Business : L’émergence du gestionnaire de risques IA professionnel

La réglementation mènera à la création de gestionnaires de risques professionnels en IA, tout comme la façon dont cela s’est passé en finance

Lorsque les années 1970 et 1980 ont été marquées par des crises bancaires, les régulateurs du monde entier se sont regroupés pour définir des normes internationales sur la manière de gérer le risque financier. Ces normes, désormais connues sous le nom de normes de Bâle, définissent un cadre et une taxonomie communs sur la manière de mesurer et de gérer le risque. Cela a conduit à la montée des gestionnaires de risques financiers professionnels, ce qui était mon premier emploi. Les plus grandes associations professionnelles de gestion des risques, GARP et PRMIA, regroupent désormais plus de 250 000 membres certifiés, et il existe de nombreux autres gestionnaires de risques professionnels qui n’ont pas suivi ces certifications.

Nous sommes maintenant en proie à des violations de données et la confidentialité des données scandales, et les régulateurs du monde entier ont réagi en réglementant les données. Le RGPD est le modèle actuel, mais je m’attends à ce qu’un groupe mondial de régulateurs élargisse les règles pour couvrir l’IA de manière plus large et établisse la norme sur la façon de la gérer. L’OIC britannique vient de publier un projet de guide détaillé sur audit de l’IA. le L’UE en développe un ainsi que. Il est intéressant de noter que leur approche est très similaire à celle des normes de Bâle: les risques spécifiques liés à l’IA devraient être explicitement gérés. Cela conduira à l’émergence de gestionnaires de risques professionnels en IA.

Ci-dessous, j’expliquerai les implications d’un rôle officiel de gestion des risques liés à l’IA. Mais avant cela, il y a quelques concepts à clarifier:

• La plupart des réglementations sur les données dans le monde se sont concentrées sur la confidentialité des données
• La confidentialité des données est un sous-ensemble de la protection des données. Le RGPD, c’est plus que la confidentialité
• La protection des données est un sous-ensemble de Réglementation de l’IA. Ce dernier couvre également le développement d’algorithmes / modèles.

Le cadre de Bâle est un ensemble de normes internationales de réglementation bancaire élaborées par la Banque des règlements internationaux (BRI) pour promouvoir la stabilité des marchés financiers. En soi, la BRI n’a pas de pouvoirs réglementaires, mais sa position de «banque centrale des banques centrales» fait de la réglementation de Bâle la norme mondiale. Le Comité de Bâle sur le contrôle bancaire (BCBS), qui a rédigé les normes, s’est formé à une époque de crises financières à travers le monde. Il a commencé avec un groupe de 10 gouverneurs de banque centrale en 1974 et est maintenant composé de 45 membres de 28 juridictions.

Compte tenu des violations de la vie privée et des scandales ces derniers temps, nous pouvons voir le RGPD comme un équivalent standard de Bâle pour le monde des données. Et nous pouvons voir le Contrôleur européen de la protection des données (CEPD) comme le BCBS pour la confidentialité des données. (Le CEPD est le superviseur du RGPD.) Je m’attends à ce qu’un groupe plus mondial émerge à mesure que davantage de pays promulgueront des lois sur la protection des données.

Il n’y a pas encore de régulation d’algorithme leader. Le RGPD n’en couvre qu’une partie. L’une des raisons est qu’il est difficile de réguler les algorithmes eux-mêmes et une autre est que la régulation des algorithmes est intégrée dans les réglementations sectorielles. Par exemple, Bâle réglemente la manière dont les algorithmes doivent être construits et déployés dans les banques. Il existe des réglementations similaires dans les soins de santé. Des réglementations potentiellement conflictuelles ou qui se chevauchent rendent difficile la rédaction d’une réglementation algorithmique plus large. Néanmoins, les régulateurs de l’UE, du Royaume-Uni et de Singapour prennent l’initiative de fournir des orientations détaillées sur la manière de gouverner et d’auditer les systèmes d’IA.

Bâle I a été rédigé il y a plus de trois décennies en 1988. Bâle II en 2004. Bâle III en 2010. Ces règlements établissent les normes sur la façon dont les modèles de risque doivent être construits, les processus à prendre en charge pour ces modèles et la manière dont le risque affectera le affaires de la banque. Il a fourni un cadre commun pour discuter, mesurer et évaluer les risques auxquels les banques sont exposées. C’est ce qui se passe avec les directives détaillées publiées par EU / UK / SG. Tous adoptent une approche basée sur les risques et aident à définir les risques spécifiques de l’IA et les structures de gouvernance nécessaires.

Un cadre commun permet aux professionnels de partager rapidement des concepts, d’adhérer aux directives et de normaliser les pratiques. Bâle a conduit à l’émergence de gestionnaires des risques financiers et d’associations professionnelles des risques. Un nouveau poste de niveau C a également été créé, le Chief Risk Officer (CRO). Les CRO de banque sont indépendants des autres dirigeants et relèvent souvent directement du PDG ou du conseil d’administration.

Le GDPR a lancé ce développement pour la confidentialité des données. Il exigeait que les organisations de plus de 250 employés disposent d’un délégué à la protection des données (DPD). Cela a suscité un regain d’intérêt pour l’Association internationale des professionnels de la confidentialité. Les responsables en chef de la confidentialité et des données (CPO et CDO) sont également en augmentation. Avec une réglementation plus large de l’IA, une vague de gestionnaires de risques professionnels en IA et une communauté professionnelle mondiale se formeront autour d’elle. Les DPO sont la première itération.

Le travail combinera certaines fonctions et compétences des gestionnaires des risques financiers et des responsables de la protection des données. Un gestionnaire des risques financiers a besoin de compétences techniques pour construire, évaluer et expliquer des modèles. L’une de leurs principales tâches consiste à auditer les modèles de prêt d’une banque pendant leur développement et leur déploiement. Les DPD doivent surveiller la conformité interne, mener des évaluations d’impact sur la protection des données (DPIA) et servir de point de contact pour les cadres supérieurs et les régulateurs. Les gestionnaires des risques liés à l’IA doivent être techniquement compétents tout en ayant une bonne compréhension des réglementations.

Le développement de l’IA sera beaucoup plus lent. La réglementation est la principale raison pour laquelle les banques n’ont pas été à la pointe de l’innovation en IA. Les modèles de prêt ne sont pas mis à jour depuis des années pour éviter des travaux d’audit supplémentaires de la part des parties internes et externes.

Mais le développement de l’IA sera également beaucoup plus sûr. Les gestionnaires des risques liés à l’IA exigeront que l’objectif d’un modèle soit explicitement défini et que seules les données requises soient copiées pour la formation. Plus de données sensibles dans l’ordinateur portable d’un data scientist.

L’émergence du gestionnaire professionnel des risques liés à l’IA sera une aubaine pour les startups qui développent la confidentialité des données et l’audit de l’IA.

La confidentialité des données. Le développement de modèles sur des données personnelles nécessitera automatiquement un DPIA. Imaginez que les scientifiques des données doivent demander l’approbation avant de commencer un projet. (Indice: pas bon) Pour contourner ce problème, les scientifiques des données souhaiteraient des outils pour anonymiser les données à grande échelle ou générer des données synthétiques afin d’éviter les DPIA. Les opportunités pour les startups sont donc doubles: il y aura une demande de logiciels pour se conformer aux réglementations, et il y aura une demande de logiciels qui contournent ces réglementations, comme des solutions de données synthétiques sophistiquées.

Audit IA. La précision du modèle est un risque lié à l’IA pour lequel nous avons déjà des techniques d’évaluation communes. Mais pour les autres risques liés à l’IA, il n’y en a pas. Il n’y a pas de norme pour vérifier l’équité et la transparence. Rendre les modèles d’IA robustes aux attaques adversaires est toujours un domaine de recherche actif. Il s’agit donc d’un espace ouvert pour les startups, en particulier celles de l’espace IA explicable, pour aider à définir les normes et être le fournisseur préféré.

Les vues sont les miennes. Aussi sur kenn.io