Un domaine comme l’IA, qui évolue très vite et soulève des questions, a besoin d’accords qui constituent un ancrage. Les normes offrent un cadre idéal à cet égard. L’Association française de normalisation (AFNOR) est l'organisation française qui représente la France auprès de l'Organisation internationale de normalisation et du Comité européen de normalisation. L’AFNOR présente six axes qui doivent guider l’IA par des normes capables d’établir des bases de confiance et de gouvernance, en publiant une feuille de route stratégique sur les étapes clés de cette normalisation, déjà bien amorcée.L'intelligence artificielle évolue en permanence et s’installe progressivement dans tous les domaines de notre vie quotidienne, trouvant des applications dans de multiples secteurs d’activités. Ainsi, nombreux sont les pays et les organisations qui ont mis en place des mécanismes permettant de garantir la sureté et la fiabilité des applications d'IA, ainsi que le respect de valeurs éthiques. Dans le cadre du projet France 2030, le Secrétariat général pour l’investissement (SGPI), chargé d'assurer la cohérence et le suivi de la politique d’investissement de l’État, a lancé le Grand Défi « sécuriser, certifier et fiabiliser les systèmes fondés sur l’intelligence artificielle ». Et ce défi s’appuie sur trois piliers : la recherche, les applications et la normalisation. L’Afnor intervient sur le troisième.
« Créer l’environnement normatif de confiance accompagnant les outils et les processus de certification des systèmes critiques à base d’intelligence artificielle », tel est l’objectif de ce troisième pilier. Et l’AFNOR doit y parvenir en structurant l’ensemble de l’écosystème, via une plateforme de coopération entre acteurs français de l’IA, des actions stratégiques en normalisation et le développement des coopérations européennes et internationales. l’association a donc publié une feuille de route stratégique sur les étapes clés de cette normalisation, déjà bien entamée. Dans cette quarantaine de pages au contenu dense, l’AFNOR ne manque pas d'éclairer les zones d'ombre et les carences.
Un cadre assez singulier
Les éléments de contexte donnés par l’Afnor sont presque aussi importants que les axes eux-mêmes. Deja parce que l’AFNOR déplore « la relative incompréhension nationale au sujet de la normalisation ». Une partie des entreprises s’en désintéresse, tandis que les start-ups, PME et ETI sont insuffisamment intégrés dans les écosystèmes de normalisation.
L’Afnor rappelle que la normalisation incarne une régulation volontaire « permettant aux entreprises d’inscrire leurs activités dans un contrat collectif compris et accepté par tous. La mise en conformité constitue ainsi une présomption de qualité, de fonctionnement et d’interopérabilité ». Une participation plus massive des entreprises permettrait d’aider à définir les modalités des futures réglementations, cest pourquoi l’association déplore l’absence regrettable d’implication ; surtout que l’Europe va vers des normes harmonisées.
La normalisation de l’IA, en l’occurrence, est vue par l’Afnor comme un support technique à la future réglementation européenne. Une étape logique pour l’organisme, dans la continuité en Europe du Data Governance Act présenté en novembre 2020, du RGPD actif depuis 2018 ou encore de l’étude du rôle de l’IA dans le Green Deal.
Diviser les systèmes d’IA en quatre catégories est actuellement l’objectif, selon les risques représentés. Le niveau 4 représente un risque inacceptable et comprend des catégories de mécanismes aussi sensibles que la manipulation des comportements, le crédit social ou encor la reconnaissance faciale. Les niveaux 1 et 2 représentent respectivement des risques minimums et faibles. L’IA d’un filtre antispam est ainsi de niveau 1, tandis que celle d’un bot de discussion est de niveau 2. Ils seront soumis à un simple code de conduite.
Le niveau 3 sera l’objet de toutes les attentions et concerne les systèmes à haut-risque. Services critiques, publics et privés essentiels, santé ou encore justice y seront présents. Dans ce niveau, tout système IA devra faire cette fois l’objet d’un examen de conformité par des organismes notifiés. Et, bien sûr, cette mesure de conformité se fera à l’aube des normes précédemment établies.
Leur élaboration est d’autant plus importante qu’un cadre clair empêche certaines entreprises de s’accaparer un marché en imposant des technologies devenant autant de « standards de fait ». L’influence de ces structures se fait quand même sentir pendant la création des normes, car chaque partie prenante tente de structurer le marché en faveur de ses propres technologies. L’Afnor le redit d’ailleurs : la participation d’un maximum d’acteurs est cruciale, puisque la voix de tout un chacun compte.
Confiance est le maître mot
L’Association considère trois critères fondamentaux pour que l’IA puisse se développer de manière saine et pérenne : l’interopérabilité, la souveraineté des actifs liés et la confiance. La confiance est vue comme la « clé de voute du développement de l’Intelligence artificielle ». « Au regard de l’imbrication de cette dernière dans l’économie, chacun sera non seulement utilisateur et consommateur, mais également acteur de l’IA. Définir sa nature, son cadre d’utilisation, ses limites et ses objectifs s’impose alors comme une action prioritaire pour penser et choisir la place de l’humain dans ces écosystèmes d’IA », résume l’AFNOR.
L’AFNOR souhaite une organisation fondée sur la coopération, jugée « indispensable pour construire une vision forte et convaincante qui puisse être défendue au niveau européen et promue au niveau international ». Pour y parvenir, elle a besoin d’une feuille de route nationale proposant des stratégies d’influence, jugée « nécessaire pour promouvoir la position française et valoriser ses intérêts ».
La stratégie française a déjà sa liste de caractéristiques prioritaires : sécurité, sûreté, explicabilité (comprenant les aspects interprétable et auditable), robustesse, transparence, supervision, contrôlabilité et équité, ce dernier point renvoyant à l’absence totale de discrimination, quelle qu’elle soit.
Les grands axes stratégiques proposés par l’AFNOR
Le premier axe promu par l’Association est le développement des normes portant sur la confiance. Même si la sécurité et la sûreté sont les deux critères de base, tous les autres feront à terme l’objet de normes. Par exemple, en précisant et normalisant le domaine d’emploi d’un algorithme, pour en définir les implications techniques et juridiques et pour pouvoir définir évidemment la chaine de responsabilité. Ce domaine d’emploi sera d’autant plus important qu’un même algorithme peut être conçu pour une utilisation particulière, puis être repris plus tard pour d’autres besoins.
Le deuxième axe concerne les normes sur la gouvernance et le management de l’IA. Les entreprises sont prévenues : l’analyse des risques va devenir essentielle, les obligeant à recouvrir à des dispositifs de management de la qualité et des risques. Mauvaise qualité des données, mauvaise conception, mauvaise qualification, mauvaise identification ou compréhension des risques. Dans ce domaine, deux normes sont en cours de création à l’ISO : ISO 42001 porte sur le management de la qualité des IA, ISO 23894.2 sur le management des risques. Elles pourraient s’imposer sur le plan international, à l’instar d’ISO 9001 pour la qualité et devenir des normes harmonisées européennes.
Troisième axe, le développement de normes sur la supervision et le reporting. Il s’agit de considérer la place de l’humain dans l’ensemble de la chaîne. Dans cet axe, on trouve tout ce qui touche à la capacité de reprendre la main (contrôlable), à la supervision (l’observable) et au reporting, soit la remontée d’une information sur un incident à la bonne personne, en temps et en heure. En somme, établir le cadre qui garantira qu’un système IA fonctionne comme on l’attend. On y trouve d’ailleurs tout ce qui touche à l’explicabilité, donc aux audits.
L’axe 4 est fondamental puisqu’il concerne les normes sur les compétences des organismes de certification. Ils vont être la pierre angulaire de l’écosystème de confiance, surtout pour les systèmes à haut risque. « La technicité de l’IA va mécaniquement entraîner un besoin de montée en compétence des organismes de certification qui devront donc embaucher, former leurs personnels, et disposer des méthodes et outils d’évaluation des systèmes d’IA propres à leurs secteurs d’activité », avertit l’Association.
Le cinquième axe porte sur la normalisation d’outils dédiés, notamment tout ce qui touche à la simulation, considérée comme essentielle « pour la spécification, la conception, l’entraînement, la validation, le test, la qualification et l’audit des systèmes à base d’IA ». Si la tendance se poursuit, ces outils deviendront aussi courants que les systèmes IA eux-mêmes et doivent donc faire l’objet de normes. Ces dernières devront permettre l’essor des jeux de données synthétiques, pour s’affranchir du même coup des données réelles.
Le dernier axe, enfin, veut simplifier l’accès et l’utilisation… des normes elles-mêmes. L’AFNOR se dit consciente de la complexité du corpus règlementaire et normatif autour de l’IA, générant des craintes, jugées légitimes, chez de nombreux acteurs.
Source : AFNOR
Et vous ?
Quel est votre avis sur les axes de normalisation proposées par l’AFNOR ? Les trouvez-vous pertinents ?Voir aussi :
L'AFNOR dévoile la nouvelle norme de clavier facilitant l'écriture du français : ce qui a changé avec le clavier Azerty amélioré Intelligence artificielle : France Digitale, AFNOR et le SGPI collaborent pour promouvoir et défendre la vision des petites entreprises technologiques, face à la régulation en Europe AI France Summit : Tech In France souligne le risque qu'une nouvelle régulation de l'IA ne bride l'innovation, et n'entame la compétitivité des acteurs européens sur la scène mondiale 
