Le 23 septembre 2024, le ministère de la Justice des États-Unis (DOJ) a mis à jour ses directives pour les procureurs sur la façon d'évaluer les programmes de conformité des entreprises. Nicole M. Argentieri, une haute responsable du DOJ, a dévoilé les nouvelles directives lors de remarques à l'occasion de la 23ème Conférence annuelle sur la conformité et l'éthique de la Society of Corporate Compliance and Ethics au Texas. Les directives incluent désormais des considérations sur la façon dont les entreprises utilisent l'IA et gèrent ses risques.

Quel est l'objectif des directives ?

Le DOJ publie des directives sur l'évaluation des programmes de conformité d'entreprise (ECCP), pour aider les procureurs du DOJ à évaluer si le programme de conformité d'une entreprise est a) bien conçu, b) appliqué sincèrement et c) fonctionne dans la pratique.

Bien que l'ECCP soit rédigé pour les procureurs du DOJ et que les considérations du document ne soient pas juridiquement contraignantes, l'ECCP a été rendu public depuis plusieurs années, période pendant laquelle il a servi de guide utile pour les dirigeants et les équipes de conformité des entreprises.

Bien que l'ECCP révisé aborde de nombreux nouveaux sujets, les révisions les plus significatives concernent les domaines de l'IA, les technologies émergentes, le rôle de l'analyse de données dans les programmes de conformité et les protections des lanceurs d'alerte.

Que disent les directives révisées sur l'utilisation de l'IA ?

L'ECCP guide les procureurs pour évaluer les facteurs suivants liés à l'utilisation de l'IA par les entreprises, entre autres :

· Le programme de gestion des risques pour l'utilisation de l'IA est-il en place dans l'entreprise ?

· Des niveaux de risque sont-ils attribués aux systèmes d'IA ?

· L'entreprise traite-t-elle les risques identifiés liés à l'utilisation de l'IA de manière efficace ?

· L'entreprise surveille-t-elle ses systèmes d'IA pour s'assurer qu'ils fonctionnent comme prévu ?

· Les systèmes à haut risque font-ils l'objet d'une supervision appropriée par des personnes ?

· Les employés sont-ils correctement formés à l'utilisation des systèmes d'IA ?

· Le programme de conformité de l'entreprise utilise-t-il correctement l'analyse des données et la technologie pour garantir qu'il fonctionne efficacement ?

· L'entreprise traite-t-elle le risque fournisseur de manière efficace ?

· L'entreprise consacre-t-elle des ressources adéquates à son programme de conformité ?

· Le programme de conformité de l'IA est-il correctement documenté ?

Quel est le contexte plus large ?

Les directives révisées signalent l'intérêt continu du DOJ pour l'utilisation de l'IA par les entreprises. Dans un discours de mars à San Francisco, la procureure générale adjoint Lisa Monaco a souligné qu'il n'existe aucune exemption pour l'IA aux lois existantes, a annoncé l'intention de poursuivre des « peines plus sévères » pour les abus d'IA et a présenté des révisions de l'ECCP.

Plus tôt cette année, le DOJ a également lancé son Initiative AI Justice, une série de réunions avec des « parties prenantes de la société civile, de l'industrie, du monde universitaire et des forces de l'ordre » pour déterminer comment l'IA s'articulera avec les efforts du DOJ.

Les remarques d'Argentieri sur l'ECCP révisé ont apporté un éclairage supplémentaire sur les révisions du DOJ et ont démontré une compréhension nuancée des impacts potentiels de l'IA générative sur les entreprises. À titre d'exemple, elle a noté que « les procureurs prendront en compte si l'entreprise est vulnérable à des schémas criminels rendus possibles par de nouvelles technologies, comme des approbations ou des documents falsifiés générés par l'IA. »

Enzai est là pour vous aider

La plateforme GRC AI d'Enzai peut aider votre entreprise à déployer l'IA conformément aux meilleures pratiques et aux réglementations, normes et cadres émergents, tels que l'AI Act de l'UE, l'AI Act du Colorado, le NIST AI RMF et ISO/IEC 42001. Pour en savoir plus, prenez contact ici.