Le président de Microsoft appelle à une régulation des IA, et s’inquiète des « deep fakes »

Le président (et ancien directeur juridique) de Microsoft qualifie de « priorité absolue » le fait de « s'assurer que l'IA reste sous le contrôle de l'homme ». Ce qui passerait par une surveillance accrue de ce qui en est fait, tant de la part des autorités, des entreprises, des universités que des ONG.

Dans un billet intitulé « Comment gouverner au mieux l'IA ? », Brad Smith, l'actuel président et ancien directeur juridique de Microsoft, rappelle qu'il avait écrit, et prédit, en 2019 : « Ne demandez pas ce que les ordinateurs peuvent faire, demandez ce qu'ils devraient faire », et que « c'est peut-être l'une des questions déterminantes de notre génération ».

Son billet, qui sert d'avant-propos au nouveau rapport de Microsoft intitulé « Governance AI: A Blueprint for the Future » (.pdf), détaille « cinq manières dont les gouvernements devraient envisager les politiques, les lois et les réglementations relatives à l'IA ». 

Revenant sur ce qu'il qualifie de « puissance du modèle de base GPT-4 d'OpenAI », qui a tout autant surpris, impressionné, enthousiasmé, que dérouté, voire effrayé, Brad Smith souligne que « nous sommes la première génération dans l'histoire de l'humanité à créer des machines capables de prendre des décisions qui auparavant ne pouvaient être prises que par des personnes ».

Il avance qu'aujourd'hui, près de 350 personnes travailleraient sur l'IA responsable chez Microsoft, et que l'entreprise compte en embaucher encore plus. Il ne précise pas, cela dit, combien seraient partis suite aux plans de licenciements, qui auraient aussi affecté son équipe dédiée à l'éthique des IA.

• Microsoft licencie son équipe dédiée à l’éthique de l’IA
• Microsoft investit plusieurs milliards de dollars dans OpenAI et devient son partenaire exclusif

 « À bien des égards, l'IA offre peut-être encore plus de potentiel pour le bien de l'humanité que toutes les inventions qui l'ont précédée », poursuit le président de l'entreprise qui a investi plusieurs milliards de dollars dans OpenAI pour en devenir le « partenaire exclusif » : 

« Depuis l'invention de l'imprimerie à caractères mobiles dans les années 1400, la prospérité humaine s'est accrue à un rythme accéléré. Des inventions telles que la machine à vapeur, l'électricité, l'automobile, l'avion, l'informatique et l'internet ont fourni de nombreux éléments constitutifs de la civilisation moderne. Et, à l'instar de la presse à imprimer, l'IA offre un nouvel outil qui contribuera véritablement à faire progresser l'apprentissage et la pensée humaine. »

Veiller à ce que l'IA reste sous le contrôle de l'homme

Dans un paragraphe intitulé « Des garde-fous pour l'avenir », Brad Smith rappelle qu'il y a un peu plus de dix ans, technologues et commentateurs politiques avaient tendance à s'extasier au sujet du rôle des médias sociaux dans la diffusion de la démocratie au cours du printemps arabe, avant de déchanter : 

« Pourtant, cinq ans plus tard, nous avons appris que les médias sociaux, comme tant d'autres technologies avant eux, allaient devenir à la fois une arme et un outil – dans ce cas, visant la démocratie elle-même. »

L'objectif serait dès lors de s'assurer que les machines « restent soumises à une surveillance efficace de la part des personnes », que les personnes qui conçoivent et exploitent les machines « restent responsables devant tout le monde », et qu'elles ne puissent « être responsables que si leurs décisions et leurs actions sont soumises à l'État de droit » : 

« Dans une société démocratique, personne n'est au-dessus de la loi. Aucun gouvernement n'est au-dessus de la loi. Aucune entreprise n'est au-dessus de la loi, et aucun produit ou technologie ne devrait être au-dessus de la loi. »

Un plan en cinq points pour la gouvernance publique de l'IA

Microsoft propose en conséquence un plan en cinq points pour la gouvernance publique de l'IA.

Premièrement, mettre en œuvre et développer de nouveaux cadres de sécurité de l'IA dirigés par les gouvernements, en s'appuyant sur les succès et les (bonnes) idées des autres, pour avancer rapidement, et parce que l'administration et les gouvernements peuvent accélérer le mouvement grâce à des règles d'achat.

Deuxièmement, « exiger des freins de sécurité efficaces pour les systèmes d'IA qui contrôlent les infrastructures critiques », afin d'anticiper les inquiétudes au sujet du contrôle par l'IA d'infrastructures critiques telles que le réseau électrique, le système d'adduction d'eau et les flux de circulation dans les villes.

De nouvelles lois pourraient ainsi contraindre les opérateurs de ces systèmes à intégrer « dès la conception » des freins de sécurité dans les systèmes d'IA à haut risque. Une référence à la protection de la vie privée « par design et par défaut » du RGPD ?

Troisièmement, élaborer « un vaste cadre juridique et réglementaire » afin d'attribuer les diverses responsabilités réglementaires à leurs différents acteurs, en fonction de leur rôle dans la gestion des différents aspects de la technologie de l'IA, et notamment de ses nouveaux modèles d'IA générative.

Brad Smith propose ainsi d'imposer des responsabilités réglementaires spécifiques aux organisations exerçant certaines responsabilités à trois niveaux de la pile technologique : le niveau des applications, le niveau du modèle et le niveau de l'infrastructure. Il ne plaide pas, pour autant, pour une sur-réglementation spécifique aux IA : 

« Dans de nombreux domaines, nous n'avons pas besoin de nouvelles lois et réglementations. Nous devons plutôt appliquer et faire respecter les lois et règlements existants, en aidant les agences et les tribunaux à développer l'expertise nécessaire pour s'adapter aux nouveaux scénarios de l'IA. »

Du « Know Your Customer » (KYC) au KY3C : cloud, client, contenu

Brad Smith propose de s'inspirer « en partie » d'un principe développé au cours des dernières décennies dans le secteur bancaire pour se protéger contre le blanchiment d'argent et l'utilisation criminelle ou terroriste des services financiers.

Les processus de « connaissance du client » (ou KYC, pour Know Your Customer) exigent en effet que les institutions financières vérifient l'identité des clients, établissent des profils de risque et surveillent les transactions afin de détecter toute activité suspecte.

Le président de Microsoft propose de le reprendre et de l'adapter afin d'obliger les responsables des IA à mieux connaître et vérifier leurs clouds, clients et contenus (KY3C).

Les développeurs de modèles d'IA devraient dès lors, et d'abord, connaître et vérifier le cloud dans lequel leurs modèles sont développés et déployés, les clients qui y accèdent, et les contenus créés par l'IA, ne serait-ce que grâce à l'utilisation d'un label ou d'une autre marque informant les gens qu'un fichier vidéo ou audio a été produit par un modèle d'IA plutôt que par un être humain : 

« Cette obligation d'étiquetage devrait également protéger le public contre l'altération du contenu original et la création de "deep fakes". Cela nécessitera l'élaboration de nouvelles lois, et il y aura beaucoup de questions importantes et de détails à traiter. Mais la santé de la démocratie et l'avenir du discours civique bénéficieront de mesures réfléchies visant à dissuader l'utilisation des nouvelles technologies pour tromper ou frauder le public. »

Lors de sa conférence Build 2023, Microsoft a d'ailleurs annoncé que Bing Image Creator et Designer allaient prochainement marquer les images générées par IA pour que l’on puisse connaître leur origine : « la technologie utilise des méthodes cryptographiques pour marquer et signer le contenu généré par IA avec des métadonnées sur sa provenance ».

Des partenariats public-privé, ainsi qu'avec des universités et ONG

Quatrièmement, et soulignant qu'il existe de nombreuses possibilités de rendre les systèmes d'IA plus transparents de manière responsable, Brad Smith propose aussi de garantir l'accès des universités et des organisations à but non lucratif aux IA. Microsoft s'engage à ce titre à publier un rapport annuel sur la transparence de l'IA, entre autres mesures censées accroître la transparence de ses services d'IA.

Cinquièmement, il s'agirait de poursuivre de nouveaux partenariats public-privé afin de relever les défis sociétaux qui résultent de ces nouvelles technologies, de sorte d'en jauger la dualité bénéfices/risques : 

« Nous bénéficierons tous d'une bonne dose d'optimisme lucide. L'IA est un outil extraordinaire. Mais, comme d'autres technologies, elle peut aussi devenir une arme puissante, et certains, dans le monde, chercheront à l'utiliser de cette manière. »

S'inspirant de ce qui s'est passé sur le front cybernétique et au cours de l'année et demie écoulée dans le cadre de la guerre en Ukraine, Brad Smith et ses équipes estiment que cette « vague de nouvelles technologies d'IA est l'occasion de voir grand et d'agir avec audace ».

Il s'agirait, pour lui, d' « utiliser l'IA afin de protéger la démocratie et les droits fondamentaux », en favorisant « une croissance inclusive », mais également « pour répondre aux besoins de la planète en matière de développement durable » : 

« Lorsque les secteurs public et privé travaillent ensemble, lorsque des alliés partageant les mêmes idées s'unissent, et lorsque nous développons la technologie et l'utilisons comme un bouclier, elle est plus puissante que n'importe quelle épée sur la planète »

Brad Smith n'en conclut pas moins que ces processus devront également reposer sur des formes d'autorégulation, et qu'en fin de compte, toute organisation qui crée ou utilise des systèmes d'IA avancés devra nécessairement développer et mettre en œuvre ses propres systèmes de gouvernance.

Après avoir d'abord commencé par élaborer des principes éthiques, avant de les traduire en politiques d'entreprise plus spécifiques, Microsoft aurait ainsi mis en œuvre ces normes par le biais de formations, d'outils et de systèmes de tests, soutenus par des processus de gouvernance supplémentaires comprenant des mesures de surveillance, d'audit et de conformité, et qui continuent d'évoluer rapidement.

Les opérations de cyberinfluence étrangère et les contrôles à l'exportation

Dans un discours à Washington au sujet de la meilleure façon de réglementer l'intelligence artificielle, Brad Smith a par ailleurs déclaré que sa plus grande préoccupation en matière d'intelligence artificielle était les deep fakes, rapporte l'agence Reuters.

Il a donc également appelé à des mesures pour s'assurer que les gens sachent quand une photo ou une vidéo est réelle, et quand elle est générée par de l'intelligence artificielle, potentiellement à des fins malveillantes : 

« Nous allons devoir nous pencher sur les problèmes liés aux deep fakes. Nous allons devoir nous attaquer en particulier à ce qui nous préoccupe le plus, à savoir les opérations de cyberinfluence étrangère, le type d'activités déjà menées par le gouvernement russe, les Chinois et les Iraniens. »

M. Smith a également appelé à l'octroi de licences pour les formes les plus critiques d'IA, avec des obligations de protection de la sécurité, qu'il s'agisse de sécurité physique, de cybersécurité ou de sécurité nationale : 

« Nous aurons besoin d'une nouvelle génération de contrôles à l'exportation, ou du moins d'une évolution des contrôles existants à l'exportation, afin de garantir que ces modèles ne sont pas volés ou utilisés d'une manière qui violerait les exigences du pays en matière de contrôle à l'exportation ».