Catégorie : IA

Pourquoi une IA Responsable est nécessaire, et possible

La révolution de l’IA générative a commencé avec le produit technologique le plus rapidement adopté de toute l’histoire : ChatGPT. Elle continue aujourd’hui, trois ans plus tard, à une vitesse qui laisse peu d’espace à une prise de recul pourtant essentielle.

Comment en est-on arrivés là ? Qu’a-t-on sacrifié au nom de la productivité que l’IA est censée apporter ? Est-il trop tard pour remettre cette révolution sur des rails responsables ? Ou bien peut-on encore réagir face aux déboires de la révolution IA ?

Potentiellement oui, si ces rails prennent la forme des piliers de la RSE : People, Planet, Profit.

People

Tout produit doit veiller à ne pas nuire aux personnes qui l’utilisent. L’IA a déjà manqué à cette responsabilité. C’est pour cette raison que les impacts sociaux doivent être une priorité de l’IA responsable.

Or, suite à de nombreux cas de suicides assistés par LLM, le seul changement à date de la part du secteur aura été la décision de Character.AI, plateforme de compagnons LLM liée à Google, d’interdire ses services aux moins de 18 ans

OpenAI a même insisté, au tribunal, que la mort d’Adam Raine était la seule responsabilité de ce jeune de 16 ans ; or ChatGPT aurait facilité son suicide. Certes, l’entreprise a depuis mis en place des systèmes de contrôle parental et renforcé son équipe dédiée. La vigilance reste cependant de mise. 

Surtout, la question reste ouverte : si un système IA déployé par une entreprise met ses utilisateurs en danger, quelle est la part de responsabilité du fournisseur, comme du déployeur ?

Côté travail, le débat reste grand ouvert. Amazon et compagnie licencient-elles vraiment des dizaines de milliers de salariés en vue de les remplacer par des IA ? Rien n’est moins sûr. Pourquoi remplacer des humains par des IA dont la productivité, supposée supérieure, n’est pas encore prouvée ?

D’un côté, GitHub Copilot (propriétaire : Microsoft), outil d’assistance à la programmation, prétend accélérer le travail des développeurs de l’ordre de 55%. De l’autre, des chercheurs du MIT tablent sur un gain de productivité de 0,7% grâce à l’IA… sur dix ans. Alors, qui dit vrai ? 

En tout cas, pour l’instant, 80 % des C-levels ne voient aucun gain de revenus, ni d’économies grâce à l’IA, d’après le très respecté National Bureau of Economic Research (US). Mais ils continuent d’y investir tout de même.

Entêtement d’autant plus étonnant que l’IA moderne reste très peu fiable. Pensons notamment : 

  • aux AI Overviews de Google, qui donnent des réponses aux recherches boostées par l’IA générative souvent fausses, y compris à propos de la santé
  • à ChatGPT qui, du propre aveu d’OpenAI, hallucine (ment) davantage au fur et à mesure qu’il devient plus puissant (mettant d’ailleurs à mal la conviction du secteur de l’IA comme quoi “bigger is better”)
  • ou à AgentForce, solution agentique de Salesforce annoncée comme une “révolution”, mais jugée trop peu fiable par ses utilisateurs.

La transparence des IA reste également à améliorer, et ce non seulement celle des IA génératives. La CNAF fait actuellement l’objet d’une plainte déposée devant le Conseil d’État par 25 ONGs car l’algorithme qu’elle utilise pour déterminer qui contrôler en premier choisirait trop souvent les allocataires les plus vulnérables. Comme quoi l’IA prédictive, basée sur le principe relativement ancien du machine learning, peut elle aussi accentuer les biais.

Enfin, la propriété intellectuelle est également mise à mal par l’IA générative. Depuis qu’OpenAI a sciemment violé la réglementation de YouTube, en 2021, en y aspirant des millions d’heures de vidéo afin d’entraîner GPT-4, les leaders de l’IA font main basse sur tout ce qui pourrait assouvir l’énorme soif d’apprentissage de leurs LLMs. Et ce, souvent à l’encontre des lois sur le droit d’auteur. Dernier exemple en date : Anthropic souhaite “scanner destructivement” tous les livres du monde, car il s’agit de la meilleure source de contenus encore non-exploitée, après avoir aspiré tout l’internet.

Comment limiter ces risques ?

Quelques leviers d’IA responsable : 

  • toujours exiger plus de transparence aux fournisseurs d’IA
  • apprendre à détecter les vidéos deepfakes et autres faux contenus facilités par l’IA
  • effectuer des analyses d’impact algorithmique, et également des analyses de biais
  • ré-entraîner le algorithmes aux biais avérés
  • protéger son contenu intellectuel
  • choisir un fournisseur IA dont les données ne sortent pas d’Europe. Ainsi, seule la loi européenne (dont RGPD) les concernera. 

Nous développerons ces mitigations dans de futurs blogposts…

Planet

Après ses impacts sociaux, c’est sans doute les impacts environnementaux de l’IA qui devraient nous interpeller le plus.

Nous savons que l’IA va faire tripler la consommation électrique des datacentres aux Etats-Unis d’ici 2028. En Virginie, l’État américain qui héberge le plus de centres de données, la demande d’énergie aurait triplé en un an seulement. Et ce pic de demande est actuellement satisfaite principalement par des énergies fossiles. Enfin, partiellement satisfaite : d’après Elon Musk himself, de nombreux GPUs – les processeurs nécessaires à l’IA générative – manqueront d’énergie d’ici la fin de l’année.

Mais l’électricité n’est que l’arbre qui cache la forêt. Si nous prenons l’ensemble des 16 impacts environnementaux des produits (PEF), ces derniers vont augmenter x7 d’ici 2030, d’après l’Association Green IT. L’impact principal est certes les émissions, mais n’oublions pas non plus les métaux rares pour fabriquer tous ces GPUs ; l’eau pour refroidir les datacentres (ainsi que pour fabriquer les GPUs) ; la pollution de l’air, et ainsi de suite.

S’ajoutent aux impacts environnementaux les risques destructifs, ou CBRNE (Chemical, Biological, Radiological, Nuclear, Explosive). Nous savons, par exemple, que les LLMs pourraient augmenter x5 le risque de génocide par arme biologique, selon une étude de 46 experts de renom. Ou que l’armée israélienne a eu recours à l’IA pour augmenter l’impact de ses attaques à Gaza suite aux attentats du 7 octobre 2023. Recours largement utilisé par l’entreprise Palantir, fondée par Peter Thiel, pour maximiser l’efficacité meurtrière de ses “solutions de guerre”…

Comment limiter ces risques ?

Quelques leviers d’IA responsable : 

  • questionner la philosophie “bigger is better” du secteur de l’IA. Des modèles des centaines de fois moins grands – et donc moins impactants – peuvent répondre à la plupart des besoins des utilisateurs de LLMs
  • privilégier l’utilisation d’un maximum de ces petits modèles sur un minimum de ressources hardware (hardware qui doit être utilisé le plus longtemps possible)
  • privilégier des fournisseurs cloud aux datacentres basés en Europe, où l’intensité carbone de l’électricité peut être 10 fois moindre qu’aux US (France vs. Virginie)
  • insister auprès des fournisseurs et – surtout – des gouvernements pour limiter et/ou encadrer l’utilisation dangereuse ou meurtrière de l’IA.

Nous développerons ces mitigations dans de futurs blogposts…

Profit

Le dernier pilier de la RSE est celui qui s’aligne le plus avec les intérêts des entreprises. Le profit, oui : mais à quel prix ?

La sécurité et la confidentialité figurent parmi les principaux risques liés à l’IA en entreprise, d’après de nombreuses études. 

La sécurité, parce que les LLMs sont particulièrement faciles à hacker, grâce à la technique d’injection de prompts, ou la soumission de textes destinés à contourner les garde-fous inhérents dans la plupart des outils d’IA générative. C’est ainsi que, dans certains cas, un poème peut débloquer une recette pour créer une arme nucléaire. Les injections de prompts sont, qui plus est, impossibles à résoudre, d’après les principaux fournisseurs de solutions IA.

N’oublions pas non plus les considérables problèmes sécuritaires autour de l’IA agentique. OpenClaw, le “premier réseau social pour agents IA”, a eu beau être qualifié de “génie” par Sam Altman ; il a toutefois laissé 1.5 million de clés API exposées lors de sa création. Autrement dit, n’importe qui aurait pu en prendre le contrôle.

La confidentialité, parce que, comme avec la propriété intellectuelle, la soif de données de la “big AI” est telle qu’elle aspire nos prompts tout aussi volontiers que les oeuvres protégées. Chacune des plus grandes entreprises créateurs de LLMs collecte par défaut tous les prompts qu’ils reçoivent, afin de former de futurs modèles. On peut certes opt out ; la plupart des utilisateurs ne le feront pas. Par conséquent, leurs données partent pour la plupart aux Etats-Unis, où elles sont allègrement exploitées.

Ceci est problématique pour deux raisons principales. D’abord, les entreprises US sont obligées de fournir toutes ces données aux autorités américaines, par exemple en cas de perquisition ou investigation. Ensuite, parce que les prompts vont de plus en plus être utilisés à des fins commerciales, suite par exemple à l’intégration de la publicité dans les LLMs.

Autant d’enjeux qui exigent un haut niveau de responsabilisation (accountability) au sein de chaque entreprise touchant de près ou de loin à l’IA. Il faut avoir défini en amont qui est responsable de la gestion de quel aspect de tout incident potentiel lié à l’IA. Ici s’imposera naturellement un RACI. Mais comment savoir qui inclure dans la boucle ? Il s’agit ici des débuts de la mise en place d’une Charte IA Responsable pour votre organisation. 

L’objectif d’un tel document ? Éviter, entre autres, qu’un salarié divulgue des contenus confidentiels à un LLM. C’est pour cette raison que Samsung a interdit ChatGPT en 2023, par exemple. 

Or aujourd’hui, 59 % des entreprises n’ont toujours pas de politique IA, d’après KPMG, alors même que l’utilisation du shadow AI – le recours à son compte LLM personnel à des fins professionnelles – est répandue dans près de la moitié d’entre elles. Le ‘risque Samsung’ reste donc d’actualité, trois ans après.

Comment limiter ces risques ?

Quelques leviers d’IA responsable : 

  • former ses développeurs dans l’anticipation des attaques par injection de prompt
  • former ses salariés sur l’importance de la confidentialité des données de l’entreprise et de ses clients (et donc en arrêtant la shadow AI…)
  • s’assurer que son fournisseur IA/cloud ne collecte pas vos prompts pour re-entraînement
  • privilégier des fournisseurs européennes, et ainsi la souveraineté des données (oui, ce levier s’applique à chacun des 3 piliers de l’IA responsable !)
  • développer une Charte IA Responsable, adaptée aux risques, valeurs et audiences particuliers à son organisation.

Nous développerons ces mitigations dans de futurs blogposts…

Conclusion

Aller vers l’IA responsable commence donc par une bonne compréhension des risques, et de comment ils pourraient notamment mettre en péril les engagements RSE de son entreprise… sans parler de compromettre les données de ses clients ou salariés. Ce parcours passe ensuite par l’adoption de tactiques et de stratégies pour mitiger ces risques. Tout en comprenant les cadres réglementaires et best practices autour de l’IA responsable. Enfin, ce parcours se complète par la formalisation de la politique IA de son entreprise, par exemple avec une Charte IA Responsable.

Vous en saurez davantage dans notre prochain blogpost…

….et en suivant la formation “IA Responsable – Etat de l’Art”, de GreenIT.fr. Plus d’informations ici…

James Martin