L'IA dans le secteur public : opportunités et obligations
Les agences gouvernementales à tous les niveaux explorent et déploient l'IA pour améliorer la prestation de services, renforcer la prise de décision et accroître l'efficacité opérationnelle. De la stratégie d'IA fédérale aux initiatives de transformation numérique des États et des collectivités locales, le secteur public adopte l'IA dans un large éventail d'applications.
Les cas d'usage courants de l'IA dans l'administration incluent l'automatisation des services aux citoyens via des chatbots et des assistants virtuels, la détection des fraudes dans les programmes d'aide, le traitement et la classification de documents pour les demandes FOIA, l'analyse prédictive pour l'allocation des ressources, la détection des menaces de cybersécurité, l'analyse du renseignement et les applications de sécurité nationale, ainsi que la surveillance de la conformité réglementaire.
Cependant, le déploiement de l'IA dans l'administration s'accompagne d'obligations uniques. Les agences publiques doivent maintenir la transparence et la responsabilité envers les citoyens, protéger les informations classifiées et les informations non classifiées contrôlées (CUI), se conformer aux réglementations d'acquisition et de passation de marchés, garantir une prestation de services équitable à toutes les populations, et préserver les libertés civiles et les droits constitutionnels. Le décret sur une IA sûre, sécurisée et digne de confiance (EO 14110) a établi de nouvelles exigences pour les agences fédérales, notamment en matière de gestion des risques de l'IA, d'exigences de test et de normes de transparence.
Classification de sécurité et IA
Les agences gouvernementales doivent gérer avec soin l'intersection entre les outils d'IA et les niveaux de classification des informations.
Informations classifiées et IA : les outils d'IA ne doivent jamais être utilisés avec des informations classifiées, sauf s'ils fonctionnent dans des environnements classifiés dûment accrédités. Cela implique aucun service d'IA commercial pour le traitement de données classifiées, des environnements d'IA isolés (air-gapped) pour les charges de travail classifiées, des exigences de personnel habilité pour les opérations d'IA classifiées, et des SCIF et installations habilitées pour les discussions d'IA classifiées.
Informations non classifiées contrôlées (CUI) : les CUI représentent un défi important pour l'adoption de l'IA dans l'administration. De nombreuses agences souhaitent utiliser l'IA pour traiter des CUI, données de passation de marchés, informations personnelles identifiables, données sensibles des forces de l'ordre, mais doivent veiller à ce que les outils d'IA respectent les exigences de protection des CUI au titre de NIST SP 800-171.
Exigences FedRAMP : les services d'IA basés sur le cloud utilisés par les agences fédérales doivent obtenir une autorisation FedRAMP. Cela nécessite une évaluation de sécurité rigoureuse comprenant plus de 300 contrôles de sécurité au niveau de référence modéré, une surveillance continue et une réévaluation régulière, des capacités de réponse aux incidents, ainsi qu'une gestion des risques de la chaîne d'approvisionnement.
Considérations relatives au niveau d'impact : les services d'IA doivent être autorisés au niveau d'impact approprié. IL2 pour les données publiques et non CUI, IL4 pour les CUI, IL5 pour les CUI dans les environnements du DoD, et IL6 pour les informations classifiées jusqu'au niveau Secret. La plupart des services d'IA commerciaux plafonnent actuellement à IL2 ou IL4, ce qui limite leur applicabilité aux charges de travail gouvernementales sensibles.
NIST AI Risk Management Framework
Le NIST AI Risk Management Framework (AI RMF) fournit un cadre volontaire de gestion des risques de l'IA qui devient la norme de facto pour la gouvernance de l'IA dans l'administration.
Fonctions principales : l'AI RMF organise la gestion des risques de l'IA en quatre fonctions principales. Govern (gouverner) établit et maintient les structures organisationnelles, les politiques et les processus de gestion des risques de l'IA. Map (cartographier) identifie et catalogue les systèmes d'IA, leurs contextes et leurs impacts potentiels. Measure (mesurer) évalue et surveille les risques de l'IA au moyen de méthodes quantitatives et qualitatives. Manage (gérer) met en œuvre des stratégies de traitement des risques et des mesures de réponse.
Mettre en œuvre l'AI RMF dans l'administration : les agences gouvernementales doivent faire correspondre les fonctions de l'AI RMF aux processus de gestion des risques existants. Intégrez la gestion des risques de l'IA à la gestion des risques d'entreprise (ERM) de l'agence, alignez les contrôles de l'IA sur le NIST Cybersecurity Framework et SP 800-53, exploitez les processus d'autorisation existants (ATO) pour l'évaluation des systèmes d'IA, et intégrez le risque de l'IA dans le reporting FISMA de l'agence.
Caractéristiques d'une IA digne de confiance : l'AI RMF identifie sept caractéristiques d'une IA digne de confiance que les agences gouvernementales doivent évaluer. Il s'agit de la validité et de la fiabilité, de la sûreté, de la sécurité et de la résilience, de la responsabilité et de la transparence, de l'explicabilité et de l'interprétabilité, du renforcement de la confidentialité, ainsi que de l'équité avec une gestion des biais préjudiciables.
Gouvernance de l'IA pour les agences fédérales
Les agences fédérales sont soumises à des exigences de gouvernance spécifiques pour le déploiement de l'IA.
Exigences relatives au Chief AI Officer : l'EO 14110 exige que les agences fédérales désignent des Chief AI Officers chargés de coordonner l'utilisation de l'IA au sein de l'agence, de gérer les risques de l'IA, de promouvoir l'innovation en matière d'IA, d'assurer la conformité aux politiques d'IA, et de rendre compte de l'utilisation et de la gouvernance de l'IA.
Inventaire des cas d'usage de l'IA : les agences fédérales doivent tenir et publier des inventaires de leurs cas d'usage de l'IA. Cet inventaire doit inclure l'objectif et la fonction du système d'IA, les entrées et sorties de données, les résultats des évaluations d'impact, les mesures d'atténuation des risques, ainsi que les mécanismes de supervision humaine.
IA affectant les droits : les systèmes d'IA qui affectent les droits individuels, comme les décisions d'éligibilité aux prestations, les décisions des forces de l'ordre ou le traitement de l'immigration, nécessitent une vigilance accrue, notamment des évaluations d'impact évaluant les effets sur les libertés civiles, une notification aux personnes concernées indiquant que l'IA est utilisée, des mécanismes de recours pour les décisions assistées par l'IA, un audit régulier des biais et de l'exactitude, ainsi qu'un examen humain des décisions importantes.
Passation de marchés et acquisition : la passation de marchés d'IA par l'administration doit se conformer au FAR et aux réglementations d'acquisition propres à chaque agence. Incluez des exigences spécifiques à l'IA dans les contrats concernant la propriété et la gestion des données, la transparence et l'explicabilité des modèles, la surveillance et le reporting des performances, les exigences de test de biais et d'équité, ainsi que les contrôles de sécurité et de confidentialité.
Sécuriser l'IA dans les opérations gouvernementales
Mesures de sécurité pratiques pour le déploiement de l'IA dans l'administration à travers les cas d'usage courants.
Services d'IA destinés aux citoyens : les chatbots gouvernementaux et les assistants virtuels qui interagissent avec le public doivent s'identifier clairement comme des systèmes d'IA (pas de conception trompeuse), se conformer aux exigences d'accessibilité de la Section 508, protéger les informations personnelles identifiables (PII), fournir des informations exactes fondées sur des sources faisant autorité, offrir des voies vers une assistance humaine, et tenir des journaux à des fins de responsabilité et de conformité FOIA.
Outils d'IA internes : le personnel des agences utilisant l'IA pour la rédaction de documents, l'analyse ou la recherche doit disposer d'outils d'IA approuvés répondant aux exigences de sécurité, de directives claires sur les données pouvant être utilisées avec l'IA, d'une formation sur les limites de l'IA et les exigences de vérification, ainsi que de mécanismes de signalement des erreurs ou préoccupations liées à l'IA.
IA dans les forces de l'ordre et la sécurité nationale : l'IA utilisée dans les contextes des forces de l'ordre et de la sécurité nationale comporte un risque exceptionnel et exige le plus haut niveau de gouvernance. La reconnaissance faciale et l'IA biométrique doivent se conformer aux politiques de confidentialité de l'agence, les outils de police prédictive doivent être évalués pour les biais et l'impact sur les libertés civiles, l'IA d'analyse du renseignement doit protéger les sources et les méthodes, et toute IA des forces de l'ordre doit inclure une autorité de décision humaine.
IA pour la cybersécurité : les agences gouvernementales utilisent de plus en plus l'IA pour la cyberdéfense. Ces outils doivent être intégrés aux opérations de sécurité existantes, validés par rapport aux modèles de menace de l'agence, surveillés contre la manipulation adverse, et conformes aux exigences du programme CDM (Continuous Diagnostics and Mitigation).
Considérations pour les administrations des États et locales
Les administrations des États et locales font face à des défis de sécurité de l'IA uniques, différents de ceux des agences fédérales.
Contraintes de ressources : de nombreuses agences des États et locales manquent d'expertise et de budget dédiés à la sécurité de l'IA. Commencez par des étapes fondamentales : adoptez des cadres existants (NIST AI RMF, directives MS-ISAC), tirez parti des services partagés et des accords de coopération au niveau de l'État, participez au partage d'informations via le MS-ISAC et les CISO des États, et priorisez les cas d'usage d'IA à haut risque pour l'attention de la gouvernance.
Législation des États sur l'IA : un nombre croissant d'États adoptent une législation spécifique à l'IA. Le Colorado, la Californie, l'Illinois et d'autres ont adopté ou proposé des lois affectant l'utilisation de l'IA par l'administration. Suivez la législation pertinente des États, évaluez les exigences de conformité, mettez à jour les politiques à mesure que de nouvelles lois entrent en vigueur, et coordonnez-vous avec les procureurs généraux des États sur la conformité de l'IA.
Partage de données intergouvernemental : les agences des États et locales partagent souvent des données entre juridictions. Les outils d'IA traitant des données partagées doivent se conformer aux accords d'utilisation des données de toutes les parties, maintenir les exigences de souveraineté des données, mettre en œuvre des contrôles d'accès reflétant l'accès multi-juridictionnel, et documenter le traitement par l'IA dans les accords de partage de données.
Transparence publique : les administrations des États et locales sont souvent soumises à des exigences de transparence publique accrues. Publiez les politiques et inventaires d'utilisation de l'IA, fournissez un avis public sur l'utilisation de l'IA dans les services gouvernementaux, créez des mécanismes de contribution du public aux décisions de déploiement de l'IA, et rendez compte des performances et des résultats des systèmes d'IA.
Bâtir la confiance du public dans l'IA gouvernementale
La gouvernance de l'IA gouvernementale sert en fin de compte l'objectif de maintenir la confiance du public.
Mesures de transparence : publiez des politiques claires sur la manière et les domaines dans lesquels l'agence utilise l'IA, fournissez des explications en langage clair des systèmes d'IA affectant le public, mettez les évaluations d'impact de l'IA à disposition pour examen, rendez compte des indicateurs de performance et des taux d'erreur des systèmes d'IA, et collaborez avec les organisations de la société civile sur la gouvernance de l'IA.
Mécanismes de responsabilité : établissez des lignes de responsabilité claires pour les décisions de l'IA, mettez en œuvre des processus de recours pour les déterminations assistées par l'IA, réalisez des audits réguliers des systèmes d'IA pour détecter les biais et l'exactitude, tenez des journaux détaillés à des fins de supervision et d'enquête, et accordez à l'inspecteur général l'accès aux systèmes et données d'IA.
Équité et impartialité : l'administration a une obligation particulière de garantir une prestation de services équitable. Testez les systèmes d'IA pour détecter les impacts disparates entre les groupes démographiques, surveillez les résultats pour détecter les biais en continu, offrez des canaux de service alternatifs non fondés sur l'IA aux citoyens, assurez l'accessibilité de l'IA pour les personnes en situation de handicap, et impliquez les communautés mal desservies dans les décisions de déploiement de l'IA.
Les agences gouvernementales qui privilégient une gouvernance de l'IA transparente, responsable et équitable bâtiront la confiance du public nécessaire pour réaliser le potentiel de l'IA au service de meilleurs services publics.
