Retour

4 étapes pour mettre en œuvre une IA responsable dans l’entreprise

IA ‘digne de confiance’, IA responsable : par où commencer pour initier une démarche de mise en conformité au futur règlement européen sur l’IA ? Comment exploiter tout le potentiel de l’IA au service de la stratégie de l’entreprise ?

1. Constituez votre équipe

Compte tenu de la nature de l’IA, les professionnels de la protection de la vie privée se trouvent dans une position unique pour piloter cette action en faveur d’une IA responsable dans l’ensemble de leur organisation, en équilibrant l’innovation de l’IA et la confidentialité des données des utilisateurs.

Cependant, le développement et l’utilisation de l’IA nécessitent la combinaison de divers rôles pour comprendre, atténuer et gérer les différents risques qui peuvent survenir : développeur, responsable de la sécurité des systèmes d’information, data scientist, juriste, expert métier (par exemple RH).

Les risques liés à l’IA et d’autres risques critiques devraient être traités de façon intégrée pour plus d’efficacité organisationnelle. De plus, la structure de gouvernance qui émergera en reliant les différentes parties prenantes au sein de votre entreprise garantira qu’une approche systématique soit adoptée dans les décisions concernant l’IA.

2. Développez la cartographie de vos cas d’usage de l’IA 

Commencez par dresser une liste de tous les produits, fonctionnalités, processus et projets (cas d’utilisation) liés à l’IA et au machine learning, qu’ils soient internes ou provenant de sources externes, par exemple du fait de l’utilisation d’un modèle d’IA à usage général.

Du point de vue confidentialité/protection des données ou de gestion des risques informatiques, vous pouvez vous appuyer sur vos cartes ou inventaires de données. Par exemple, la cartographie des traitements de données permet de pointer celles qualifiées de sensibles. Or, l’utilisation de données sensibles par un système d’IA est susceptible de générer des biais algorithmiques : le système sera de ce fait classé dans la catégorie des risques élevés selon l’IA Act.

Dans le cas contraire, commencez par effectuer un exercice de cartographie des données qui implique le traitement d’informations personnelles, en plus des technologies d’IA et de machine learning. La découverte de flux de données peut également s’avérer utile lorsque vous essayez de déterminer comment vos systèmes d’IA vont interagir avec différentes catégories de données.

En plus des sources et types de données, on utilisera notamment des critères tels que le secteur, la puissance du modèle d’IA à usage général (Annexes II, III et IX c de l’IA Act).

Cette cartographie des cas d’usage de l’IA permettra de qualifier le niveau de risques des systèmes utilisés ou projetés par l’entreprise. Combinée au rôle de l’entreprise (fournisseur, déployeur, importateur…), elle sera un outil puissant de mise en conformité au regard des obligations du règlement européen sur l’IA.

3. Cartographiez vos efforts par rapport à un cadre

Cartographier vos efforts par rapport à un cadre peut vous aider à comprendre comment étendre ou créer de nouvelles structures de gouvernance. Par exemple, les questions sur les risques liés à l’IA peuvent être intégrées aux évaluations existantes et aux flux de travail des utilisateurs, qui peuvent prendre la forme d’évaluations des impacts sur la vie privée (DPIA) ou d’évaluations des fournisseurs.

Le projet de cas d’utilisation d’un nouveau système d’IA devra intégrer les coûts humains de la mise en conformité (chef de projet, expert en cybersécurité, data scientist, juriste, délégué à la protection des données, experts métier). Il faudra ajouter le budget spécifique du processus de test dans le cadre du bac à sable réglementaire par exemple pour s’assurer de l’absence de biais algorithmique. Cette solution permet de tester le système d’IA ans un environnement contrôlé sans enfreindre la réglementation et d’aboutir à une solution pérenne car respectueuse des droits fondamentaux des personnes.

Les politiques, les processus et la formation devront également être mis à jour pour inclure l’approche de votre organisation en matière d’IA. En particulier, le processus de mise en conformité d’un système d’IA à haut risque implique d’adapter les dispositifs existants et d’en créer de nouveaux :

  • Système de gestion de gestion de risques (art.9 IA Act),

  • Politiques de confidentialité et de sécurité des données,

  • Normes de gouvernance des données (art.10 IA Act),,

  • Documentation technique (art.11 et Annexe IV IA Act),

  • Conservation des archives de formation du modèle (art.12 IA Act),

  • Précision, robustesse et cybersécurité (art.15 IA Act),

  • Système de gestion de la qualité (art.17 IA Act).

 

4. Mettez en place une structure de gouvernance de l’IA

Les dirigeants, membres du conseil d’administration, devraient avoir une bonne compréhension des opportunités et risques liés aux modèles et systèmes d’IA afin de prendre des décision éclairées. Une formation des exécutifs à cet enjeu, si possible au regard de son secteur d’activité (transport, assurance, santé, éducation…) s’avère un bon point de départ.

La loi invite à la diversité en expertises et compétences au sein du conseil. C’est une opportunité à saisir car l’ouverture de la composition du conseil d’administration ou de surveillance en tant qu’organe de direction de la société est un atout dans la prise de décision et le contrôle de la mise en œuvre des décisions.

La nomination au Conseil d’un administrateur ayant des compétences si ce n’est en IA, en cybersécurité, ou encore en éthique relève du comité spécialisé dit des nominations qui propose les profils lors d’une séance du conseil pour vote du conseil.

Création d’un comité spécialisé.

La création d’un comité de l’IA responsable, ou de l’éthique des systèmes d’IA, permettrait de préparer ce travail complexe et de mettre à l’étude des questions qui seront ensuite débattues en séance collégiale du conseil.

C’est le conseil qui décide de la création des comités spécialisés, fixe leurs attributions et structure dans une charte ou dans son règlement intérieur.

Dans le cadre de sa mission de préparation des réunions du conseil, ce comité pourrait :

  • Prendre contact avec les principaux dirigeants de la société après en avoir informé le président du conseil et
  • Solliciter des études techniques externes sur des sujets relevant de leur compétence, aux frais de la société, après en avoir informé le président du conseil.

Dans ces 2 cas, les comités rendent compte au conseil.

Par exemple, le comité de l’IA pourrait interroger à tout moment les experts en cybersécurité, data scientist, juriste, délégué à la protection des données, experts métier hors la présence de membres de la direction de l’entreprise. Le comité pourrait recruter un spécialiste afin d’avoir un éclairage indépendant sur les enjeux que pose l’intelligence artificielle dans la société.

 

 

 

Étiquette:, ,

Dr Nathalie DEVILLIER
Dr Nathalie DEVILLIER

Nathalie DEVILLIER est la fondatrice d’Influence Cyber.

Docteur en droit international économique, son expertise est recherchée par les institutions européennes et internationales.

Vous pourriez aussi aimer

copyright law.2
IA et droits d’auteur : pourquoi les Legaltechs sont-elles le nouveau champ de bataille ?
11 novembre, 2024
Automatisation et IA en cybersécurité : révolution ou fausse promesse pour les RSSI ?
3 septembre, 2024
Trade and Technology Council
Intelligence artificielle : l’Union européenne et les Etats-Unis organisent un cyber-dialogue
7 avril, 2024

    1 commentaire