Le fossé de gouvernance : Pourquoi la réglementation de l’IA est toujours en retard

L’innovation évolue à la vitesse de la machine, tandis que la gouvernance se déplace à la vitesse humaine. Alors que l’adoption de l’IA croît de manière exponentielle, la réglementation est en retard, ce qui est assez typique lorsqu’il s’agit de technologie. Dans le monde entier, les gouvernements et autres entités sont en train de réglementer l’IA, mais des approches fragmentées et inégales abondent.

Partie du défi est qu’il n’y a pas de conception de technologie apolitique. Il y a un certain nombre de réglementations et de propositions, de l’Acte IA de l’Union européenne aux sandbox réglementaires américains, chacun avec sa propre philosophie. Alors que la gouvernance de l’IA suit intrinsèquement l’innovation, le véritable défi est de gérer la sécurité et la politique de manière responsable dans ce retard.

La nature du fossé : Innovation d’abord, surveillance ensuite

Le retard réglementaire est un sous-produit inévitable du progrès technologique. Par exemple, Henry Ford n’a pas développé le Model T avec un focus principal sur la sécurité routière et les règles de la route. Les modèles réglementaires suivent historiquement l’innovation ; des exemples récents incluent la confidentialité des données, la blockchain et les médias sociaux. L’évolution rapide de l’IA dépasse la formation et l’application des politiques. En d’autres termes, le chariot a précédé le cheval depuis un certain temps.

Partie du défi est que les décideurs politiques réagissent souvent à des préjudices plutôt qu’à des risques, ce qui crée des cycles de gouvernance réactive. Le problème n’est pas le retard lui-même, mais plutôt le manque de mécanismes adaptatifs pour suivre les modèles de menace émergents, et le manque de volonté de compromettre un avantage concurrentiel pour le sake de la sécurité. C’est un scénario de “course vers le bas” ; nous érodons notre propre sécurité collective pour des gains concurrentiels localisés.

Mosaïque mondiale de la gouvernance de l’IA représentant des philosophies fragmentées

Les approches majeures de gouvernance de l’IA existantes dans le monde varient considérablement.

Dans l’UE, l’Acte IA introduit l’an dernier est très axé sur l’éthique et les risques. L’utilisation de l’IA est évaluée en fonction du niveau de risque, avec certains risques considérés comme inacceptables et donc interdits. Les États-Unis, en revanche, ont adopté davantage un modèle de sandbox réglementaire qui met l’accent sur la flexibilité de l’innovation. Certains pourraient le décrire comme une exception pour l’innovation, tandis que les critiques pourraient l’appeler un chèque en blanc.

Il y a également le processus de Hiroshima, qui contient une intention de coordination mondiale mais un suivi limité ; chaque nation du G7 se concentre toujours sur la domination de l’IA à l’échelle nationale.

Aux États-Unis, l’affaire a été laissée en grande partie aux États, ce qui assure effectivement un manque de réglementation efficace. Le gouvernement fédéral le fait parfois précisément en raison de son inefficacité. Les États créent de nouveaux sandbox pour attirer les entreprises technologiques et les investissements, mais il est peu probable qu’il y ait une réglementation significative au niveau de l’État ; seules des exceptions sont accordées.

Le Royaume-Uni a été engagé dans une lutte domestique et internationale pour établir son indépendance farouche après le Brexit. Grâce à la déréglementation et au plan “Leveling Up” du gouvernement, l’introduction de sandbox réglementaires n’est pas une surprise. Le gouvernement britannique voudra que le Royaume-Uni soit une superpuissance de l’IA pour les avantages politiques internes et externes et la stabilité.

L’UE se concentre davantage sur la sécurité des consommateurs, mais également sur la force de son marché commun. Cela a du sens, étant donné l’histoire de l’UE avec la réglementation patchwork. La conformité partagée, les normes et le commerce transfrontalier sont essentiels pour faire de l’UE ce qu’elle est. Ils nécessitent toujours des sandbox réglementaires, mais chaque État membre doit en avoir un opérationnel à la même date.

Ce ne sont que quelques-unes de ces réglementations, mais probablement les plus importantes. Le point clé est qu’il existe des cadres disjointes qui manquent de définitions partagées, de mécanismes d’application et d’interopérabilité transfrontalière. Cela laisse des lacunes pour que les attaquants les exploitent.

La nature politique des protocoles

Aucune réglementation de l’IA ne peut jamais être vraiment neutre ; chaque choix de conception, chaque garde-fou et chaque réglementation reflète les intérêts sous-jacents du gouvernement ou de l’entreprise. La réglementation de l’IA est devenue un outil géopolitique ; les nations l’utilisent pour sécuriser un avantage économique ou stratégique. Les contrôles d’exportation de puces sont un exemple actuel ; ils servent de gouvernance de l’IA indirecte.

La seule réglementation effectivement introduite jusqu’à présent a été pour intentionnellement entraver un marché. La course mondiale pour la suprématie de l’IA maintient la gouvernance comme un mécanisme de concurrence plutôt que de sécurité collaborative.

Sécurité sans frontières, mais gouvernance avec

Le problème épineux majeur ici est que les menaces activées par l’IA transcendent les frontières tandis que la réglementation reste confinée. Les menaces évoluant rapidement aujourd’hui incluent à la fois les attaques contre les systèmes d’IA et les attaques qui utilisent les systèmes d’IA. Ces menaces traversent les juridictions, mais la réglementation reste cloisonnée. La sécurité est confinée dans un coin tandis que les menaces traversent l’ensemble de l’internet.

Nous commençons déjà à voir l’abus d’outils d’IA légitimes par des acteurs de menace mondiaux qui exploitent les contrôles de sécurité faibles. Par exemple, une activité malveillante a été observée avec l’utilisation d’outils de création de sites d’IA qui sont plus comme des cloners de sites et peuvent être facilement abusés pour créer des infrastructures de phishing. Ces outils ont été utilisés pour imiter les pages de connexion de tout, des services de médias sociaux populaires aux agences de police nationales.

Jusqu’à ce que les cadres de gouvernance reflètent la structure sans frontières de l’IA, les défenseurs resteront contraints par des lois fragmentées.

De la réglementation réactive à la défense proactive

Le retard réglementaire est inévitable, mais la stagnation ne l’est pas. Nous avons besoin d’une gouvernance adaptative et prédictive avec des cadres qui évoluent avec la technologie ; il s’agit de passer d’une réglementation réactive à une défense proactive. Idéalement, cela ressemblerait à :

• Développement de normes internationales partagées pour la classification des risques de l’IA.
• Participation élargie à la définition des normes au-delà des gouvernements et des entreprises majeures. La gouvernance de l’internet a cherché (avec un succès mitigé) à utiliser un modèle multistakeholder plutôt qu’un modèle multilatéral. Même imparfait, il a eu un impact énorme sur la transformation de l’internet en un outil pour tous et en minimisant la censure et les fermetures politiques.
• Favoriser la diversité de pensée dans la gouvernance.
• Mécanisme de signalement d’incidents et de transparence. Un manque de réglementations signifiera souvent également un manque d’exigences de signalement. Il est peu probable qu’il y ait une exigence d’informer le public des dommages causés par des erreurs ou des choix de conception dans les sandbox réglementaires dans un avenir proche.

Alors que le fossé de gouvernance ne disparaîtra jamais, des cadres collaboratifs, transparents et inclusifs peuvent empêcher qu’il ne devienne une vulnérabilité permanente dans la sécurité mondiale.