La conformité à la loi européenne sur l’IA grâce à l’observabilité

J'ai constaté des progrès remarquables dans les capacités de l'IA et, récemment, la commercialisation d'outils pratiques alimentés par l'IA générative. Mais en plus d'être témoin de cette innovation incroyable, en tant que directeur Produits et conseiller en matière de confidentialité chez New Relic, je reconnais également que les instances législatives prennent des mesures pour protéger les droits, la vie privée et la sécurité de leurs communautés. Les nouvelles lois et réglementations imposent des obligations de conformité aux entreprises qui développent, fournissent ou déploient des systèmes d’IA, en particulier ceux considérés comme à haut risque. Bien que ce billet de blog ne constitue pas un conseil juridique adapté à votre situation spécifique, il s'agit d'un domaine intéressant dans lequel les technologies que je connais peuvent aider les entreprises à répondre aux besoins de conformité applicables.

État actuel de la législation sur l’IA

États-Unis

Aux États-Unis, certains États prennent des mesures proactives pour réglementer le développement et le déploiement de l’IA (en raison de l’absence, à l’heure actuelle, d’une réglementation semblable au niveau fédéral). Les lois établies par les différents États peuvent varier considérablement. La loi sur l'intelligence artificielle du Colorado réglemente les systèmes d'IA à haut risque et se concentre sur les développeurs et les déployeurs, et cherche à examiner, documenter, atténuer, divulguer et informer le procureur général du Colorado de certains préjudices et risques de discrimination algorithmique à l'encontre des résidents du Colorado. En revanche, la loi de l’Utah sur la politique en matière d’intelligence artificielle a une portée beaucoup plus limitée, obligeant les produits d’IA générative à divulguer si l’individu interagit avec un humain lorsque l’individu le demande. 

En même temps, à Washington, le président, Joe Biden, a signé un décret le 30 octobre 2023 pour guider l’utilisation de l’IA au sein des agences gouvernementales et pour imposer également des obligations directes aux entreprises privées, les contraignant à divulguer certaines informations sur les modèles d’IA et les clusters informatiques particulièrement puissants. Des agences, dont le National Institute of Standards and Technology (NIST), ont été chargées d'élaborer des normes et des lignes directrices en matière d'IA, telles que le développement d'une ressource complémentaire au framework de gestion des risques de l'IA de NIST, au framework de développement de logiciels sécurisés de NIST, ainsi que des conseils et des évaluations pour évaluer les capacités de l'IA, en se concentrant sur la capacité de causer des préjudices¹.

Union européenne

Le monde a enfin la très attendue loi de l'Union européenne sur l'intelligence artificielle, publiée le 12 juillet 2024 et en vigueur depuis le 1^er août 2024. Cette réglementation a une application beaucoup plus large que les lois actuellement en vigueur aux États-Unis dans la mesure où elle :

• s'applique aux développeurs, déployeurs, importateurs, distributeurs, fabricants de produits et représentants autorisés ;
• interdit catégoriquement certaines catégories de systèmes d’IA ; 
• impose de nombreuses obligations aux « systèmes d’IA à risques élevés » ; et 
• impose des obligations aux fournisseurs de « modèles d’IA à usage général ».

À mesure que de plus en plus de juridictions reconnaissent la nécessité d’une gouvernance de l’IA, on anticipe la prolifération de réglementations comme celles-ci, qui façonneront l’avenir du développement et du déploiement responsables de l’IA.

Loi de l’UE sur l’IA – Article 12, Tenue de registres

Êtes-vous un fournisseur ou un déployeur d'un « système d'IA à haut risque » ?

Si oui, New Relic peut être en mesure de vous aider à remplir vos obligations au titre de l'article 12 en vertu de la loi européenne sur l'IA.

Une disposition qui peut être pertinente pour les clients de New Relic qui exploitent des « systèmes d'IA à haut risque » ET qui cherchent à ajouter une solution d'observabilité holistique pour l'ensemble de leur stack technologique et de leur parc technologique concerne les exigences de journalisation pour les systèmes d'IA à haut risque² sous l'article 12 de la loi européenne sur l’IA. 

L'article 12 exige que des capacités de journalisation soient mises en place pour les systèmes à haut risque afin de permettre aux fournisseurs et aux déployeurs de surveiller leurs systèmes d'IA à haut risque.

À un haut niveau, la section 12 spécifie actuellement trois exigences principales : (1) l'enregistrement automatique d'événements (journaux) pendant toute la durée de vie du système, (2) des capacités de journalisation qui enregistrent les événements qui peuvent aider à respecter la conformité à d'autres obligations en vertu de la loi de l’UE sur l’IA, et (3) des seuils spécifiques de « capacités de journalisation ».

La première exigence stipule que les systèmes d’IA à haut risque doivent « permettre d'un point de vue technique l’enregistrement automatique d'événements (journaux) pendant toute la durée de vie du système » (mis en caractères gras par l'auteur). 

L'industrie des technologies utilise déjà un certain nombre de solutions générant et transmettant des journaux (logs), que New Relic prend actuellement en charge, notamment Fluent Bit, Fluentd, Logstash et les logs de prestataire de services cloud comme Amazon et Microsoft. Si vous ne disposez pas déjà d'une de ces solutions, nos agents de monitoring des performances des applications (APM) peuvent automatiquement générer des rapports sur les logs des applications, et notre agent d'infrastructure peut capturer et générer des rapports sur les logs de vos hôtes. New Relic prend en charge un nombre croissant d'options de transfert des logs.

Par exemple, si un tiers fournit une image ou un conteneur faisant partie de votre système d'IA à haut risque et que le développeur n'a pas fourni d'API ou de fonctionnalité de log prête à l'emploi pour cette image, les logs provenant du conteneur ou de Kubernetes sont des options à votre disposition en plus de vous déconnecter des autres parties de votre architecture de microservices.

Pour les entreprises qui adoptent des normes ouvertes et sans fournisseur associé via OpenTelemetry, New Relic prend en charge un nombre croissant de supports et d'intégration avec les solutions OpenTelemetry. 

Le deuxième groupe d’exigences stipule que l’objectif est de « … garantir un niveau de traçabilité du fonctionnement d’un système d’IA à haut risque qui soit adapté à l’objectif visé par le système », et est suivi de l’exigence « les capacités de journalisation doivent permettre l’enregistrement d'événements pertinents pour… » (mis en caractères gras par l'auteur) d’autres parties de la loi de l’UE sur l’IA. Ces parties comprennent : 

1. L'article 79, paragraphe 1, concernant les risques que le produit puisse potentiellement présenter des risques pour la santé ou la sécurité de nombreux intérêts au-delà de ce qui est raisonnable et acceptable³ ;
2. L'article 72 concernant la surveillance des fournisseurs après la mise sur le marché et le plan de surveillance après la mise sur le marché pour les systèmes d'IA à haut risque ;
3. L'article 26(5), exigeant que les « déployeurs contrôlent le fonctionnement du système d'IA à haut risque » et incluant que les déployeurs soumettent des rapports lorsque les déployeurs ont des raisons de croire que l’utilisation du système d’IA à haut risque présente un risque pour le fournisseur, le distributeur et l’autorité de surveillance du marché.

Le troisième groupe d'exigences de l'article 12 stipule que « les capacités de journalisation fournissent au moins les éléments suivants : » la période de chaque utilisation, la base de données de référence par rapport à laquelle les données d'entrée et l'identification des personnes physiques participant à la vérification des résultats, visée à l'article 14, paragraphe 5 (Surveillance humaine).

Solutions d'observabilité complètes pour les besoins de surveillance/monitoring et de journalisation/logging

Voici une architecture de microservices hypothétique pour votre système d'IA, dans laquelle vous disposez de deux environnements cloud et utilisez des API de grands modèles de langage (LLM) tierces pour les services exécutés uniquement dans le deuxième environnement cloud. Votre configuration peut être plus complexe si vous exploitez un ensemble d'applications et d'infrastructures existantes déjà créées, ou si vous divisez vos services en services plus petits gérés par divers experts en produits et ingénierie au sein de votre organisation.

Heureusement, les API New Relic vous permettent d'envoyer tous les logs, événements et autres données télémétriques de chaque composant affiché pour centraliser et maintenir une visibilité de bout en bout sur votre parc technologique :

1. Les événements d'interface web et d'autres données télémétriques peuvent être envoyés aux API de monitoring de navigateurs New Relic.
2. Les événements et autres données télémétriques des applications mobiles peuvent être envoyés aux API de monitoring des applications mobiles New Relic.
3. Les logs, événements et autres données télémétriques des principaux prestataires de services cloud peuvent être envoyés aux API de monitoring d'infrastructure New Relic.

Les logs, événements et autres données télémétriques des applications peuvent être envoyés aux API de l'APM New Relic.

Un certain nombre de capacités clés au sein de New Relic permettent aux entreprises de commencer facilement à se conformer aux exigences en matière de capacité de logging :

1. Lorsque certaines capacités de l'IA sont exécutées au niveau de l'application, le monitoring de l'IA de New Relic prend en charge un certain nombre de langages de programmation et comprend le monitoring des prompts et des réponses.
2. Lorsque certaines capacités d'IA sont exécutées sur des plateformes tierces, plusieurs quickstarts d'opérations d'apprentissage automatique (MLOps) comme Azure OpenAI et PyTorch facilitent le monitoring des LLM tiers et des plateformes MLOps pour la dérive de modèle (model drift), et centralisent globalement le monitoring de ces systèmes tiers en envoyant les données télémétriques applicables à New Relic. De plus, nous proposons des quickstarts pour l'application LangChain, Pinecone (LangChain), les magasins de vecteurs LangChain et plusieurs ressources Nvidia.
3. Lorsque la traçabilité est essentielle, le tracing distribué et les cartes de services vous aident à suivre la transaction tout au long de votre parc technologique et à monitorer chaque élément de vos systèmes d'IA afin que chaque élément ne soit pas hors de vue, hors de monitoring et non conforme. Par exemple, New Relic fait apparaître les dépendances en amont et en aval des services utilisés par vos équipes dans le système d’IA. Pour ajouter le monitoring aux dépendances en aval de la base de données, utilisez un quickstart de base de données New Relic pour facilement obtenir les données télémétriques de ces bases de données tierces.
4. Lorsque le suivi des composants applicables du système d’IA est essentiel, les workloads New Relic permettent de conserver ces composants applicables dans une vue centrale. Les cartes de workload offrent une excellente visualisation à la personne (ou aux personnes) chargée du monitoring du système d'IA.

5. Lorsqu'un graphique ou une visualisation prêt à l'emploi ne répond pas aux besoins particuliers en matière de conformité des entreprises, New Relic leur fournit des outils pour créer des graphiques et des dashboards personnalisés afin de créer une visualisation à volet unique sur vos systèmes d'IA.
6. Lorsque les entreprises ont identifié les scénarios et les conditions environnementales qui doivent déclencher des notifications envoyés aux développeurs, opérateurs et autres évaluateurs pour enquêter, les alertes New Relic permettent de garantir que lorsque ces conditions de notification sont toujours remplies, les notifications sont envoyées aux équipes concernées.
7. Lorsque les entreprises doivent conserver des logs pendant toute la durée de vie de leur système en vertu de l'article 12⁴, ce qui pourrait prendre des années ou plusieurs décennies, ce qui équivaut à des coûts de stockage et de découverte croissants qui peuvent être traités efficacement avec New Relic Live Archives. Cette solution économique vous permet d'envoyer facilement tous les logs essentiels aux API de logs de New Relic, de les conserver jusqu'à sept ans pour une fraction des frais de stockage habituels et d'utiliser de nombreuses fonctionnalités disponibles avec New Relic Logs. Vous pouvez également utiliser l'exportation des données historiques New Relic pour récupérer des copies de vos logs après sept ans pour vos besoins de stockage à long terme.

Lois sur l’IA et exigences de conformité

Les équipes d'IA de New Relic sont parfaitement conscientes du nombre croissant de lois sur l'IA et des défis de conformité. New Relic AI contribue à rendre l'observabilité plus accessible aux utilisateurs en dehors des rôles DevSecOps traditionnels, ce qui réduit les obstacles pour les équipes de conformité qui souhaitent utiliser les mêmes outils que les membres de l'équipe DevSecOps pour monitorer leur stack technologique dans le but de se conformer aux exigences telles que l'article 12, Tenue de registres, de la loi sur l'IA de l'UE.

Les innovations dans le domaine de l'IA continuent de croître, avec des modèles de pointe comme GPT-4o et GTP-4 Turbo, qui peuvent expliquer ce qui se passe dans une image. Alors que des innovations en matière d'IA continuent d'être développées par des entreprises de premier plan comme OpenAI, Anthropic, Google et Meta, les cas d'utilisation dans lesquels ces innovations en IA peuvent être utilisées dans des domaines tels que la santé, la fabrication, la sécurité, le marketing, les transports, le retail et la finance, et elles se développent également. 

Les entreprises soumises au nombre croissant de lois sur l’IA dans le monde doivent envisager un éventail d’outils pour répondre à leurs besoins de conformité ; la plateforme d’observabilité New Relic est un excellent ajout à la panoplie d'outils de conformité d'une entreprise.

¹ Décret exécutif sur une intelligence artificielle sûre, sécurisée et digne de confiance | NIST 

²  Les exigences en matière de tenue de registres et de journalisation de l'article 12 s'appliquent aux systèmes d'IA à haut risque, qui ont une définition spécifique dans la loi sur l'IA de l'UE. Consultez votre conseiller juridique préféré pour déterminer si votre produit d'IA relève de la définition d'un « système d'IA à haut risque », qui a une signification particulière en vertu de la loi européenne sur l'IA ; ceci est particulièrement important dans la mesure où la loi européenne sur l’IA est mise à jour et corrigée avant sa publication. Le dernier rectificatif à la date de première publication. New Relic restreint l'utilisation de nos services pour certaines activités à haut risque. Vous devez vous référer aux conditions de service de New Relic lorsque vous réfléchissez à la manière dont vous pouvez utiliser nos services.

³ «produit présentant un risque»: un produit susceptible de nuire à la santé et à la sécurité des personnes en général, à la santé et à la sécurité sur le lieu de travail, à la protection des consommateurs, à l'environnement et à la sécurité publique ainsi qu'à d'autres intérêts publics protégés par la législation d'harmonisation applicable de l'Union, dans une mesure qui va au-delà de ce qui est considéré comme raisonnable et acceptable eu égard à l'objectif poursuivi ou dans les conditions d'utilisation normales ou raisonnablement prévisibles du produit concerné, lesquelles comprennent aussi sa durée d'utilisation et, le cas échéant, sa mise en service, les exigences d'installation et d'entretien ; voir ​​https://eur-lex.europa.eu/legal-content/EN-DE-FR/TXT/?from=EN&uri=CELEX%3A32019R1020&qid=1724238096819

⁴  Dernier rectificatif à la date de publication.