Prendre ses responsabilités: IA, l'urgence d'une gouvernance

Imaginez que le nouvel outil d’IA de votre entreprise discrimine les personnes à la peau plus foncée ou encore, qu’elle divulgue les données personnelles des utilisateurs. Des scénarios comme celui-ci se produisent au moment même où vous lisez ces lignes. 

L’IA s’immisce rapidement dans nos vies, à la maison et au travail, et sa gouvernance devient plus urgente que jamais. Cela fait des décennies que nous connaissons les défis de l’IA, mais les développements des cinq dernières années ont transformé ces préoccupations en menaces réelles pour les droits et le bien-être de chacun. 

Certains organismes, comme le Parlement européen et l’État de New York, ont introduit des législations pour mettre en place des garde-fous autour du développement et de l’utilisation de l’IA. D'autres, comme le gouvernement britannique, avancent plus lentement, préférant une approche prudente en s'appuyant sur des lois existantes pour ne pas freiner l’innovation. Mais pendant ce temps, les entreprises adoptent l’IA à grande vitesse, sans pour autant aller au même rythme en ce qui concerne sa gouvernance.  

Ces questions ont été discutées lors d’un récent panel de la conférence GRC #Risk au Excel Centre de Londres. Le panel, que j’ai présidé, comprenait Teodora Pimpireva Tapping, responsable mondiale de la confidentialité chez Bumble, Eleonor Duhs, responsable de la confidentialité des données chez Bates Wells LLP et négociatrice principale pour le RGPD au Royaume-Uni, Ivan Djordjevic, architecte principal en sécurité, confidentialité et identité chez Salesforce, et Marc Rubbinaccio, responsable de la conformité chez Secureframe. 

La conférence, qui s’est tenue en octobre 2024, a réuni des experts en gouvernance, risques et conformité du monde entier pour discuter de ces questions et d’autres sujets connexes. 

Notre panel a abordé trois thèmes principaux : les défis actuels, les moyens de dépasser de simples listes de principes, et la nécessité de motiver la mise en place d’une gouvernance solide, notamment dans les contextes dépourvus de législation globale, comme au Royaume-Uni. 

Défis actuels 

Nous avons évoqué lors du premier panel un défi majeur qui n’est autre que la nécessité de collaborer de manière transversale entre les différentes fonctions de l’entreprise. La gouvernance de l’IA n’est pas seulement l’affaire de quelques spécialistes, c’est comme constituer une équipe de football : vous avez besoin de tout le monde, avocats, experts techniques, éthiciens et autres, qui travaillent ensemble vers un même objectif. 

Chez Sopra Steria, par exemple, le conseil de gouvernance de l’IA est composé de notre directeur technique, du directeur des informations et de la sécurité, du responsable juridique, du responsable des achats, du délégué à la protection des données et du responsable de la consultation éthique. 

Il peut être très compliqué pour les petites et moyennes entreprises, qui n’ont pas les ressources nécessaires pour disposer d’une supervision spécialisée de la gouvernance de l’IA, de se conformer aux lois. En particulier dans certaines juridictions comme le Royaume-Uni, qui dispose actuellement d’un patchwork de lois et de règlements qui régissent collectivement l’utilisation de l’IA (tels que le Equality Act, la loi britannique sur le RGPD et d’autres). 

Principes contre pratiques 

Bien qu’il soit important de suivre des principes et règles de base pour mettre en place l’IA dans son entreprise, ils ne peuvent être la seule référence. Parfois, certains principes entrent en conflit et créent une confusion surtout si, encore une fois, il n’y a pas de directive claire sur les priorités à privilégier.  

Prenons l'exemple d'une situation où la rentabilité entre en conflit avec l'explicabilité. Bien qu'il soit tentant d'affirmer que l'explicabilité doit toujours primer, dans les faits, les entreprises doivent trouver un équilibre entre transparence et rentabilité, tout en respectant l'éthique et la loi. Devrait-on demander à OpenAI et Anthropic de ne plus proposer des outils comme ChatGPT et Claude ou obliger les entreprises de ne plus les utiliser simplement parce que leurs résultats ne sont pas totalement explicables ?  

Encore une fois, l’importance d’une collaboration transversale entre les différentes fonctions a été soulignée comme un élément essentiel pour transformer efficacement des principes en politiques, puis en normes applicables. La question de savoir quelles normes adopter (ISO27001, ISO42001, le cadre de la gestion des risques du NIST…) reste un sujet clé à trancher. 

Motivation 

Bien que les entreprises reconnaissent la nécessité d’une gouvernance, elles pourraient estimer qu’elles ne seront pas en mesure de justifier le budget si aucune législation ne l’impose. Cependant, dans ce contexte, une bonne gouvernance peut être un facteur différenciant, et des certifications telles que l’ISO42001 deviendront de plus en plus précieuses pour aider les fournisseurs à se démarquer dans un marché saturé. Une bonne gouvernance peut également permettre aux entreprises de mieux structurer et maîtriser les défis posés par l’IA, souvent perçus comme source de confusion et de désordre. 

Enfin, la Déclaration universelle des droits de l’homme nous rappelle que des principes fondamentaux comme la non-discrimination, la confidentialité et la liberté d’expression s’imposent à tous. Même si certaines organisations ne sont pas soumises à des cadres comme l’Acte sur l’IA de l’UE, elles ne peuvent ignorer cet appel universel. 

Principaux enseignements  

Pour conclure, les panélistes nous ont laissé quelques enseignements clés :  

• Auditez vos systèmes d’IA pour savoir où ils sont utilisés, 

• Ne vous laissez pas emporter par la hype des nouvelles technologies, 

• Assurez-vous que chacun connaît ses responsabilités vis-à-vis des modèles d’IA utilisés dans votre entreprise

• Exigez que vos fournisseurs rendent compte de la manière dont ils mettent en œuvre la gouvernance de l’IA.