l'environnement.

Pour mettre en œuvre cette approche, les entreprises peuvent créer des comités d'éthique chargés d’assurer une utilisation responsable de l'IA. Le rôle de ces comités est de contribuer à sensibiliser les collaborateurs quant à l'impact potentiel de l'IA sur les différentes parties prenantes, à identifier les risques éthiques et à élaborer des politiques pour maîtriser ces derniers. De plus, il incombe à ces comités de garantir que les décisions relatives à l'IA sont prises de manière transparente et basée sur des valeurs éthiques solides.

Lire aussi : Quelles réponses possibles face aux risques éthiques de la GenAI ?

Viser l’explicabilité de l'IA

Comment rendre un acteur responsable de ses décisions lorsqu'elles sont basées sur des algorithmes opaques ? Difficile, voire impossible. Les modèles de GenAI sont particulièrement complexes à comprendre car les mécanismes par lesquels ils produisent des résultats ne sont pas transparents. Les 175 milliards de paramètres d’ un réseau de neurones comme GPT-3 rendent incompréhensible la manière dont l'IA prend ses décisions et la raison pour laquelle elle les prend.

 

Qu’est-ce qu’un réseau de neurones ?

Les LLM utilisent une architecture en réseau de neurones imitant la manière dont les neurones biologiques du cerveau humain s'envoient des signaux. Le réseau de neurones fait partie des technologies d'apprentissage automatique et participe au fonctionnement des algorithmes d'apprentissage en profondeur (deep learning). Il permet notamment aux LLM de prendre en compte les dépendances à long terme dans le langage et ainsi de mieux comprendre les séquences textuelles.

 

Cependant, il existe des méthodes pour expliquer et interpréter les décisions de l'IA. L’analyse de sensibilité en est une, qui consiste à modifier un des paramètres pour vérifier de quelle manière cela impacte le résultat final. Ces dernières années, les méthodes dédiées à l’explicabilité de l’IA, telles que celles étudiées dans le cadre de la Chaire XAI4AML de Télécom ParisTech cofinancée par PwC, ont fait de grands progrès.

Évaluer la qualité des résultats de la GenAI

Certaines IA se concentrent sur des tâches spécifiques avec des vérités de terrain bien définies (par exemple, si une IA prédit des ventes, il est ensuite possible de vérifier à posteriori si elle avait vu juste). Contrairement à ces IA, la GenAI est bien plus créative. Les entrées variables de l'IA générative conduisent à une plus grande variation de sortie, ce qui complexifie l’évaluation des résultats. 

La GenAI peut aussi poser problème si l'on cherche à généraliser des résultats. Un déploiement à grande échelle se trouve freiné par la difficulté à tester la qualité des réponses de l'IA générative. Le risque est important que des erreurs soient faites par cette dernière même lorsque les tests semblaient favorables.

Il existe des protocoles de tests pour évaluer l'exactitude, l'efficacité et la qualité des résultats de la GenAI. Ces protocoles, qui reposent sur des tests réalisés en partie par des humains, permettent de garantir la qualité des résultats même si la compréhension des modèles reste complexe.

Pour une entreprise, la question est de déterminer comment ses parties prenantes perçoivent la partie non explicite des résultats en fonction de leur culture et de la nature du processus métier impacté. Par exemple, le manque d'explications sur les décisions d'attribution d’un crédit, qui aura un impact sur la vie des clients, est perçu comme inacceptable. Il est donc crucial d'aborder systématiquement la question de l'explicabilité, de l'interprétabilité et de l'acceptabilité légale et éthique pour tous les projets, idéalement dès le début.

Qui est responsable des résultats d’une GenAI ?

Une autre question sous-jacente est de savoir qui est responsable du résultat produit par un outil de la GenAI : les fournisseurs de données d'entraînement, les créateurs du modèle fondamental de LLM, les entreprises qui ont intégré ce modèle, les utilisateurs finaux ? 

Pour garantir que les modèles sont conçus avec les précautions nécessaires et le niveau de qualité attendu, il est essentiel pour une entreprise d'auditer et/ou de certifier les algorithmes de ses fournisseurs au regard de ses exigences éthiques et réglementaires. 

Toutefois, le marché des fournisseurs de modèles fondamentaux de LLM est très concentré, voire monopolistique, peu d'acteurs étant capables d'investir les milliards de dollars nécessaires pour l'entraînement des modèles. Par conséquent, des fournisseurs en position de force peuvent refuser de communiquer de manière transparente sur leurs résultats scientifiques. Bien que la plupart des grands fournisseurs de modèles aient rendu leur architecture publique, ils ont été beaucoup moins enclins à communiquer sur leurs ensembles de données d'entraînement ou leur modèle. Cela peut entraver le travail des data scientists des entreprises qui cherchent à comprendre les mécanismes derrière ces systèmes.

Transparence vs. invisibilité des processus

Une autre caractéristique importante de l'IA générative est sa discrétion, voire son invisibilité. Ces systèmes sont souvent mis en œuvre dans une chaîne de traitement informatique complexe, difficile à comprendre pour l'utilisateur. Ainsi, les possesseurs d’iPhone ne sont pas toujours conscients que, derrière des fonctionnalités telles que la dictée, se cache une intelligence artificielle capable de saisir jusqu’aux accents locaux et intonations. 

Étant entraînée pour la plupart des modèles spécifiquement pour se rapprocher du comportement humain, la GenAI passe d’autant plus souvent inaperçue  à l'autre bout de la chaîne, côté utilisateurs. C'est pourquoi l'incorporation croissante de l'IA générative dans la vie quotidienne rend essentielle la mise en place de mécanismes de transparence assurant une utilisation responsable de l'IA jusqu'au consommateur final.

Se pose alors la question de savoir jusqu’où informer. Est-il opportun de dire à un candidat qu’une IA a généré la voix du prétendu Responsable de recrutement ? Appliquée à l'utilisation des données personnelles, la notion de consentement éclairé s’étend au champ de l’IA.  Par exemple, si une IA scanne les CV, les candidats doivent en être informés et leur consentement formellement obtenu. Il en va de même si la conversation avec le Responsable de recrutement est enregistrée. En revanche, il n’existe à ce stade pas d'obligation de dire aux candidats que la voix de leur interlocuteur est générée par une IA.

Les efforts doivent se poursuivre en vue d'élaborer des normes éthiques solides, de promouvoir la transparence et de favoriser une utilisation responsable de l'IA. C’est ainsi que la confiance des parties prenantes, à commencer par les clients et les collaborateurs, pourra reposer sur des fondements durables.

3- Pourquoi il importe de contrôler l’infrastructure IA

Les entreprises ont plusieurs options pour mettre en place une infrastructure pour l'IA générative : plateformes de cloud public et privé, fournisseurs de services d'IA générative, plateformes no code, low code ou code first, cadres de développement d'applications LLM et outils auxiliaires. Le choix dépend des besoins spécifiques de l'entreprise, de son environnement informatique, de son ambition environnementale et de ses capacités techniques.

Dans tous les cas, limiter les risques éthiques de l'IA générative implique de prendre le contrôle de l'infrastructure. En maîtrisant l'infrastructure, on peut connaître la source des données, mettre en place des outils de mesure et de monitoring, contrôler la qualité du contenu généré, protéger la vie privée et les données, et assumer la responsabilité en cas de problèmes. La sécurité des données et la maintenance de l'infrastructure sont également des éléments importants à prendre en compte.

Un autre avantage de la maîtrise de l'infrastructure est la possibilité de mettre en place une trajectoire durable de gestion des ressources de calcul et de stockage des données. Cela permet de contrôler l'empreinte carbone de ses activités. En effet, cette dernière dépend en grande partie des ressources utilisées pour entraîner le modèle, et dans une moindre mesure des ressources nécessaires pour l'utiliser, lorsqu’elle est sollicitée par un prompt ou une requête d'utilisateur. Les émissions de CO2 dépendent également des ressources nécessaires à la production des matériaux initiaux et des centres de données.

Il existe des stratégies efficaces pour réduire l'empreinte carbone des activités IA. Par exemple :

  • En partenariat avec ses fournisseurs, l’entreprise peut adopter des méthodes de calcul économes en énergie. 

  • Il est également possible d'évaluer les sources d'énergie utilisées par les centres de données pour favoriser les énergies vertes. 

  • Enfin, l’entreprise peut opter pour un usage raisonné, voire frugal, des algorithmes, en limitant par exemple leur utilisation à des cas reconnus comme nécessaires.

Un outil pionnier : le Responsible AI Framework de PwC

Les enjeux en matière d’IA sont multiples. Pour les collaborateurs, il s’agit d’apprendre à travailler avec les technologies tout en exigeant le respect de leur authenticité et de leur autonomie. Les clients doivent quant à eux garder la maîtrise de leurs données et s'assurer de la protection de leur vie privée tout en exigeant que ce qui leur est présenté soit authentique et explicable. De leur côté, les institutions doivent créer, structurer et répartir équitablement la valeur générée par le partage des connaissances, plateformes et données. Enfin, les gouvernements et les organismes de réglementation doivent équilibrer innovation et réglementation pour assurer la compétitivité de l'économie tout en protégeant les utilisateurs et les concurrents.

Pour anticiper les problématiques éthiques liées à chaque type d’enjeu, PwC a été parmi les premiers à mettre en place un cadre de travail responsable sur l'intelligence artificielle. Conçu pour l’IA traditionnelle, ce Responsible AI Framework (RAI) répond aujourd’hui aux enjeux spécifiques de l'IA générative. Il se décompose en quatre volets : stratégie, contrôle, pratiques responsables et pratiques au cœur de la démarche PwC.

Volet de stratégie
Volet de contrôle  Volet détaillant les pratiques responsables  Volet rappelant les pratiques au cœur de la démarche PwC 
Pour cerner les enjeux éthiques liés au produit en évaluant la sensibilité des données, la conformité au cadre légal ainsi qu'aux valeurs de PwC. Pour prendre en compte l'architecture globale du produit en s'assurant de la conformité de chaque composante aux standards de l'industrie ou aux règles de la firme, ainsi que des risques traditionnels liés à l'utilisation de l'IA dans le cadre de cette architecture. Pour s'assurer de la transparence et de l'explicabilité du produit, limiter l'impact environnemental de la solution, prévenir les biais et garantir la confidentialité et la sécurité des données. Rappel de la formulation du problème que la solution est supposée résoudre, des standards et meilleures pratiques de l'industrie, ainsi que des grilles d'évaluation de la performance ou de monitoring.

Ombline de Mascureau, Senior Manager, spécialiste Data & AI, et Selma Mehyaoui, Associate, PwC France et Maghreb, sont les auteures de ce texte.

Suivez-nous

Contactez-nous

Stéphane Bocquillon

Stéphane Bocquillon

Associé, PwC France et Maghreb

Benoît Sureau

Benoît Sureau

Associé, Financial Institutions, Risk Management & Blockchain, PwC France et Maghreb

Pierre Bosquet

Pierre Bosquet

Associé, stratégie digitale et IA, Strategy& France

Pierre Capelle

Pierre Capelle

Associé responsable de l’activité Data Analytics et Intelligence Artificielle, PwC France et Maghreb

Masquer