Dans un décret de grande envergure, le président américain Joseph R. Biden Jr. a mis en place lundi une série complète de normes, de mesures de sécurité, de protection de la vie privée et de contrôle pour le développement et l'utilisation de l'intelligence artificielle (IA). Selon de nombreux observateurs qui ont suivi l'évolution de l'IA et l'essor de l'IA générative (genAI) au cours de l'année écoulée, le décret de Joe Biden intitulé « Safe, Secure, and Trustworthy Artificial Intelligence » (Pour une intelligence artificielle sûre et fiable) était attendu depuis longtemps parmi une vingtaine d'autres initiatives. Outre les mesures de sécurité et de sûreté, le décret de Joe Biden traite de la protection de la vie privée des Américains et des problèmes liés à l'IA générative, en particulier pour ce qui est des préjugés et des droits civils. C’est le cas par exemple des systèmes de recrutement automatisés basés sur l'IA générative et leurs biais intégrés qui peuvent donner à certains candidats à l'emploi des avantages fondés sur leur race ou leur sexe.
Le décret s’appuie sur les orientations existantes de la loi de Production de défense ou Defense Production Act, datant de la guerre froide, qui confère au président américain un important pouvoir d'urgence pour contrôler les industries nationales, et exige des principaux développeurs de genAI qu'ils partagent les résultats des tests de sécurité et d'autres informations avec le gouvernement. L'Institut national des normes et de la technologie (National Institute of Standards and Technology, NIST) doit créer des normes pour garantir que les outils d'IA sont sûrs et sécurisés avant leur diffusion publique. « Le décret souligne la nécessité pour la communauté mondiale de porter une plus grande attention à la réglementation de l'IA, notamment après le boom de l'IA générative dont nous avons tous été témoins cette année », a déclaré Adnan Masood, architecte en chef de l'IA chez UST, une entreprise de services de transformation numérique. « L'aspect le plus marquant de cette ordonnance est qu'elle reconnaît clairement que l'IA n'est pas simplement une autre avancée technologique ; c'est un changement de paradigme qui peut redéfinir les normes sociétales », a ajouté Adnan Masood. « Reconnaître les ramifications d'une IA non maîtrisée est un début », fait-il encore remarquer, ajoutant que les détails sont encore plus importants. « C'est un bon premier pas, mais en tant que praticiens de l'IA, nous avons maintenant la lourde tâche de nous conformer à des détails complexes puisque le décret exige des développeurs qu'ils créent des normes, des outils et des tests pour garantir la sécurité des systèmes d'IA et qu'ils partagent les résultats de ces tests avec le public ».
Le décret demande au gouvernement américain de mettre en place un « programme de cybersécurité avancée » afin de développer des outils d'IA permettant de trouver et de corriger les vulnérabilités des logiciels critiques. En outre, le Conseil national de sécurité (National Security Council, NSC) doit se coordonner avec le chef de cabinet de la Maison-Blanche pour veiller à ce que les militaires et les services de renseignement utilisent l'IA en toute sécurité et dans le respect de l'éthique, quelle que soit leur mission. Enfin, le Département du Commerce des États-Unis (United States Department of Commerce) a été chargé d'élaborer des lignes directrices pour l'authentification des contenus et la création de filigranes afin de marquer clairement les contenus générés par l'IA, un problème qui prend rapidement de l'ampleur à mesure que les outils d'IA générative parviennent à imiter les œuvres d'art et d'autres types de contenus. « Les agences fédérales utiliseront ces outils pour aider les Américains à savoir facilement que les communications qu'ils reçoivent de leur gouvernement sont authentiques, et pour donner l'exemple au secteur privé et aux gouvernements du monde entier », indique le décret. À ce jour, les développeurs de logiciels indépendants et les départements IT des universités ont mené la charge contre le vol intentionnel ou non de la propriété intellectuelle et de l'art par l'IA. De plus en plus, les développeurs créent des outils capables de filigraner un contenu unique ou même d'empoisonner les données ingérées par les systèmes de genAI, qui fouillent l'Internet à la recherche d'informations sur lesquelles s'entraîner.
« Le contenu de ce décret nous pousse à avoir plus de questions »
Hier, les représentants du G7 se sont également mis d'accord sur un ensemble de principes de sécurité de l'IA en 11 points et sur un code de conduite volontaire pour les développeurs d'IA. Ce décret est similaire à l'ensemble de principes « volontaires » que l'administration Biden a publié au début de l'année, qualifié à l’époque de trop vague et généralement décevant. « Alors que nous faisons avancer ce programme au niveau national, l'administration travaillera avec ses alliés et ses partenaires à l'étranger sur un cadre international solide pour régir le développement et l'utilisation de l'IA », indique le décret de Joe Biden. « L'administration a déjà mené de vastes consultations sur les cadres de gouvernance de l'IA ces derniers mois, avec l'Allemagne, l'Australie, le Brésil, le Canada, le Chili, la Corée du Sud, les Émirats arabes unis, la France, l'Inde, Israël, l'Italie, le Japon, le Kenya, le Mexique, la Nouvelle-Zélande, le Nigéria, les Pays-Bas, les Philippines, Singapour et le Royaume-Uni ». L'ordonnance du président des États-Unis vise également les entreprises qui développent des grands modèles de langage (LLM) susceptibles de présenter un risque grave pour la sécurité nationale, la sécurité économique ou la santé publique. Elles seront tenues d'informer le gouvernement fédéral lorsqu'elles formeront le modèle et devront partager les résultats de tous les tests de sécurité.
Avivah Litan, vice-présidente et analyste distinguée chez Gartner Research, a déclaré que si les nouvelles règles commencent bien, avec la clarté et les tests de sécurité visant les plus grands développeurs d'IA, les mandats restent insuffisants. Selon elle, ce fait reflète les limites de l'application des règles par un ordre exécutif et la nécessité pour le Congrès de mettre en place des lois. Elle estime que les nouveaux mandats ne sont pas à la hauteur dans plusieurs domaines : « Qui définit les systèmes d'IA « les plus puissants » ? Comment cela s'applique-t-il aux modèles d'IA open source ? Comment les normes d'authentification des contenus seront-elles appliquées sur les plateformes de médias sociaux et autres lieux de consommation populaires ? De manière générale, quels sont les secteurs/entreprises concernés lorsqu'il s'agit de se conformer à ces mandats et lignes directrices ? », a-t-elle demandé. « Par ailleurs, je ne vois pas très bien à quoi ressembleront les mécanismes d'application, même s'ils existent. Quelle agence contrôlera et mettra en œuvre ces actions ? Quelles seront les sanctions en cas de non-respect des règles ? » a aussi déclaré Avivah Litan. Adnan Masood a abondé dans ce sens, estimant que même si la Maison-Blanche avait fait un « grand pas en avant », le décret ne faisait qu'effleurer la surface d'un énorme défi. « Le contenu de ce décret nous pousse à avoir plus de questions que de réponses : qu'est-ce qui constitue une menace pour la sécurité ? Qui assume la responsabilité de cette prise de décision ? Comment tester exactement les menaces potentielles ? Plus important encore, comment neutraliser les capacités dangereuses dès leur apparition ? », ajoute Adnan Masood. L'utilisation de l'IA dans le domaine de la bio-ingénierie est l'une des préoccupations majeures que l'ordonnance tente d'aborder. Le mandat crée des normes visant à garantir que l'IA n'est pas utilisée pour créer des organismes biologiques nuisibles, comme des virus mortels ou des médicaments qui finissent par tuer des gens, qui peuvent nuire aux populations humaines. « Le décret n'appliquera cette disposition qu'en utilisant les normes émergentes comme base de référence pour le financement fédéral des projets relatifs aux sciences de la vie », a déclaré Avivah Litan. « Il doit aller plus loin et appliquer ces normes aux capitaux privés ou à tout organisme ou source de financement non fédéral (comme le capital-risque). L’ordonnance doit également aller plus loin et expliquer qui et comment ces normes seront appliquées et quelles seront les sanctions en cas de non-conformité ».
L'IA, une opportunité pour les pays du monde entier
Pour sa part, Ritu Jyoti, vice-présidente du cabinet de recherche IDC, se dit frappée par la reconnaissance claire par Joe Biden « de l'obligation d'exploiter le pouvoir de l'IA pour le bien, tout en protégeant les gens des risques potentiellement profonds qu'elle présente ». Au début de l'année, le Parlement européen a approuvé le projet de loi sur l'IA, AI Act. La loi proposée exige que les systèmes d'IA générative comme ChatGPT se conforment à des exigences de transparence en révélant si le contenu a été généré par l'IA et en distinguant les fausses images des images réelles. Si les États-Unis ont suivi l'Europe dans l'élaboration de règles régissant l'IA, Ritu Jyoti estime que le gouvernement américain n'est pas nécessairement en retard sur ses alliés et que l'Europe a mieux réussi à mettre en place des garde-fous. « C’est une opportunité pour les pays du monde entier de travailler ensemble sur la gouvernance de l'IA pour le bien social », a-t-elle déclaré. Avivah Litan n'est pas d'accord, affirmant que la loi sur l'IA de l'UE est en avance sur le décret présidentiel parce que les règles européennes clarifient la portée des entreprises auxquelles elle s'applique, « ce qu'elle peut faire en tant que règlement - c'est-à-dire qu'elle s'applique à tous les systèmes d'IA mis sur le marché, mis en service ou utilisés dans l'UE », a-t-elle déclaré.
Caitlin Fennessy, vice-présidente et responsable de la gestion des connaissances de l'Association internationale des professionnels de la vie privée (International Association of Privacy Professionals, IAPP), un groupe de défense à but non lucratif, a déclaré que les mandats de la Maison-Blanche feront que les attentes du marché se positionneront en faveur d’une IA responsable grâce aux exigences de test et de transparence. Caitlin Fennessy a également salué les efforts du gouvernement américain en matière de watermarking numérique pour les contenus générés par l'IA et de normes de sécurité de l'IA pour les marchés publics, parmi de nombreuses autres mesures. « Le président a notamment assorti son décret d'un appel au Congrès pour qu'il adopte une législation bipartisane sur la protection de la vie privée, soulignant ainsi le lien essentiel entre la protection de la vie privée et la gouvernance de l'IA », indique Caitlin Fennessy. « Le fait de s'appuyer sur la loi sur la Production de défense pour réglementer l'IA montre clairement l'importance des risques envisagés pour la sécurité nationale et l'urgence pour l'administration d'agir. Selon la Maison-Blanche, le décret contribuera à promouvoir un « écosystème de l'IA équitable, ouvert et compétitif », en veillant à ce que les petits développeurs et entrepreneurs aient accès à l'assistance technique et aux ressources, en aidant les petites entreprises à commercialiser les percées de l'IA et en encourageant la Federal Trade Commission (FTC) à exercer ses pouvoirs.
Le gouvernement veut attirer les profils spécialistes en IA
La question de l’immigration et des visas de travail a également été abordée par la Maison-Blanche, qui a déclaré qu'elle utiliserait les autorités existantes en matière d'immigration pour accroître la capacité des immigrants hautement qualifiés et des non-immigrants ayant une expertise dans des domaines critiques à étudier, séjourner et travailler aux États-Unis, « en modernisant et en rationalisant les critères, les entretiens et les examens relatifs aux visas ». Selon Caitlin Fennessy, le gouvernement américain montre l'exemple en recrutant rapidement des professionnels pour construire et gouverner l'IA et en offrant une formation à l'IA dans toutes les agences gouvernementales. « L'accent mis sur les professionnels de la gouvernance de l'IA et sur la formation garantira que les mesures de sécurité de l'IA sont élaborées avec une compréhension approfondie de la technologie et du contexte d'utilisation nécessaires pour permettre à l'innovation de se poursuivre au rythme voulu, d'une manière qui nous inspire confiance », a-t-elle déclaré.
Jaysen Gillespie, responsable de l'analyse et de la science des données chez RTB House, une entreprise polonaise spécialisée dans la publicité basée sur l'IA, a déclaré que Joe Biden partait d'une position favorable, car même la plupart des chefs d'entreprise spécialisés dans l'IA s'accordent à dire qu'une certaine réglementation est nécessaire. Selon Jaysen Gillespie, il devrait également bénéficier des échanges passés et présents entre le chef de la majorité au Sénat, Chuck Schumer et des chefs d'entreprise de premier plan. « La réglementation de l'IA semble aussi être l'un des rares sujets où une approche bipartisane serait réellement possible », a déclaré Jaysen Gillespie, dont l'entreprise utilise l'IA dans la publicité ciblée, y compris le reciblage et les stratégies d'enchères en temps réel. « Étant donné le contexte dans lequel s'inscrit son éventuel décret, le président a une réelle opportunité d'établir un leadership, à la fois personnel et pour les États-Unis, sur ce qui pourrait être le sujet le plus important de ce siècle ».