L’IA est déjà utilisée pour éclairer les décisions d'embauche, l'octroi de crédit ou encore l'accès au logement. Comme elle a des répercussions majeures sur la vie, il est essentiel que nous gérions l'IA de manière responsable.
Or, cette gestion responsable est plus facile à dire qu’à faire. Et Christina Montgomery, directrice de la confidentialité et de la confiance chez IBM, souhaite que l’IA demeure un vecteur de changement positif.
« Au sein d'IBM, nous avons créé un comité d'éthique de l'IA – que je copréside actuellement – pour relever ce défi », ajoute Christina Montgomery. « Nous avons formulé des principes concernant l'IA, à savoir qu'elle doit être transparente et explicable. Elle doit préserver la confidentialité, être sûre, inclusive et équitable. Bien que le conseil d'administration ait contribué à intégrer ces principes dans notre culture, nous devons aller plus loin pour garantir leur application au sein de notre entreprise. »
Heureusement, IBM possédait une solide expérience en vue de gérer un large afflux de régulations comme celui-ci.
« Notre conformité au RGPD [Règlement général sur la protection des données] est probablement l'analogue le plus proche de ce à quoi nous avons dû faire face pour l'IA », note Lee Cox, vice-président de la gouvernance intégrée, des services et de la recherche au sein de l'IBM Office of Privacy and Responsible Technology. « Auparavant, la manière dont nous faisions face aux défis de conformité liés à la protection des données était plus locale – nombre de nos programmes étaient régionalisés. Ils remplissaient leur mission, mais il aurait fallu beaucoup de travail pour les adapter aux nouvelles demandes. »
Il poursuit : « Mais avec le RGPD et les autres réglementations en lien avec la confidentialité, nous devions commencer à nous coordonner au niveau mondial. Nous avons dû nous adapter rapidement car nous étions confrontés à davantage d'obligations et d'exigences autour de l'utilisation des données. »
Pour assurer cette supervision mondiale, IBM a créé un système de gestion de la confidentialité et de l’IA (PIMS) à l’échelle de l’entreprise. Forts de ce succès, Christina Montgomery et son équipe ont estimé qu’IBM pourrait améliorer cet outil afin de mieux documenter et suivre la conformité de ses opérations d’IA.
Tout comme pour la protection de la vie privée, l’IA a fait l’objet d’une avalanche de nouvelles réglementations, tant au niveau national que régional, au cours des dernières années. De même, diverses alliances et associations mondiales ont élaboré des directives visant à encourager l’IA à se comporter de manière éthique et responsable. Mais il peut être difficile de répondre à ces attentes croissantes à grande échelle.
« Nous sommes une grande entreprise présente dans plus de 170 pays à travers le monde », ajoute Christina Montgomery. « Nous regroupons plus de 400 entités juridiques distinctes qui font affaire avec 13 000 fournisseurs et 150 000 partenaires commerciaux. À cette échelle, il peut être difficile, du point de vue de la gouvernance, de mettre nos quelque 250 000 employés au diapason ».
Fin 2022, le bureau a mis à niveau PIMS, désormais optimisé par la technologie IBM OpenPages et IBM Knowledge Catalog . La solution, qui comprend également des systèmes innovants du portefeuille IBM pour les données et l'AI (présentés ci-dessous), offre une plateforme centralisée à l'échelle de l'entreprise capable de capturer, d'intégrer et de rendre transparentes les métadonnées liées à la confidentialité des données et à l'ensemble du cycle de vie de l'IA, de la conception au déploiement en passant par l'utilisation quotidienne.
« Avec PIMS, nous recherchions une optimisation, une simplification et une évolution de grande envergure », se rappelle Lee Cox. « Et maintenant, nous adoptons une approche de conformité plus continue qui peut aider à identifier les lacunes entre ce que nous faisons aujourd’hui et les nouvelles réglementations qui apparaissent ».
« Il est essentiel d’instaurer la confiance dans l’ensemble de notre écosystème : nos employés, nos clients, les gouvernements et les décideurs politiques », ajoute Christina Montgomery. « C'est pourquoi nous tenons absolument à être transparents dans notre implication avec l'IA, et c'est justement ce que PIMS contribue à assurer ».
« Les biais sont une préoccupation cruciale », ponctue Lee Cox. « Quand vous amplifiez les défauts des humains par voie de l’IA, ils sont répliqués dans divers systèmes, ce qui leur donne un impact beaucoup plus important sur la société. »
IBM OpenPages constitue le cœur de PIMS, fournissant un flux de travail automatisé et centralisé aux fonctions de gouvernance, de risque et de conformité (GRC) auparavant cloisonnées. Et IBM Knowledge Catalog fournit le catalogue de données correspondant pour surveiller et organiser ces informations GRC, ainsi que les actifs de connaissances et les relations pertinentes.
Dans le cadre de la stratégie de gouvernance d'IBM AI, PIMS tire également parti de la fonctionnalité IBM AI Factsheets d'IBM Cloud Pak for Data. Cet outil suit le cycle de vie des modèles de machine learning, de l'entraînement à la production, en capturant des données réelles qui peuvent être utilisées pour surveiller les risques et la dérive des modèles.
PIMS enregistre les nouvelles instances d’IA qui sont mises en production par IBM ainsi que les instances d’autres systèmes algorithmiques, et les ajoute à un workflow centralisé à l'échelle de l'entreprise et les évalue en fonction des risques potentiels. Et une fois le modèle déployé, la solution assure une surveillance continue de l’équité, de la qualité et de la dérive.
Parallèlement, à mesure que de nouvelles réglementations sont adoptées, PIMS peut être utilisé pour importer ces exigences et mettre à jour les modèles de gouvernance et les efforts globaux d'évaluation des risques.
« Chaque année, une montagne de nouvelles réglementations en matière d’IA sont proposées », note Lee Cox. « Il semble que chaque État américain est en train d’élaborer ses propres règles, et une loi majeure sera publiée en Europe en 2024 ».
Face à l'évolution du paysage réglementaire pour l'IA et à la responsabilité permanente de maintenir la conformité en matière de confidentialité et de gouvernance des données, IBM a créé un programme intégré de gouvernance (IGP). Cet IGP offre une stratégie unifiée pour superviser la protection de la confidentialité, l'IA ou les systèmes algorithmiques, les cas d'utilisation éthiques de la technologie et les demandes d'effacement de données, le tout dans le cadre d'un même programme de gouvernance global, qui inclut PIMS.
L'IGP aide IBM à gérer son programme de conformité à grande échelle, et cela inclura la loi de l'Union européenne sur l'intelligence artificielle, la première loi globale sur l'IA au monde, qui sera adoptée en 2024. Grâce à l'IGP, l'IA peut être alignée sur les exigences de la loi, qui se concentrent sur le risque, la confiance, la sécurité et la transparence, et devraient conduire à de nouveaux niveaux de surveillance humaine et de conformité réglementaire pour l'IA, tant au sein de l'UE que dans le monde.
De leur côté, PIMS et les flux de travail de gouvernance intégrés associés offrent des capacités accrues de traçabilité et de reporting, ce qui permet d’effectuer des examens d’approbation des données avant qu'elles ne soient utilisées pour le pré-entraînement, le développement ou l’ajustement du modèle. L’outil permet également de tenir une documentation et un enregistrement précis du traitement, de la formation associée, des mesures de test et des prédictions actuelles, à la fois concernant l’IA et les autres systèmes algorithmiques. De même, le personnel d’IBM peut utiliser cette piste d'audit pour vérifier que les corrections sont bien effectuées.
IBM prévoit que les futures versions de PIMS reflètent la dernière suite de produits watsonx d’IBM, notamment watsonx.governance. Cette migration vise à fournir à IBM des fonctionnalités améliorées de gouvernance du cycle de vie des modèles, des indicateurs clés et des rapports d’analyse comparative des performances plus larges.
À l'heure actuelle, PIMS suit et gère plus de 5 500 applications et processus métier d'entreprise dans le cadre des activités mondiales d'IBM, le tout à partir d'une plateforme unique et unifiée. De plus, les fonctionnalités d'automatisation fournies par l'outil livrent des indicateurs clés de performance (KPI) pertinents aux tableaux de bord de gouvernance, conçus pour simplifier la gestion, réduire les frais généraux, réduire le travail de remédiation et accélérer la mise en conformité.
« Nous simplifions la tâche des propriétaires de processus, qui n'ont plus besoin de surveiller chaque actif, chaque individu, chaque application et chaque processus pour déterminer quelles lois doivent être respectées », explique Lee Cox. « Avec PIMS, ils n’ont plus qu’à se concentrer sur les tâches de résolution générées automatiquement. Cela se traduit par des milliers d’heures de travail économisées partout avec IBM ».
Et à mesure que de nouvelles réglementations sont mises en place, IBM peut identifier et répondre à leurs besoins beaucoup plus rapidement.
« Notre dernier grand projet, dédié au RGPD, a nécessité environ 12 mois d’efforts pour mettre en place un modèle de gouvernance et une solution de suivi », note Lee Cox. « Avec PIMS, nous pouvons désormais lancer un programme de conformité réglementaire à l’échelle de l’entreprise dans un délai considérablement réduit, parfois en six semaines seulement. Les informations sont déjà là, ce qui permet d’identifier les lacunes et de créer la campagne plus rapidement et plus facilement. Après le lancement, PIMS peut alors alimenter automatiquement nos tableaux de bord avec les données de suivi et de résolution pertinentes. »
Et cette rapidité est essentielle pour s'adapter aux nouvelles règles, comme l'explique Christina Montgomery : « Lorsqu'une réglementation de grande ampleur est promulguée, on a rarement un délai de deux ou trois ans pour s'y préparer. En général, on est plus sur un échéancier de quatre ou cinq mois. Et si nos partenaires ou clients ne disposent pas de PIMS ou d'un outil similaire sur lequel s'appuyer, à savoir des outils qui permettent une gestion permanente des stocks et une compréhension approfondie des données utilisées dans l'entreprise, ils auront du mal à s'y conformer. »
« Mais lorsqu’ils travaillent avec IBM », poursuit-elle, « nous pouvons offrir un niveau de transparence qui donne à nos partenaires et nos clients l'assurance de pouvoir adopter cette technologie d'IA, projet par projet, tout en gérant les risques à la loupe ».
L'IBM Office of Privacy and Responsible Technology supervise la création et l’administration des politiques mondiales d’IBM concernant la protection et la confidentialité des données des individus et des entreprises. En collaboration avec le Conseil d’éthique de l’IA d’IBM, ce bureau guide la gouvernance et les processus décisionnels pertinents pour les politiques et les pratiques en matière d’éthique de l’IA, créant ainsi une culture de responsabilité et de confiance au sein d’IBM.
Mentions légales
© Copyright IBM Corporation 2024. IBM Corporation, IBM Consulting, New Orchard Road, Armonk, NY 10504
Produit aux États-Unis d’Amérique, mars 2024.
IBM, le logo IBM, ibm.com, IBM Cloud Pak, OpenPages, watsonx et watsonx.governance sont des marques commerciales ou des marques déposées d’International Business Machines Corporation, aux États-Unis et/ou dans d’autres pays. Les autres noms de produits et de services sont des marques d’IBM ou d’autres sociétés. La liste actualisée de toutes les marques d’IBM est disponible à l’adresse ibm.com/legal/copyright-trademark.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Toutes les références clients mentionnées ou décrites illustrent la façon dont certains clients ont utilisé les produits IBM et précisent les résultats qu'ils ont pu obtenir. Les chiffres réels en termes de coûts environnementaux et de performances peuvent varier d'un client à l'autre en fonction de la configuration et des conditions de fonctionnement. En général, les résultats attendus ne peuvent pas être garantis, car les résultats de chaque client dépendent entièrement des systèmes du client et des services commandés. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L’ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET AUCUNE GARANTIE OU CONDITION D’ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Il incombe au client de respecter l’ensemble des lois et réglementations applicables. IBM ne fournit pas de conseils juridiques et ne déclare ni ne garantit que ses services ou ses produits mettront le client en conformité avec la législation ou la réglementation en vigueur.