Avec l’AI Act, l’Europe a mis en place un règlement qui régule l’usage et la fabrication des IA. Toutes les entreprises doivent s’assurer que leurs IA sont conformes et utilisables sur le continent. Elles doivent mettre en place des structures pour en assurer leur conformité dans la durée. La Banque Postale s’organise activement sur ces questions dans un domaine encore mouvant.
Le règlement sur l’intelligence artificielle ou AI Act est entré en vigueur depuis le 1ier aout 2024. La mise en application de ses grands principes sera progressive sur les 3 ans qui viennent. Toutes les entreprises vont devoir s’assurer de la conformité des IA qu’elles conçoivent ou qu’elles utilisent via les logiciels ou les services Cloud qu’elles consomment.
Pour assurer cette conformité, la Banque Postale a structuré un programme autour de trois grands chantiers. Le premier porte sur la cartographie et l’évaluation de l’ensemble des IA en production dans la banque. « Notre objectif premier est de pouvoir les identifier, les analyser, y compris celles mises en œuvre par nos fournisseurs et partenaires » présente Clémence Goube, Responsable Data et IA Factory de la Banque Postale. « Cette démarche doit permettre la mise en place d’une analyse d’impact pour s’assurer que ces IA sont traçables dans la durée, et nous assurer qu’elles sont transparentes et robustes conformément au règlement européen » précise-t-elle.
Une communauté interne de partage des bonnes pratiques
Le deuxième volet de cette mise en conformité porte sur la nécessaire gouvernance de ces IA. « Nous n’avons pas attendu l’AI Act pour nous en soucier, mais effectivement, ça renforce le besoin et les enjeux » reconnait-elle. Cette gouvernance implique une identification claire des rôles et des responsabilités de chacun sur les IA. Cela comprend l’identification de « référents AI Act » dans chacune des directions de la Banque Postale.
Les experts IA de Banque Postale participent à une communauté IA organisée à l’échelle du groupe La Poste
Le troisième pilier de cette gouvernance autour de l’IA Act repose sur l’acculturation et la formation du personnel. Clémence Goube souligne l’importance de l’acculturation du personnel à cette problématique réglementaire et plus particulièrement à l’AI Act. « Il est extrêmement important que tous les collaborateurs soient au courant des exigences de la réglementation, des bonnes pratiques qui sont en place. Il s’agit de mettre en place une culture de la conformité sur tout le sujet de l’IA et de l’IA Act. »
La gestion des risques se penche à son tour sur les IA
Avec l’IA et plus encore l’IA générative, de nouveaux risques sont apparus. Les IA peuvent avoir des biais, peuvent raconter quelque chose de faux de manière crédible (« halluciner ») ou même être victimes de cyber attaques et provoquer des fuites de données. Pour traiter ces nouveaux risques, Jean-Michel Perrin, Directeur de la Maîtrise des risques SI et innovation de la Banque Postale a fait le choix de s’allier avec la direction de la Data afin de créer ce qu’il appelle des « One Teams ».
“Des Risk Managers immergés au sein des équipes et appréhendent au plus tôt les problématiques liées aux IA”
Tout PoC (Preuve de concept) ou projet doit suivre une gouvernance de projet dans laquelle la gestion des risques est embarquée, et ce, jusqu’à l’issue du projet. Dès le début d’un projet, plusieurs équipes issues des directions Data, Risques, Sécurité vont accompagner les métiers dans le développement de leur cas d’usage.
L’impact environnemental de chaque requête affiché à l’écran
Autre sujet sensible lié aux IA génératives, le volet RSE et impact environnemental de ces applications. Banque Postale est une entreprise à mission et les projets IA doivent s’inscrire dans les priorités de la banque vis-à-vis de l’éthique et des valeurs. Parmi ses initiatives dans ce sens, Clémence Goube donne l’exemple du calculateur de consommation électrique et d’émission de CO2 de l’IA.
“Une requête type représente l’utilisation d’un ordinateur portable pendant une minute”
Ce type d’exemple est important estime-t-on à la Banque Postale. « Nous avons même le calcul en équivalent TGV : une requête équivaut à 34 mètres parcourus en TGV. Cela peut paraître dérisoire, mais quand on met en perspective ces usages, il est quand même important d’avoir ces chiffres en tête. Les utilisateurs doivent avoir conscience qu’utiliser des IA génératives n’est pas sans impact » établit-elle.
Utiliser des modèles d’IA générative plus petits
Cette action auprès des utilisateurs finaux est aussi relayée au sein de l’AI Factory. Les Data Scientists sont invités à utiliser de plus petits modèles de langages et s’orienter plus vers des SLM (Small Language Models) plutôt que des LLM (Large Language Models) lorsque cela est possible. « C’est tout un écosystème qu’on est en train de mettre en place pour justement réduire notre impact et sensibiliser l’intégralité des personnes qui travaillent sur l’IA générative et qui l’utilisent » annonce Clémence Goube.
« Il est extrêmement important que tous les collaborateurs soient au courant des exigences de la réglementation et des bonnes pratiques en place et de pouvoir mettre en place une culture de la conformité sur tout le sujet de l’IA et de l’IA Act » résume la responsable. « Les Risk Managers sont immergés au sein des équipes et appréhendent au plus tôt les problématiques liées aux IA » ajoute Jean-Michel Perrin.
Clémence Goube et Jean-Michel Perrin ont pris la parole le 19 mars à l’occasion de l’événement DIMS qui s’est déroulé à Station F, à Paris et organisé par Innovation Makers Alliance.
“J’aimerais une suite à cet article qui répond à la question suivante : Comment l’IA Act ne pénalise pas la compétitivité des entreprises européennes par rapport aux contraintes plus légères des États-Unis et de la Chine ? À ce jour, seul l’État américain de Californie a mis en place quelque chose de similaire avec le CCPA (California Consumer Privacy Act). “