Loi sur l'IA : un des organismes de normalisation de l'UE veut un plus grand rôle
L’Institut européen des normes de télécommunications (ETSI) a suggéré que la définition de l’IA et la catégorisation des applications à haut risque soient laissées aux normes techniques dans une lettre envoyée à la Commission européenne.
L’Institut européen des normes de télécommunications (ETSI) a suggéré que la définition de l’IA et la catégorisation des applications à haut risque soient laissées aux normes techniques dans une lettre envoyée à la Commission européenne et obtenue par EURACTIV.
L’ETSI est l’un des trois organismes de normalisation européens qui ont reçu un projet de demande de normalisation de la part de la Commission européenne afin de rendre opérationnelles les exigences de la loi sur l’intelligence artificielle (IA).
« La CE [Commission européenne] a rédigé un excellent ensemble de contraintes de haut niveau et descendantes au sein du projet de loi sur l’IA pour contribuer à garantir que l’IA est sûre et facilite la transition numérique de l’UE. L’ETSI est heureux d’avoir été invité à commenter le projet de demande de normalisation », peut-on lire dans la lettre.
Les organismes de normalisation ont été accusés d’être des institutions opaques avec une faible représentation de la société civile, en particulier dans la mesure où ils définiront comment les règles de l’IA fonctionneront dans la pratique.
La réponse de l’ETSI à la demande de la Commission, obtenue par EURACTIV, vise, d’une part, à répondre à ces préoccupations mais, d’autre part, ne peut qu’en susciter d’autres.
Champ d’application et processus
L’organisme de normalisation note que de nombreux aspects des normes d’IA auront un impact sur la sécurité et les droits de l’homme. Il serait donc essentiel d’impliquer les parties prenantes de la société afin d’intégrer systématiquement leurs points de vue dans le processus via une « boucle de rétroaction ».
Parallèlement, la réponse précise que, la législation étant horizontale, les définitions couvriront la plupart des domaines ; les organismes de normalisation devront donc veiller à ce qu’elles soient cohérentes dans toutes les normes techniques.
Par conséquent, l’ETSI recommande que les organismes de normalisation soient également chargés d’élaborer une norme technique pour les termes et les définitions, en commençant par la loi sur l’IA, mais pas uniquement.
Afin de garantir la cohérence, ces définitions seraient actualisées tous les trois mois avec les autres normes harmonisées dans le cadre de la loi sur l’IA.
La définition de l’IA est actuellement l’un des points les plus controversés des discussions politiques au Parlement européen et au Conseil, qui deviendraient alors futiles.
Pour Kris Shrishak, chercheur en technologie au Conseil irlandais pour les libertés civiles (ICCL), déléguer une décision politique à des organes techniques serait antidémocratique, notant que « le fait d’avoir plus de parties prenantes ne signifie pas automatiquement que celles-ci ont une voix significative dans la discussion. »
Le document note que les dates de réalisation sont très ambitieuses « compte tenu, par exemple, du fait que de nombreux experts ont noté que les aspects fondamentaux du contrôle de la transparence, de la fiabilité, etc. sont encore en phase de recherche », s’engageant à soutenir les travaux dans la mesure du possible.
Gestion des risques
L’ETSI note qu’il pourrait y avoir une certaine contradiction perçue ou réelle entre la législation verticale sur des secteurs comme la santé ou l’agriculture et les exigences horizontales de la loi sur l’IA. Néanmoins, il devrait être possible d’appliquer les normes de fiabilité existantes à l’IA dans son ensemble.
Le défi réside toutefois dans le fait qu’il n’existe aucun moyen a priori de classer un système d’IA dans une catégorie de risque spécifique, qui dépendra des cas d’utilisation concrets. « Ce n’est pas la tâche de l’organisme de normalisation de catégoriser a priori. MAIS l’organisme de normalisation peut et doit décrire comment procéder à cette catégorisation », indique la réponse.
De plus, déléguer la catégorisation des systèmes à haut risque à des organismes techniques s’est avéré controversé, car cela implique une évaluation basée sur la valeur.
Afin de rendre la situation encore plus complexe, l’ETSI souligne que le risque d’un système d’IA peut ne pas être manifeste même s’il est conforme à une norme technique. Étant donné que les systèmes d’IA peuvent interagir les uns avec les autres, même s’ils présentent individuellement un faible risque, ces risques peuvent se cumuler dans une application à haut risque.
Harmonisation avec les normes existantes
En ce qui concerne la gouvernance et la qualité des données, l’ETSI estime que les lignes directrices devraient être combinées avec les lignes directrices de haut niveau des organismes de normalisation internationaux tels que l’ISO et la CEI. De même, la définition de la transparence devrait être précisée, tout en restant alignée sur les normes ISO et IEC.
En ce qui concerne les obligations de déclaration, l’ETSI recommande d’utiliser des formats normalisés, lisibles par machine, qui facilitent le travail des organes de surveillance, comme cela a déjà été le cas dans d’autres secteurs.
En matière de supervision humaine, l’organisme de normalisation note qu’il s’agit d’un domaine de recherche encore actif, et qu’une solution initiale pourrait consister à limiter l’examen humain aux registres du système d’IA, des orientations supplémentaires devant être fournies ultérieurement.
Évaluation de la conformité
Alors que les normes techniques de l’IA sont destinées à rendre opérationnels les concepts exprimés dans le futur règlement, la norme d’évaluation de la conformité permettra de soutenir le processus de conformité pour toutes les autres normes.
À cet égard, l’ETSI recommande de mettre en place un mécanisme de suivi des expériences de déploiement sur le marché pour les incidents et les quasi-incidents dus au non-respect des exigences. Un outil devrait être mis en place pour la publication des mises à jour destinées à corriger les failles détectées par le biais des rapports d’incidents.
En outre, les décisions de conformité prises par les organismes d’évaluation doivent être collectées périodiquement, et les informations partagées avec l’organisme de normalisation afin de faciliter la mise à jour des normes en temps voulu.
Les moyens de déterminer le risque et la conformité devraient être régulièrement révisés, ces deux concepts pouvant évoluer avec le temps. L’organisme note en particulier que les solutions d’IA sont basées sur des méthodes statistiques. Par conséquent, leur conformité doit être évaluée à l’aide de méthodes statistiques telles que les seuils de confiance.
L’ETSI et la Commission européenne n’étaient pas disponibles pour un commentaire dans l’immédiat.
