L'Identité Machine : une clé pour combler la faille de responsabilité dans la loi sur l'IA de l'UE ?
En résumé, la dernière version de la loi sur l'IA de l'UE fragilise la surveillance réglementaire et la responsabilité des développeurs, elle ébranle également la confiance et la sécurité en exposant les utilisateurs à des risques.
Les législateurs européens avancent actuellement sur ce qui pourrait devenir l'une des lois les plus importantes de cette génération. La loi sur l'IA de l'UE aborde une approche nettement plus proactive en matière de régulation que les propositions actuelles aux États-Unis et au Royaume-Uni. Cependant, les experts ont décelé une lacune importante au sein des amendements de la loi, qui au lieu de protéger les citoyens et les sociétés, pourrait les exposer aux risques liés à l'IA.
En bref, cette lacune pourrait compromettre l'objectif même de la loi proposée, et doit donc être comblée. Pour y parvenir avec succès, les législateurs doivent prendre des mesures pour accorder la priorité aux identités machines comme moyen d'améliorer la gouvernance, la responsabilité, la sécurité et la confiance en matière d'IA. Le temps presse.
Que s'est-il passé ?
Il est encourageant de voir les législateurs européens s'attaquer à ce qui sera l'un des plus grands défis technologiques auquel le monde n'ait jamais été confronté, alors que l'IA s'intègre de plus en plus dans les systèmes informatiques. L'approche des législateurs a été de créer un cadre en fonction du niveau de risque des systèmes d'IA. Les systèmes considérés comme présentant un « risque inacceptable » seront ainsi complètement interdits, tandis que ceux présentant un « risque élevé » devront être soumis à une multitude d'évaluations et d'enregistrements avant leur homologation.
À l'origine, la loi incluait des garde-fous considérables. Tout système d'IA devrait être considéré comme présentant un risque élevé s'il était utilisé pour l'un des objectifs à risque élevé listés en Annexe III du projet de loi. Les développeurs et utilisateurs de ces systèmes devraient garantir que la technologie est sûre, exempte de biais discriminatoires et contenant des informations sur son fonctionnement qui soient accessibles au public.
Les choses ont changé dans la dernière version du projet de loi.
Lire aussi : { Tribune Expert } - Règlement sur l'Intelligence artificielle : vision holistique et éthique de l'innovation
Grâce à une nouvelle lacune, les développeurs eux-mêmes, pourront décider si leurs systèmes présentent un risque élevé ou non. Plus de 100 OSC (organisations de la société civile) ont lancé un appel afin de supprimer cette faille et rétablir le système d'origine. Elles évoquent le fait que certains développeurs, peu scrupuleux ou peu informés pourraient contourner les critères de base de la loi en s'auto-certifiant comme étant à « risque limité » ou « minime ».
Cela entraînerait également une incertitude juridique sur ce qui est considéré comme un « risque élevé », ainsi qu'une fragmentation des différents marchés de la zone car chaque État membre pourraient interpréter différemment la notion de risque élevé. Les autorités locales pourraient également avoir du mal à contrôler de façon efficace l'auto-évaluation des développeurs.
Réduire les risques et renforcer la responsabilité
En résumé, la dernière version de la loi sur l'IA de l'UE fragilise la surveillance réglementaire et la responsabilité des développeurs, elle ébranle également la confiance et la sécurité en exposant les utilisateurs à des risques. Mais au-delà de cette brèche, qui devra être comblée au plus vite, les législateurs devront aller plus loin pour réduire les risques et renforcer la responsabilité dans l'industrie de l'IA en forte croissance.
Un exemple de contrôle rigoureux est le coupe-circuit. Très répandu dans les procédés de fabrication, les procédés chimiques et même dans les stations essence, le coupe-circuit permet de stopper en toute sécurité une situation dangereuse qui pourrait déraper. Dans le cas de l'IA, il ne s'agit pas d'un interrupteur physique mais plutôt d'un moyen d'empêcher l'utilisation d'un modèle de son identité machine pour s'authentifier.
Clairement, il ne s'agit pas d'un seul coupe-circuit par modèle d'IA. En fait, il peut y avoir des milliers d'identités machines liées à un seul modèle, associées aux données qui forment le modèle, au modèle lui-même et à ses sorties. Ces modèles doivent être protégés à chaque étape, à la fois pendant la formation que pendant l'utilisation, ce qui signifie que chaque machine, lors de chaque processus, requiert une identité afin d'éviter toute « contamination », manipulation ou accès non autorisé.
Lire aussi : AI Act : l'UE à la recherche de cas pratiques
Cela augmentera naturellement le nombre d'identités machines sur les réseaux, et ici, l'IA peut également être utile. Beaucoup de ces mêmes principes peuvent être appliqués pour empêcher les IA d'être modifiées ou falsifiées, comme c'est le cas aujourd'hui pour les applications sur smartphones ou ordinateurs portables.
Le devoir de faire mieux
Les membres du Parlement européen auront une lourde tâche à porter s'ils ne parviennent pas à combler la lacune dans la loi sur l'IA de l'UE. Mais ce n'est que le début. Une collaboration plus étroite avec l'industrie est nécessaire pour mettre en lumière la valeur potentielle des technologies existantes et robustes telles que les identités machines, qui peuvent renforcer la gouvernance et la responsabilité en matière d'IA.
Soutenir la recherche et le développement en matière de sécurité -avec les coupe-circuits- sera bénéfique pour tous, sauf pour nos adversaires.
Kevin Bocek, - Venafi.
Sur le même thème
Voir tous les articles Cybersécurité