Comment devrions-nous réglementer l'intelligence artificielle ?

Un excellent article de réflexion juridique sur l'Intelligence artificielle (IA) vient d'être mis en ligne, avant sa parution le 13 septembre 2018 dans la revue anglaise Philosophical Transactions of the Royal Society. L'auteur, Chris Reed, est professeur de droit au Centre for Commercial Law Studies, School of Law, Queen Mary University of London. Il apporte des réponses (souvent personnelles) aux questions que nos sociétés se posent sur l'irruption de l'IA dans notre vie quotidienne.

Il est facile de transposer certaines des réflexions et propositions émises pour un usage "raisonnable" de l'IA dans le champ de la santé. Il s'agit d'un argumentaire qui s'appuie sur 40 références majeures de la littérature juridique. Nous donnons dans ce billet quelques passages de l'article qui nous ont paru illustrer la pensée de l'auteur (et la nôtre), et nous engageons le lecteur intéressé par ce sujet à lire la totalité de l'article.

Précisons également que l'article de Chris Reed fait partie d'un numéro spécial de la Revue consacrée à "The growing ubiquity of algorithms in society", coordonné par Sofia Olhede du Department of Statistical Science, University College London, London, UK et Patrick Wolfe du Department of Computer Science, Purdue University, West Lafayette, IN, USA.

Reed CHow should we regulate artificial intelligence ? Philos Trans A Math Phys Eng Sci. 2018 Sep 13 ; 376(2128). pii : 20170360. doi : 10.1098/rsta.2017.0360. 

CONTEXTE 

La technologie d'IA s'est déplacée rapidement du laboratoire de recherche vers des applications pratiques qui changent une partie de notre vie quotidienne. Nous avons assisté au premier accident mortel impliquant un véhicule autonome (le crash mortel de la voiture Tesla aux USA) et nous voulons comprendre. Les principales applications actuelles de l'IA en santé analysent des images pour détecter des anomalies radiologiques, des tumeurs malignes cutanées ou des cellules potentiellement cancéreuses dans le sang. Pour l'instant, en médecine, l'IA est une aide à la prise de décision médicale, mais ne s'y substitue pas.  Dans tous les champs de la vie quotidienne, il y a nombreuses applications en cours ou en préparation. 

L'auteur pense que l'introduction des technologies de l'IA crée des risques sociétaux. Bien que ces technologies visent à augmenter ou à remplacer la prise de décision humaine, conduisant à moins de décisions erronées, il ne fait aucun doute que l'IA se trompera parfois. Et les manières dont l'IA se trompera sont susceptibles d'être très différentes des manières dont un humain est amené à commettre des erreurs. L'IA semble dangereuse pour un grand nombre de personnes de notre société. Il nous faut connaître les types de risques que nous courons avec l'IA. Les arguments purement statistiques selon lesquels l’IA rendrait plus sûre notre vie quotidienne ne sont pas convaincants pour l’ensemble de la population.

Une bonne réglementation pourrait améliorer notre perception de la sécurité et celle que les humains contrôlent le développement de l'IA. Cela pourrait atténuer les nouveaux risques, encore inconnus, que pourrait créer une utilisation sans règles de l'IA. Toutefois, une mauvaise réglementation pourrait aussi empêcher le développement et la mise en œuvre de solutions d’IA utiles. C'est ce débat contradictoire qu'il nous faut résoudre.

QUEL PROBLEME FAUDRAIT-IL RESOUDRE AVEC UNE REGLEMENTATION DE l'IA

Fondamentalement, le problème que la réglementation doit chercher à résoudre est celui de la maîtrise des risques indésirablesPour chaque technologie d'IA véritablement utile, il existe probablement des preuves, encore empiriques, indiquant qu'elle est plus rentable et, idéalement, plus précise pour prendre des décisions utiles, par rapport à la solution humaine qu'elle remplace. Mais ces preuves sont basées sur la comparaison avec la solution humaine, dont les insuffisances ou les erreurs sont actuellement tolérées par la société.

Une solution basée sur l'IA seule aura ses propres lacunes, et celles-ci seront moins acceptées par la société si elles produisent des réponses incorrectes ou erronées lorsqu'un humain aurait apporté une réponse exacte. La réglementation devrait donc se concentrer sur les nouveaux risques que présente l'usage d'une IA, en reconnaissant que certains de ces risques sont encore inconnus.

L'auteur pense qu'une réglementation générale sur l'IA, comme celle que vient de prendre la Commission européenne pour les robots, serait une erreur. Commission des affaires juridiques du Parlement européenRAPPORT 2017 contenant des recommandations à la Commission des règles de droit civil sur la robotique (2015/2103 (INL)) A8-0005 / 2017 27 janvier.

Trois arguments lui paraissent justifier une telle position. Le premier est qu'on ne peut pas faire une réglementation sur des risques inconnus (sauf à abuser du principe de précaution). Le deuxième est que le législateur ne parvient pas à faire des lois de nature prospective ou quand il le fait pour les technologies numériques, l'échec est assuré selon l'auteur. Le troisième argument est que les applications de l'IA étant très diversifiées, "il serait insensé d'appliquer le même régime réglementaire aux véhicules autonomes qu'aux réfrigérateurs intelligents qui commandent des produits alimentaires basés sur des habitudes de consommation". Les risques indésirables ne sont pas de même nature.

Pour l'auteur, la meilleure stratégie consisterait à aborder progressivement le problème de la réglementation. Certains des risques susceptibles d'apparaitre avec la technologie de l'IA sont déjà connus et des mesures juridiques ou réglementaires peuvent être prises dès à présent pour y faire face. À un moment donné, il deviendra évident qu'une réglementation spécifique s'avérera nécessaire pour un nouveau risque identifié et non acceptable par la société. La portée de cette réglementation spécifique et ciblée aura alors tout son impact.

Pour illustrer l'argument selon lequel la législation et la réglementation actuelles sont capables de faire face aux problèmes immédiats posés par l'IA, l’auteur présente deux risques potentiels que sont d'une part, l'atteinte aux droits fondamentaux des personnes et d'autre part, le dommage aux personnes résultant d'une décision erronée de l'IA.

QUELS SONT LES RISQUES IDENTIFIABLES VIS A VIS DES DROITS FONDAMENTAUX DES PERSONNES

La plupart des pays ont fait des lois qui protègent les droits fondamentaux des personnes. Les décisions de l’IA ne doivent pas être l'objet de discrimination fondée sur la race, le sexe, l'orientation sexuelle, la religion, etc. La loi prend en compte la situation initiale de la personne et voit si elle est traitée équitablement et raisonnablement par l'IA à la lumière des droits fondamentaux qu'elle possède en vertu de la loi.

Les technologies d’apprentissage automatique (Machine Learning) examinent les décisions passées et, à partir de décisions déjà prises, elles développent un modèle pour prendre des décisions futures. Une telle approche peut facilement entraîner une violation des droits fondamentaux de la personne, car l'IA basée sur l'apprentissage automatique est construite sur des exemples réels de décisions antérieures. Cette construction intégrera toute prise de décision qui porte atteinte aux droits fondamentaux dans la vie réelle, plutôt que le comportement idéal décrit dans la loi. 

Par exemple, la pratique des assureurs automobiles accordant aux femmes des polices d’assurance à des conditions plus favorables qu'aux hommes, ce qui est objectivement correct car les statistiques montrent clairement que les femmes présentent moins de risques d'accidents, a été jugée illégale par la Cour de justice de l'Union européenne. Plus récemment, la Cour suprême du Wisconsin, aux États-Unis, a reconnu le potentiel d'atteinte au droit à un procès équitable quand un outil de l'IA est utilisé pour aider à la détermination de la peine. Pour la Cour, c'est la personne, qui en dernier ressort prend la décision, qui est responsable de cette décision et non le producteur de la technologie de l'IA. 

La réponse réglementaire consisterait donc à exiger que chaque outil d'IA susceptible de porter atteinte aux droits fondamentaux de la personne soit en mesure d'expliquer le raisonnement à l'origine de ces décisions. Cette possibilité d'explication par les outils de l'IA pourrait être réalisée lorsque le risque de violation est évident, tels que, par exemple, les outils d'IA d'aide aux décisions de recrutement d'une personne. Mais pour la majorité des citoyens, le risque que l'IA prenne des décisions contraires aux droits fondamentaux ne sera reconnu qu'une fois l'infraction commisePour l'auteur, il serait préférable de retarder la réglementation si le risque de violation peut être atténué par d'autres moyens.

Cela doit inciter les producteurs de la technologie Machine Learning à intégrer des explications dans leur modèle, afin de répondre aux questions des utilisateurs de l’IA. Il semble ainsi prudent, pour l’auteur, de retarder la réglementation jusqu'à ce que l'ampleur réelle du risque devienne plus claire, afin qu’il soit plus facile de faire la distinction entre les activités qui doivent être réglementées et celles qui ne doivent pas l’être.

QUELS RISQUES IDENTIFIABLES SUR LA REPARTITION DES RESPONSABILITES EN CAS DE DOMMAGE DU A L'IA ?

Chaque société a besoin d'un système juridique qui définisse les responsabilités des activités qui entraînent des pertes de chance ou des dommages aux personnes. Cela concerne aussi bien les personnes physiques que les personnes morales (par exemple les entreprises) et pas encore les technologies de l'IA. Cela est dû au fait que les leviers utilisés par la loi pour contrôler ou influencer les comportements humains, tels que l’indemnisation ou l’imposition d’amendes ou d’emprisonnement, ne peuvent aujourd'hui s’appliquer qu’aux personnes. La loi et la réglementation qui sembleraient mettre en cause la technologie de l'IA concernent en fait toujours le comportement des personnes responsables de cette technologie.

L'auteur donne ensuite des exemples de la jurisprudence (anglaise) où la personne responsable de l'activité est tenue pour responsable du dommage causé à autrui. Il s'interroge, dans le cadre de la responsabilité vis à vis d'un produit défectueux, si un produit construit avec l'IA, et qui a vocation à s'améliorer grâce à la technologie autoapprenante, pourrait être considéré comme un produit "défectueux" en cas de dommage au motif qu'il existerait un moyen de défense selon lequel le "vice de l'IA" serait tel qu’un producteur "raisonnable" du produit ne serait pas à même de le découvrir dans l’état actuel de la technique appliquée à cette industrie.

En dehors de ces cas de responsabilité spécifique, l'auteur estime que dans la grande majorité des cas le régime de la responsabilité est celui d'une faute par négligence. En cas de faute par négligence, l'obligation de diligence a été rompue par l'auteur de la faute et le dommage causé devient une conséquence prévisible.

Par exemple en médecine, chaque médecin dans l'exercice de son art doit être aussi prudent que l'ensemble des praticiens qui ont une pratique dite "raisonnable," (s'appuyant notamment en France sur les recommandations de la HAS et des Sociétés médicales savantes), de même que le comportement d'un conducteur de voiture auteur d'un accident est comparé à l'ensemble des conducteurs qui ont une pratique "raisonnable" (respectant le code de la route), etc. La négligence fautive est donc fondée sur la mesure d'un écart vis à vis d'un risque qui pouvait être prévu et ainsi évité. C’est une question à laquelle les tribunaux peuvent répondre, car c'est un humain (avec son intelligence de discernement) qui a pris la décision qui a causé le dommage.

La négligence fautive sera d'une autre nature avec un produit de l'IA. Par exemple, lorsque la voiture autonome est responsable d'un accident mortel, ce n'est pas dû à une négligence du conducteur puisqu'il n'y en a pas. Ainsi les réponses aux deux questions que se pose le tribunal : quelle est la cause de l'accident ? et quelle personne en porte la responsabilité ? seront plus difficiles avec un produit rendu autonome par l'IA. L'attribution des responsabilités devient difficile. Si un fabricant de voiture a une obligation de diligence à l'égard de la population lorsque le véhicule roule, le rendre autonome par l'IA grâce à une collaboration avec une tierce partie, crée une nouvelle obligation pour le fabricant de la voiture, lequel est tenu de prendre des précautions "raisonnables" lorsqu'il désire utiliser la technologie de l'IA. Plusieurs tierce-parties peuvent intervenir dans la réalisation de la conduite autonome (les capteurs, les logiciels, etc. tous liés à l'IA). Il sera donc difficile de trouver des responsabilités spécifiques en cas de dommage dû à l'IA et l'auteur pense que la responsabilité des producteurs d'outils de l'IA ne pourra être que partagée "in solidum".

Cependant, une loi ou une réglementation prenant en compte une responsabilité in solidum ne pourrait pas être appliquée à toute les situations où l’IA intervient. Par exemple, la situation d’un professionnel de santé qui s’est acquitté de son devoir de diligence envers les patients en faisant confiance à la technologie de l’IA parce qu’elle est considérée comme suffisamment précise et performante pour s’en prévaloir, engagerait sa responsabilité propre en cas de dommage lié à une erreur de l'IA, alors que le producteur de la technologie de l’IA qui n’a aucun devoir de soin envers les patients ne serait pas tenu d'indemniser le patient. En télémédecine, notamment en cas de dommage lié à une téléexpertise, il existe une jurisprudence sur la responsabilité "in solidum" parce que les deux parties avaient un devoir de soin vis à vis du patient victime (TA Grenoble, juin 2010)

Comme la technologie d’IA sera introduite progressivement dans la vie quotidienne, cela donnera au législateur le temps d’apprécier les risques potentiels, ainsi que leur ampleur, et d’envisager alors les moyens juridiques d’y faire face. Mais à plus long terme, l’auteur pense que la loi sur la négligence fautive devra intégrer la responsabilité des producteurs d'IA lorsque les technologies de l’IA seront largement utilisées.

EN ATTENDANT, LA TRANSPARENCE DES ALGORITHMES COMME SOLUTION PROVISOIRE ?

La personne qui a l'obligation de préserver les droits fondamentaux des personnes doit savoir comment une technologie d'IA prend ses décisions, afin de s'assurer que le recours à cette technologie ne se traduira pas par une violation de ces droits. En cas de dommage, les tribunaux chercheront à connaitre la manière dont l'AI a pris sa décision. Ainsi, exiger la transparence sur le fonctionnement de l'IA pourrait être une solution intermédiaire et appropriée à certains problèmes juridiques. Elle a déjà été recommandée comme outil de réglementation.

Si la loi exigeait la transparence des algorithmes, elle devrait alors définir ce que l'on entend par ce terme. La transparence, pour la prise de décision avec un produit de l'IA, est un concept complexe.

La transparence peut avoir plusieurs objectifs différents : l’incitation pour les producteurs d’IA et les utilisateurs à modifier ou à améliorer la technologie en réponse à la pression de ceux qui sont soumis aux décisions de l’IA, permettre des suggestions d'amélioration par des experts externes, avertir les personnes de la manière dont les informations à caractère personnel sont traitées et leur permettre de s'y opposer ou de rechercher un autre décideur  utilisant l'IA. Une obligation de transparence sur la construction des algorithmes permettrait d'attribuer de manière plus appropriée la responsabilité des défaillances de l’IA.

COMMENTAIRES. Cet article, de culture juridique anglosaxonne, nous a semblé intéressant à rapporter à un public français pour plusieurs raisons.

La première raison est qu'il permet de mieux comprendre la démarche juridique qui devrait être suivie vis à vis de risques connus et inconnus de l'IA. Elle distingue les risques acceptables d'une activité utile de l'IA, des risques inacceptables pour une société lorsqu'ils ont un niveau de dangerosité (comme l'accident mortel de la voiture Tesla) ou qu'ils créent une violation caractérisée des droits fondamentaux de la personne.

Une deuxième raison est l'argumentaire développé par l'auteur de l'article en faveur d'une réglementation progressive et ciblée sur des risques inacceptables bien identifiés. La question difficile est d'intervenir avant qu'un dommage conduise à établir une jurisprudence. Attendre que le dommage survienne pour réglementer serait inacceptable sur le plan éthique. La solution proposée d'une obligation de transparence des algorithmes pour les producteurs d'IA, également discutée en France, est la solution provisoire proposée. Cette transparence pourrait permettre la mise en place d'une réglementation spécifique vis à vis du risque inacceptable avant que le dommage survienne.

Enfin, une dernière raison est la possibilité d'appliquer ce raisonnement juridique anglosaxon  aux applications de l'IA dans le domaine de la santé. Plutôt que de faire une réglementation générale aux cotes mal taillées, comme la serait, selon l'auteur, réglementation européenne de 2015 sur les robots, préférer une réglementation progressive et spécifique qui n'étouffe pas les innovations à venir avec ses risques encore inconnus, acceptables ou inacceptables. Plutôt que d'user du principe constitutionnel de précaution qui étouffe la recherche française, il serait préférable de développer en matière d'innovation le principe de prévention vis à vis de risques clairement identifiés.

Nous tenterons dans un prochain billet (rubrique "article de fond") d'expliciter comment cette démarche juridique anglosaxonne, prudente et progressive, pourrait s'appliquer à l'usage de l'IA en télémédecine.

15 août 2018