Les modèles de décisions ont pour but de réaliser un choix de manière automatique sans, ou en réduisant, l'intervention humaine. L'optique est de pouvoir traiter un grand nombre de décisions rapidement tout en retirant certains biais que pourrait avoir un décideur humain~\cite{al2021role}. Par exemple, un modèle peut décider quelle publicité va voir un utilisateur d'une page web~\cite{choi2020identifying} ou quelle écriture comptable présente une anomalie dans une logique d'audit~\cite{ucoglu2020current}. Appliquée à certains milieux, cette méthode de décision soulève de nombreuses critiques et inquiétudes qui ont investi le débat public. Ces critiques et inquiétudes sont théorisées dans la littérature scientifique au travers des six défis de l'IA: \begin{enumerate} \item Utilité \item Équité \item Explicabilité/Transparence \item Confidentialité \item Sécurité \item Consommation d'énergie \end{enumerate} \subsection{Utilité} L'utilité est le défi primordial pour tout modèle : il s'agit que le modèle remplisse suffisamment bien la tâche pour laquelle il a été conçu. Par exemple, un modèle qui sert à prédire si un grain de beauté est un cancer de la peau ou non ne doit pas générer de faux négatifs, sinon comment avoir confiance en sa décision ? L'expression de \textquote{remplir suffisamment bien la tâche} a toute son importance dans la mesure où seuls les modèles ayant une tâche triviale ne se trompent pas. Il revient donc aux personnes qui créent ces modèles de déterminer, en fonction du contexte d'application, l'erreur maximale que peut atteindre le modèle pour qu'il soit malgré tout considéré comme viable et utilisable en production. \FloatBarrier \subsection{Équité} \label{sec:contexte-eq} L'élaboration de modèles est soumise à différents biais qui influencent son fonctionnement~\cite{surveyfair}. C'est-à-dire que le modèle se comporte différemment pour différents sous-ensembles de la population. Cela peut donner lieu à des discriminations, notamment dans les modèles de décisions qui influencent directement la vie de personnes. La justice prédictive telle qu'utilisée aux Etats-Unis en est un bon exemple. Dans ce cas, un modèle est utilisé pour prédire si un individu jugé coupable a une forte probabilité d'être récidiviste ou non. En utilisant de tels modèles nous mesurons que les afro-américains (\textit{blacks}) sont plus souvent prédits comme ayant une forte chance d'être récidivistes que le reste de la population (\textit{whites})~\cite{dressel2018accuracy}. En plus d'être un enjeu, Al-Alawi et al.~\cite{al2021role} avancent que l'utilisation de l'IA peut être une solution plus équitable que la décision humaine dans le processus de recrutement. L'équité dans les modèles peut-être imposée lors de l'entraînement. Nous étudierons en détail ce processus dans la Section~\ref{sec:background-eq}. \FloatBarrier \subsection{Explicabilité} \label{sec:contexte-expl} Le concept de boîte noire\footnote{\textit{Black box}} est une manière imagée de dire qu'on ne comprend pas ou qu'on ne peut pas avoir accès au fonctionnement d'un programme. On l'utilise alors comme un outil qui prend une entrée et donne une sortie, un peu à la manière de la définition d'IA que nous avons illustrée dans la Figure~\ref{fig:contexte-IAUE}. Cette approche de l'IA est problématique pour plusieurs raisons qu'illustrent Quinn et al.~\cite{quinn2022three} dans le domaine médical : \begin{itemize} \item Les boîtes noires manquent de garanties quant à la qualité de la prédiction et rendent complexe l'étude des biais. \item Les boîtes noires ne permettent pas l'interprétation des résultats. \item Les boîtes noires ne peuvent pas prendre en compte toutes les subtilités des cas particuliers (de patients). \end{itemize} Les réseaux de neurones sont une part prépondérante de l'IA. Or, de par leur fonctionnement interne complexe, que nous explorerons à la Section~\ref{sec:background-ml} et le fait que leur compréhension théorique soit encore lacunaire, ils sont souvent utilisés en boîte noire~\cite{yuan2022explainability}. Pour pallier cela il existe certaines méthodes qui essaient de produire des explications automatisées compréhensibles des réseaux de neurones~\cite{yuan2022explainability,du2019techniques,rai2020explainable}. \FloatBarrier \subsection{Confidentialité} D'une manière générale, l'intelligence artificielle brasse une quantité astronomique de données~\cite{villani2018donner}. Ce brassage s'opère à deux niveaux : au moment de la création du modèle et au moment de son utilisation en production. Pour créer des modèles performants, il est nécessaire d'utiliser beaucoup de données. Ces données servent à choisir les bons paramètres du modèle au travers de diverses méthodes statistiques et d'optimisations ; on les appelle des données d'entraînement. Les modèles les plus récents et performants nécessitent un grand nombre de paramètres ; citons par exemple le LLM LLaMA qui possède 65 milliard de paramètres ~\cite{touvron2023llama}! Ce grand nombre de paramètres a l'effet indésirable de mémoriser des informations potentiellement sensibles sur les données d'entraînement~\cite{shokri2017membership}. L'information contenue dans les données d'entraînement est comme résumée, compressée dans la masse - a priori incompréhensible pour un humain - des paramètres du modèle. Ainsi un individu malveillant, que l'on appellera \emph{attaquant} ou \emph{adversaire}, pourra retrouver des informations sur les données d'entraînement juste en utilisant les paramètres du modèle~\cite{shokri2017membership,yeom2018privacy,carlini2022membership}. \begin{figure} \centering \input{contexte/figure/tikz/train} \caption{Les données d'entraînement servent à trouver les paramètres du modèle. L'attaquant utilise les paramètres pour retrouver des informations sur les données d'entraînement.} \label{fig:contexte-train} \end{figure} Un autre risque de fuite de données se trouve au moment de l'utilisation du modèle, après son entraînement. A ce moment, les utilisateurs envoient en entrée du modèle des données qu'ils peuvent vouloir garder confidentielles. Cependant la sortie du modèle, qui a vocation à être partagée, peut révéler une partie des informations sensibles contenues dans les données d'entrée de l'utilisateur~\cite{yeom2018privacy,zhao2021infeasibility,jayaraman2022attribute,attriguard,Song2020Overlearning,malekzadeh2021honestbutcurious}. Il s'agit du principal risque de manquement à la confidentialité que nous allons explorer dans ce manuscrit. Nous y reviendrons donc dans la Section~\ref{sec:background-conf} pour une présentation de l'état de l'art et au Chapitre~\ref{sec:aia} pour notre contribution. Faisons un rapide point sur la terminologie de ces attaques. Quand l'adversaire infère, si une donnée a servi à l'entraînement du modèle, c'est une \emph{attaque d'appartenance (MIA)}\footnote{\textit{Membership inference attack}}. Quand l'adversaire cherche à retrouver des informations sur les données d'entraînement c'est une \emph{attaque de reconstruction}. Quand l'adversaire cherche à retrouver une statistique globale de la base de données d'entraînement, par exemple la proportion d'hommes et de femmes, c'est une \emph{attaque d'inférence de propriété}\footnote{\textit{Property inference attack}}. Quand l'adversaire cherche à inférer un attribut sensible c'est une \emph{attaque d'inférence d'attribut sensible (AIA)}\footnote{\textit{Attribut inference attack}}. \FloatBarrier \subsection{Sécurité} \label{sec:contexte-secu} Le processus d'entraînement des réseaux de neurones est souvent secret et les utilisateurs ont accès uniquement à un modèle entraîné. Dans ce contexte un adversaire qui a accès à l'entraînement du modèle, dans un cadre d'apprentissage décentralisé par exemple, peut injecter des portes dérobées qui lui permettront de modifier les futures prédictions à sa convenance. Considérons le scénario fictif suivant : une entreprise construit un modèle commercial ayant pour but la prédiction du récidivisme. Cette entreprise vend ce modèle à l'état de Floride des Etats-Unis. Si un adversaire avait introduit une porte dérobée il pourrait choisir quelle serait la prédiction du modèle, décidant ainsi unilatéralement si le juge va penser que le coupable a une forte chance d'être récidiviste ou non. Le principe de ce genre d'attaque est assez simple : l'adversaire cache dans les données d'entrée un déclencheur\footnote{trigger} que le modèle apprend à reconnaître~\cite{gao2020backdoor, doan2021lira}. Ainsi, quand le modèle est utilisé en production, l'adversaire peut utiliser le déclencheur sans avoir accès à l'ordinateur du juge ou au serveur qui fait tourner le modèle, il suffit de modifier la donnée d'entrée. \subsection{Consommation d'énergie} \label{sec:contexte-conso} Nous vivons une crise climatique majeure due à l'activité humaine qui présage de graves changements pour l'ensemble du vivant ainsi que dans nos modes de vie~\cite{pielke2005hurricanes,khasnis2005global,houghton2005global,melillo2014climate,mcnutt2013climate} Bien que l'IA soit prometteuse pour nous aider à anticiper ces changements~\cite{villani2018donner} il ne faut pas que son développement et l'entraînement de modèles accélèrent le changement climatique et le réchauffement climatique. Concrètement, le LLM Llama2 a émis 539 tonnes de $\text{CO}_2$ en prenant en compte les divers plans de compensation carbone de Meta~\cite{touvron2023llama}. L'empreinte carbone d'un français étant estimée à 9,2 tonnes de $\text{CO}_2$ par an~\cite{carbonfr} c'est donc à peu près l'équivalent de 59 personnes pendant un an qui a été généré par Llama2. C'est donc dans l'optique d'entraîner des modèles bien proportionnés (ayant peu de paramètres) et pouvant fonctionner sur des ordinateurs portables ou des téléphones portables\footnote{\textit{Smartphone}} que sont nées les idées d'IA frugale et embarquée~\cite{schwartz2020green,verdecchia2023systematic,shadrin2019designing}. Comme nous l'avons vu plus haut, il s'agit aussi d'un positionnement stratégique de la France~\cite{stratfr}. On comprend bien le caractère primordial et particulier de l'utilité. A quoi bon avoir un modèle équitable ou qui ne consomme presque pas d'énergie si ses prédictions sont toujours fausses ? Ainsi, quand nous évaluons un modèle au travers des autres défis, nous mettons toujours ce résultat en parallèle avec l'utilité. De manière plus générale, les six défis sont liés entre eux et l'étude de ces liens est un sujet de recherche florissant~\cite{dai2022comprehensive,franco2021toward,grant2020show}. C'est dans ce cadre que se situe le travail réalisé dans ce manuscrit : nous explorerons à partir du Chapitre~\ref{sec:fini} les liens entre la confidentialité et l'équité. Plus précisément les AIA et les différentes définitions techniques qui sont proposées pour l'équité.