EVODANT GROUP INC.
← Perspectives | 2025-08-20

Le Fossé de l'Auditabilité

Vous ne pouvez pas auditer de manière fiable une décision probabiliste. Pourquoi la conformité exige un raisonnement déterministe.

De la Préparation à la Responsabilité

Début août, les premières obligations de gouvernance pour les modèles d’IA à usage général (GPAI) en vertu de l’AI Act de l’UE sont entrées dans leur première phase d’applicabilité.

Pendant la majeure partie des dix-huit derniers mois, en anticipation, l’industrie s’est préparée de manière familière. Les cabinets de conseil ont vendu des « cadres de préparation », les équipes juridiques ont rédigé des avis de non-responsabilité et les fournisseurs ont étiqueté leurs présentations comme « conformes ». Mais alors que l’applicabilité a commencé et que la surveillance s’intensifie, une réalité plus froide émerge.

Exemple rapide d’un audit réglementaire : une institution financière se voit demander d’expliquer pourquoi une transaction a été signalée et gelée six mois plus tôt. La version du modèle qui a produit la décision n’est plus déployée. Le prompt a changé. L’inférence originale ne peut pas être rejouée. Ce qui reste est un score de probabilité sans trace causale défendable.

La conformité ne consiste pas à promettre la sécurité. Elle consiste à la démontrer.

Et les décisions probabilistes ne sont pas audibles de manière fiable.

Le Problème de la Boîte Noire

Un problème fondamental auquel l’IA d’entreprise est confrontée aujourd’hui est la responsabilité.

Les grands modèles de langage (LLM) modernes sont des systèmes connexionnistes. Ils fonctionnent en apprenant des corrélations statistiques à travers des milliards de paramètres. Lorsqu’un LLM produit une sortie, il n’exécute pas une règle formellement définie ou ne traverse pas une chaîne explicite de logique symbolique. Il échantillonne à partir d’une distribution de probabilité pour générer le prochain token le plus probable étant donné son contexte.

Lorsqu’on demande à un LLM pourquoi il a produit une sortie particulière, il ne renvoie pas une trace de raisonnement exécutable. Il génère une nouvelle réponse probabiliste qui ressemble à une explication. Cette distinction est critique.

Auditer les données d’entraînement d’un modèle, valider ses métriques d’évaluation ou appliquer des techniques d’explicabilité post-hoc n’est pas équivalent à auditer une décision spécifique prise à un moment précis. La gouvernance du modèle et la transparence statistique ne fournissent pas, à elles seules, une auditabilité au niveau de la décision.

Dans des contextes créatifs ou exploratoires, ce comportement est acceptable. Dans des environnements réglementés, tels que la finance, la défense ou les infrastructures critiques, cela introduit une incertitude inacceptable.

Imaginez-vous devant un régulateur ou un tribunal et expliquant qu’un prêt a été refusé, une habilitation de sécurité révoquée ou un itinéraire de chaîne d’approvisionnement détourné parce que « les embeddings ont convergé dans un espace de haute dimension ».

Cette explication peut être techniquement exacte, mais elle n’est pas opérationnellement ou légalement suffisante.

La Solution Boîte de Verre : Ingénierie Hybride Neurosymbolique

Chez Evodant, nous pensons que résoudre le problème de la boîte noire ne nécessite pas de modèles plus grands, de meilleurs prompts ou des couches d’explication de plus en plus élaborées. Cela nécessite un changement délibéré dans l’architecture du système.

Nous plaidons pour une approche hybride neurosymbolique.

Les premiers systèmes neurosymboliques ont établi une fondation importante en séparant la perception du raisonnement. En pratique, cependant, les environnements de haute assurance exigent plus qu’un simple passage de relais entre les composants neuronaux et symboliques. Ils nécessitent une architecture qui intègre le raisonnement déterministe avec l’application des politiques, la gestion de l’incertitude et les contrôles d’autorisation tout au long du cycle de vie de la décision.

Une architecture hybride neurosymbolique préserve la séparation fondamentale des préoccupations tout en l’étendant pour répondre aux contraintes opérationnelles et réglementaires du monde réel.

1. Réseaux de Neurones (La Couche de Perception)

Les systèmes neuronaux excellent dans le traitement des entrées non structurées : lire des documents, interpréter des données de capteurs, reconnaître des modèles dans l’imagerie ou transcrire de l’audio. Leur rôle est de percevoir l’environnement et de transformer l’ambiguïté en représentations structurées.

Cette couche peut produire des scores de confiance, des classifications ou des faits extraits, mais elle ne prend pas de décisions. Ses sorties sont traitées comme des entrées pour le raisonnement en aval, et non comme des conclusions faisant autorité.

2. Raisonnement Symbolique (Le Cœur Déterministe)

Une fois l’information structurée, elle est transmise à une couche de raisonnement déterministe basée sur des règles. Cette couche opère sur une logique explicite : si A et B, alors C.

Les règles métier, les contraintes réglementaires et la logique de mission sont encodées explicitement. Les chemins de décision sont énumérables, rejouables et inspectables. Étant donné les mêmes entrées structurées et règles, le système produira le même résultat.

Ce cœur déterministe est là où la responsabilité est appliquée.

3. Couches de Contrôle Hybrides (Politique, Incertitude et Autorisation)

Dans un système hybride neurosymbolique, le raisonnement déterministe est augmenté, mais non remplacé, par des couches de contrôle supplémentaires qui gèrent la complexité du monde réel :

  • L’évaluation des politiques régit quelles règles s’appliquent dans quels contextes opérationnels.
  • La gestion de l’incertitude garantit que les entrées ambiguës ou à faible confiance sont signalées, contraintes ou escaladées plutôt qu’agies silencieusement.
  • Les contrôles d’autorisation appliquent qui, ou quoi, est autorisé à déclencher ou approuver des actions à hautes conséquences.

Ces composants sont explicites, auditables et configurables. Ils n’introduisent pas de prise de décision probabiliste au point d’exécution. Au lieu de cela, ils contraignent et gouvernent la manière dont la logique déterministe est appliquée.

4. Explicabilité et Exécution

Parce que les décisions sont produites par des règles explicites opérant sur des entrées structurées en vertu de politiques définies, la raison de tout résultat n’a pas besoin d’être inférée après coup.

Le système peut identifier :

  • Les preuves spécifiques utilisées
  • Les règles et politiques évaluées
  • L’état d’autorisation au moment de l’exécution
  • La séquence dans laquelle les conditions ont été appliquées

Les arbres de décision peuvent être rejoués, et les contraintes de gouvernance peuvent être formellement vérifiées comme ayant été appliquées au moment où la décision a été prise.

C’est ce qui produit une véritable architecture Boîte de Verre.

Ingénier pour la Responsabilité

Une approche hybride neurosymbolique n’est pas sans coût. Elle nécessite une modélisation de domaine explicite, une gouvernance des règles disciplinée et une maintenance continue. Ce ne sont pas des charges accessoires ; ce sont les exigences structurelles de la responsabilité dans les systèmes à hautes conséquences.

Le déterminisme n’émerge pas accidentellement. C’est une propriété ingéniée du système.

Vers la Vérification

L’AI Act de l’UE fait partie d’une convergence plus large. Les efforts de gouvernance de l’IA basés sur les risques du Canada en vertu de la LIAD (AIDA), le cadre de gestion des risques mis à jour du NIST, les orientations exécutives émergentes des États-Unis et l’évolution des pratiques de souscription d’assurance signalent tous la même attente.

Les régulateurs exigent la traçabilité. Les assureurs exigent la prévisibilité. Les actionnaires exigent la responsabilité.

Si un système compatible IA ne peut pas reproduire et défendre ses décisions passées sans approximation, reconstruction narrative ou inférence probabiliste, il aura du mal à répondre aux normes émergentes de conformité et de risque, quelle que soit la sophistication du modèle.

Un test décisif pratique est simple : Si un régulateur vous demandait aujourd’hui de rejouer la décision assistée par l’IA d’hier, pourriez-vous le faire exactement, en utilisant les mêmes entrées, règles et contraintes ?

Si votre stratégie d’IA dépend de systèmes qui s’expliquent en générant des justifications plausibles après coup, vous n’avez pas de stratégie de gouvernance. Vous avez une exposition non gérée.

Il est temps d’arrêter d’essayer d’auditer les probabilités et de commencer à ingénier le déterminisme.