Votre navigateur ne prend pas en charge JavaScript !

FAQ sur l'IA

Contexte de l'intelligence artificielle (IA)

Avec la signature par le gouverneur Younkin du décret exécutif 30 sur l'intelligence artificielle (IA) et la publication par la suite de la norme des politiques d'utilisation de l'intelligence artificielle par le COV et de la norme sur l'intelligence artificielle, les agences concernées par les obligations contenues dans ces documents ont posé de nombreuses questions sur la conformité.

Ces questions concernent le processus d'enregistrement et approbation de l'intelligence artificielle et leurs réponses vous donneront des conseils sur les technologies d'IA qui doivent être enregistrées, ainsi que des mises en garde et des recommandations concernant l'utilisation de l'IA.

Pour plus d'informations, consultez la page de la VITA consacrée à l'intelligence artificielle.

Questions fréquemment posées (FAQ) sur l'IA

À l'aide ! J'ai des questions sur l'intelligence artificielle (IA) et je ne sais pas par où commencer. Qui peut nous aider si nous avons des questions qui ne sont pas posées ici ?

Toutes les agences, y compris les agences du pouvoir exécutif, de l'enseignement supérieur et les agences indépendantes, doivent consulter la liste des CAM et autres contacts VITA pour obtenir de l'aide.

Vous pouvez envoyer des questions supplémentaires à l'adresse : vccc@vita.virginia.gov

Pour toute question technique concernant des technologies d'IA spécifiques, veuillez contacter votre EA attitré.

Mon agence souhaite utiliser une technologie d'IA. Que devons-nous faire ?

Conformément à la norme des politiques d'utilisation de l'intelligence artificielle par le COV, toutes les agences du pouvoir exécutif (telles que définies dans le décret exécutif n° 30) doivent enregistrer leur utilisation de systèmes d'IA internes et externes pour supervision et approbation afin de garantir l'utilisation fiable, sûre et sécurisée de ces systèmes.

L'enregistrement et l'approbation de l'intelligence artificielle est un processus en plusieurs étapes qui nécessite un enregistrement dans Archer et des approbations dans Planview de la part de VITA, du directeur de votre agence et de votre secrétaire (uniquement pour l'IA externe). Si vous avez des questions sur l'enregistrement de votre technologie d'IA dans Archer, contactez votre EA attitré. Si vous avez des questions sur Planview, contactez votre analyste ITIMD attitré.

Bien que le décret exécutif n° 30 ne prévoie pas d'exemption pour les utilisations déjà existantes de l'IA, il n'est pas nécessaire d'inclure toutes les utilisations dans le registre. En cas de doute, contactez votre EA attitré.

  • Si la solution d'IA répond à tous les critères suivants, l'enregistrement n'est pas obligatoire :
    • À usage interne
    • N'utilise pas de données personnelles
    • Non intégré dans un système de production (exemples de systèmes de non-production : bac à sable, systèmes de développement et de test utilisant uniquement des données synthétiques ou accessibles au public).
  • Si la solution d'IA répond à l'un des critères suivants, l'enregistrement est obligatoire :
    • À usage externe
    • Utilise les données personnelles
    • Utilisé dans un système de production
    • Soutient les processus essentiels à la mission de l'agence
    • Inclut des données sensibles telles que définies dans la norme de sécurité de l'information SEC-530
    • Nécessite une révision COV Ramp pour l'évaluation des services cloud

Dois-je m'enregistrer et obtenir une approbation pour utiliser des produits d'IA disponibles gratuitement (ChatGPT ou Gemini, par exemple) ?

Toute utilisation de l'IA, y compris celle impliquant des produits gratuits et largement répandus, doit être approuvée selon la procédure décrite dans les normes. En l'absence d'approbation officielle, aucun produit d'IA ne doit être mis en œuvre par un fonctionnaire d'une agence de l'État, y compris en téléchargeant des produits gratuits sur des appareils informatiques de l'État ou en utilisant ces produits à des fins officielles.

Comme le prévoient le décret exécutif n° 30 et les normes d'IA, la procédure d'approbation vise à garantir que les agences du Commonwealth utilisent l'IA de telle manière que les données des citoyens sont protégées, que les biais sont limités dans les applications et que l'intérêt des agences soit pris en compte. Les produits disponibles gratuitement, tout comme les produits d'IA qu'une agence achète, présentent un risque d'utilisation inappropriée. Par exemple, des reportages récents ont suggéré que certains produits d'IA gratuits génèrent parfois des résultats biaisés qui peuvent être en contradiction avec les normes énoncées dans le décret exécutif n° 30.

Quelles sont les situations qui ne sont pas soumises aux politiques et aux normes en matière d'IA (y compris le registre de l'IA) ?

Les politiques et normes en matière d'IA (y compris le registre de l'IA) ne s'appliquent pas dans les cas suivants : 

  • IA utilisée dans les systèmes de défense ou de sécurité du COV (exemples : systèmes de cybersécurité, CVC ou SCADA)
  • IA intégrée dans des produits commerciaux courants (exemples : montre intelligente, iPhone, logiciel de bureau commercial comme Adobe Photoshop ou application logicielle gérée en tant que service où le Commonwealth ne possède pas l'application logicielle ni les données utilisées)
  • Activités de recherche et développement dans l'IA ou programmes d'enseignement dans les établissements publics d'enseignement supérieur 

Quels sont quelques exemples d'activités de recherche et développement ou de programmes d'enseignement dans des établissements publics d'enseignement supérieur exemptés ?

Les activités de recherche et développement dans l'IA ou les programmes d'enseignement dans les établissements publics d'enseignement supérieur sont exemptés de la politique et des normes en matière d'IA et n'ont pas besoin d'être gérés dans le registre de l'IA.  Par exemple :

  • IA utilisée dans le cadre d'une initiative de recherche où l'IA peut aider des sujets humains à effectuer une tâche
  • Recherche d'un corpus de connaissances assistée par l'IA
  • Analyse des données de recherche assistée par l'IA
  • Recherche sur les méthodes, algorithmes et technologies de l'IA
  • IA utilisée en classe où les étudiants utilisent l'IA générative pour leurs travaux
  • IA utilisée en classe où les enseignants évaluent et notent les travaux des étudiants

VITA recommande que l'utilisation de l'IA à des fins de recherche soit régie par le programme IRB (Institutional Review Board) de l'établissement pour la supervision de la recherche, afin de garantir que les sujets humains sont traités de manière éthique et responsable, et que des mesures de protection sont appliquées pour assurer le bien-être et le respect de la vie privée des sujets (y compris leurs données).

VITA recommande que l'utilisation de l'IA dans les programmes d'enseignement soit régie par le Département de l'Éducation de Virginie pour les établissements K-12 (de la maternelle à la terminale) et par le Conseil de l'enseignement supérieur de l'État pour les établissements d'enseignement supérieur.

Quels sont quelques exemples d'utilisations de l'IA dans les institutions publiques d'enseignement supérieur qui ne sont PAS exemptées ?

Bien que les activités de recherche et développement dans l'IA ou les programmes d'enseignement dans les établissements publics d'enseignement supérieur sont exemptés de la politique et des normes en matière d'IA, les activités administratives institutionnelles qui impliquent des données du Commonwealth (y compris les données sur les étudiants et les finances), ne sont pas exemptées.  Par exemple :

  • IA utilisée dans le processus d'admission des étudiants
  • IA utilisée pour attribuer des bourses, des subventions et d'autres formes d'aide financière
  • IA utilisée pour recruter et sélectionner le personnel et gérer les performances des employés
  • IA utilisée pour gérer les fonctions opérationnelles des institutions, y compris les processus financiers, d'achats, immobiliers, d'installations et de technologies de l'information
  • IA utilisée pour accéder aux données sensibles des institutions, y compris celles réglementées par la HIPAA, la FERPA et l'IRS

Pourquoi la procédure d'enregistrement et d'approbation de l'IA est-elle séparée de COV Ramp ? Pourquoi ne pouvons-nous pas simplement soumettre d'abord à COV Ramp ?

COV Ramp et la procédure d'enregistrement et d'approbation de l'IA répondent à des besoins liés mais distincts.

  • L'enregistrement et l'approbation de l'IA permettent d'évaluer l'intention d'utiliser une technologie d'IA spécifique pour un usage spécifique et de démontrer que les préoccupations soulevées par la politique d'utilisation sont prises en compte
  • COV Ramp établit la viabilité opérationnelle du fournisseur et la capacité du Commonwealth à collaborer avec lui

En outre, la soumission à COV Ramp entraîne des frais pour l'agence. En soumettant d'abord l'enregistrement et l'approbation de l'IA, nous pouvons éviter des frais inutiles au cas où une utilisation proposée serait rejetée par VITA ou le secrétariat. 

La demande d'enregistrement de l'IA deviendra-t-elle une information publique ?

L'objectif du registre de l'IA est de garantir une transparence totale concernant l'utilisation de l'IA. Ceci est conforme à la norme des politiques d'utilisation de l'intelligence artificielle par le COV (Section IV, Clauses de non-responsabilité obligatoires), qui identifie plusieurs critères à respecter.

Le registre de l'IA est soumis à la loi sur la liberté de l'information (FOIA). Il existe toutefois des exemptions en matière de cybersécurité, qui seront appliquées le cas échéant. Voir le Code de Virginie § 2.2-3705.2(2) & (14). Les dispositions générales de la FOIA prévoient des situations dans lesquelles certaines informations devront être expurgées et/ou extraites d'une base de données. Voir, par exemple, le Code de Virginie §§ 2.2-3704(G) & 2.2-3704.01.

Si des agences saisissent dans le registre des informations qu'elles considèrent comme sensibles ou confidentielles, elles doivent clairement identifier ces informations afin de faciliter l'examen ultérieur des informations qui doivent être divulguées publiquement.

La technologie d'IA que je souhaite utiliser ne figure pas sur la feuille de route des technologies d'IA. Cela signifie-t-il que je ne peux pas l'utiliser ?

L'objectif de la feuille de route de la technologie de l'intelligence artificielle du COV est d'identifier les solutions d'IA qui ont été examinées en vue de leur utilisation, ainsi que les domaines sur lesquels une agence pourrait souhaiter se pencher. Si une certaine solution d'IA ne figure pas sur la feuille de route, une agence peut la soumettre au processus d'enregistrement et d'approbation de la supervision de l'IA.

Toutes les utilisations proposées de la technologie d'IA doivent être examinées en vue de leur enregistrement, conformément aux directives ci-dessus, qu'elles figurent ou non sur la feuille de route de la technologie d'IA.

Nous souhaitons que les membres de l'agence puissent utiliser des solutions d'IA générative telles que Copilot et ChatGPT à des fins de recherche et pour lancer des idées. L'enregistrement est-il obligatoire ?

Les utilisations des outils d'IA générative qui

  • sont à usage interne
  • ne génèrent pas de décisions ni de politiques
  • n'utilisent pas de données du Commonwealth ni de données personnelles
  • n'entrent pas dans le cadre des processus opérationnels de base de l'agence
  • ne sont pas intégrées dans un système de production

ne nécessitent pas d'enregistrement d'IA.

Et si ma technologie d'IA intègre des données personnelles ?

Une agence qui utilise des données personnelles dans une solution d'IA doit être en mesure de décrire comment ces données sont utilisées et protégées.

  • Détaillez les données spécifiques qui seront incluses, justifiez leur utilisation et fournissez une déclaration de valeur pour ce qui sera généré
  • Expliquez comment l'ensemble de données sera sécurisé et identifiez les personnes ou les rôles qui auront accès aux données
  • Expliquez le fonctionnement de l'algorithme d'IA sur l'ensemble de données et comment le résultat est généré
  • Identifier comment les résultats seront anonymisés de manière appropriée

Données du Commonwealth ne doivent pas être utilisées pour le développement et/ou l'amélioration de modèles d'IA.

Certaines personnes apportent des enregistreurs d'IA à des réunions publiques et enregistrent les débats. Devons-nous les autoriser à faire cela ?

Lorsque des citoyens apportent des enregistreurs d'IA à des réunions, qu'elles soient publiques ou privées, ils sont autorisés à enregistrer tant qu'ils ne perturbent pas le déroulement de la réunion. La Virginie est une juridiction avec consentement d'une seule partie (Code de Virginie § 19.2-62), ce qui signifie que tant qu'au moins un participant à une conversation consent à l'enregistrement de la communication, il n'est pas illégal d'enregistrer la conversation. En outre, la FOIA ou d'autres lois peuvent accorder le droit d'enregistrer les réunions ouvertes au public. Consultez votre conseiller juridique si vous avez des questions à ce sujet.

Comment savoir si une solution utilisée par notre agence contient de l'IA ?

Vous pouvez vous attendre à ce que certains produits du secteur de l'informatique intègrent à l'avenir des capacités d'IA sous une forme ou une autre. Des solutions logicielles utilisées actuellement dans votre agence en feront probablement partie.

  • Les agences doivent être attentives aux changements apportés aux produits de leur portefeuille qui pourraient introduire des composants ou des capacités d'IA
  • Les agences doivent faire preuve de prudence face aux affirmations des fournisseurs qui exagèrent ou désinforment sur l'utilisation de l'IA par un produit ou un service afin de susciter l'intérêt des clients, une pratique connue sous le nom de « AI washing »

L'intelligence artificielle est de plus en plus présente dans les produits commerciaux courants. Devons-nous tout enregistrer ?

En ce qui concerne l'IA intégrée dans des produits commerciaux courants, notre intérêt pour l'enregistrement de la technologie doit se concentrer sur la question de savoir si l'IA a) modifie les données saisies ou b) prend des décisions externes.

La simple présence de l'IA dans un produit ne suffit pas pour nécessiter un enregistrement ; nous ne nous intéressons à l'enregistrement que lorsque le composant IA est utilisé pour générer un produit final. Par exemple, Archer dispose d'un module d'IA, mais le COV ne l'utilise pas et il ne peut pas être invoqué séparément par un utilisateur final.

Nous souhaitons développer une solution d'IA personnalisée. Quelles données sommes-nous autorisés à utiliser pour former l'IA et de quelles données devons-nous nous préoccuper ?

Toute solution d'IA développée par le COV doit être en mesure de démontrer l'autorisation d'utiliser les ensembles de données concernés, y compris ceux provenant de sources publiques, et être en mesure d'énumérer ces sources afin d'expliquer le fonctionnement de la solution. Tous les ensembles de données utilisés avec des solutions d'IA doivent être documentés dans l'outil d'architecture d'entreprise du COV. Consultez votre conseiller juridique ou le Bureau du procureur général pour toute question relative à la propriété intellectuelle ou d'autres conditions requises pour l'autorisation d'utilisation.

Est-il acceptable d'utiliser l'IA pour générer du code logiciel destiné à nos systèmes de production ?

L'IA utilisée pour générer du code doit faire l'objet d'un contrôle humain lors de la mise en œuvre de ce qui est produit. Une personne doit inspecter le produit généré avant son utilisation dans une agence et la solution doit être testée avant d'être mise en production.