Les organisations doivent se conformer aux réglementations sur l'IA, des lois exécutoires avec des conséquences claires en cas de non-conformité. Mais pourquoi les organisations devraient-elles adopter des normes de gouvernance de l'IA ?
•
•
13 minutes de lecture
Sujets
La révolution de l'IA
Bien que l'IA ne soit pas nouvelle (l'article fondateur d'Alan Turing sur les machines informatiques et l'intelligence a été publié pour la première fois en 1950), nous avons assisté ces dernières années à une croissance exponentielle tant des capacités de l'IA que de son adoption. Il n'y a pas à se demander pourquoi : les technologies d'IA innovantes ont révolutionné pratiquement tous les secteurs, de la santé aux services financiers en passant par les industries créatives.
Les dernières avancées en matière d'IA générative - avec la sortie de modèles tels que GPT-4 d'Open AI, Gemini de Google et Llama de Meta - n'ont fait qu'accélérer cette tendance à mesure que ces technologies deviennent plus largement accessibles. Mais cet accès accru s'accompagne de risques accrus : deepfakes et désinformation, biais algorithmiques et discriminations, préoccupations liées à la sécurité et à la confidentialité des données, entre autres.
L'importance des normes
Les nouvelles formes de technologie qui ont le potentiel de changer notre façon de vivre s'accompagnent également de nombreux risques. Lorsque nous nous penchons sur l'histoire et tentons d'analyser comment différentes technologies se sont si profondément intégrées dans nos vies modernes, un schéma se dégage. Afin d'établir véritablement la confiance dans ces nouveaux systèmes, des normes ont été établies, soit par le biais de réglementations, soit par les pratiques du marché.
Par exemple, l'invention des systèmes électriques commerciaux dans les années 1880 a complètement transformé la société et a permis d'accroître la productivité, l'efficacité et la croissance économique. Cependant, l'électricité a également exposé les individus à des dangers tels que l'électrocution et les incendies, causant des blessures et des décès. Au tournant du XXe siècle, les premières directives de sécurité électrique au Royaume-Uni ont été introduites pour gérer les risques de cette nouvelle technologie et prévenir les accidents. S'en est suivie une série de normes électriques qui garantissaient que les installations soient correctement construites et entretenues afin d'éviter les risques d'incendie. La normalisation de la distribution d'électricité et des installations a permis l'adoption généralisée de l'électricité : à la fin des années 1930, les deux tiers des foyers britanniques disposaient de l'électricité, contre seulement 6 % en 1919.
Un exemple plus récent concerne la sécurité de l'information. L'expansion d'Internet au cours des 30 dernières années a créé une industrie technologique florissante et a bouleversé avec succès la manière dont les entreprises sont gérées et les services proposés. Pourtant, Internet a également entraîné une explosion de la cybercriminalité, parmi d'autres risques. Les menaces peuvent aller des attaques de phishing aux violations massives de données et au cyberterrorisme, les nouveaux types de cybercriminalité faisant régulièrement la une des journaux.
En réponse à ces risques, des normes de sécurité de l'information ont été élaborées. La norme ISO/IEC 27001 fournit aux organisations « des lignes directrices pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion de la sécurité de l'information ». Même si l'ISO/IEC 27001 est une norme et non un règlement, elle est devenue largement acceptée et exigée dans tous les secteurs qui dépendent des systèmes d'information ou qui conservent des registres numériques.
Il existe d'innombrables autres exemples, des voitures et avions à la sécurité alimentaire et aux dispositifs médicaux. À travers les âges, les normes ont fourni un cadre pour l'adoption sécurisée des technologies innovantes, leur permettant de prospérer tout en s'efforçant d'atténuer et de gérer leurs risques. Pourquoi le développement de l'IA serait-il différent ?
Quels sont les avantages des normes dans le domaine de l'IA ?
Les normes ont donc le potentiel de garantir que l'IA ait le même impact positif sur le monde que d'autres technologies de rupture ont pu avoir. Toutefois, pour garantir l'efficacité de ces normes, nous devons d'abord examiner les types de risques qu'elles doivent chercher à atténuer. Nous avons exposé ci-dessous quelques-unes des considérations clés.
1. Atténuer les biais, la discrimination ou les préjudices causés aux personnes
Les systèmes d'IA utilisent des volumes de données importants pour prendre des décisions qui affectent les personnes dans diverses tâches, du recrutement à l'octroi de prêts, et même aux condamnations pénales, à l'immigration et à l'octroi de prestations sociales. Les algorithmes sont entraînés sur des ensembles de données à partir desquels ils apprennent quels doivent être les résultats corrects. L'utilisation de l'IA peut accélérer la prise de décision, de sorte que le gouvernement puisse, par exemple, traiter un plus grand nombre de demandes d'asile ou de prestations dans le même laps de temps, réduisant ainsi les retards et améliorant la satisfaction à l'égard de ses services.
Néanmoins, les faits ont montré que les algorithmes reproduisent ou exacerbent parfois les biais humains, en particulier à l'encontre des minorités. Une enquête du Guardian de 2023 a mis en évidence le fait que certains outils du gouvernement britannique produisaient des résultats discriminatoires, conduisant à la suspension injustifiée des prestations de dizaines de personnes. Les biais et la discrimination exposent les organisations à d'immenses risques de réputation, ainsi qu'à des poursuites judiciaires coûteuses.
Les normes permettent aux organisations de détecter et de signaler rapidement les biais algorithmiques potentiels, afin de pouvoir les corriger avant qu'un préjudice ne survienne. Par exemple, le cadre de gestion des risques de l'IA du NIST et la norme ISO 42001 (chacun étant abordé plus en détail ci-dessous) exigent d'évaluer le risque de biais et d'examiner la qualité des ensembles de données utilisés. Une exigence courante réside dans une évaluation initiale des risques, axée sur la possibilité de biais inhérents au contexte du système d'IA, c'est-à-dire les désavantages historiques ou structurels auxquels font face certains groupes démographiques et que les algorithmes pourraient reproduire.
2. Transparence et responsabilité accrues
Le public se doit de comprendre comment, quand et à quelles fins un système d'IA est utilisé. Cela doit être expliqué dans un langage accessible à un large éventail de parties prenantes. Malheureusement, les utilisateurs ne savent pas toujours qu'un système d'IA se cache derrière une décision spécifique (par exemple, l'approbation d'une demande de crédit). Même lorsqu'ils sont conscients que l'IA est utilisée, ils ne disposent généralement pas de suffisamment d'informations sur la manière dont le système est parvenu à cette décision.
Parce que les systèmes d'IA fonctionnent avec un haut degré d'autonomie, ils peuvent prendre des décisions d'une manière que les développeurs n'avaient pas prévue ou souhaitée. La responsabilité est essentielle, car elle permet d'identifier les risques dès le départ, par exemple grâce à des techniques d'assurance telles que les évaluations d'impact. Les normes garantissent que les individus et les organisations assument la responsabilité des actions et des décisions des systèmes d'IA, et qu'un contrôle humain soit toujours maintenu.
Les normes exigent souvent que les organisations documentent les informations relatives à leurs systèmes d'IA, y compris les sources de données, les cas d'usage, les processus décisionnels, les indicateurs de performance et les limites potentielles. Ces informations sont cruciales pour comprendre et communiquer le fonctionnement des algorithmes et leurs performances. De nombreuses normes renforcent la transparence en favorisant l'étiquetage des produits, permettant à l'utilisateur de savoir qu'il interagit avec un système d'IA. Le guide de politique d'IA d'Enzai fournit des conseils précieux sur la mise en œuvre de mesures de transparence et de responsabilité tout au long du cycle de vie du système d'IA.
3. Gestion améliorée des risques
L'IA offre d'immenses opportunités mais s'accompagne de nombreux risques. Ces risques comprennent des éléments tels que le risque d'hallucinations (lorsque de grands modèles de langage génèrent des informations erronées), la violation de la propriété intellectuelle et les atteintes à la confidentialité des données. Une gestion efficace des risques réduit la probabilité de résultats négatifs, aide les organisations à instaurer la confiance avec les parties prenantes et à maintenir leur bonne réputation.
Les registres de risques et les évaluations de risques, courants dans les normes de gouvernance de l'IA, permettent aux organisations d'identifier, d'évaluer et d'atténuer les risques associés aux technologies d'IA.
4. Sécurité et fiabilité améliorées
Étant donné que les systèmes d'IA sont utilisés dans de nombreux domaines critiques - la santé, la sécurité nationale et les infrastructures en sont quelques exemples - le besoin de fiabilité et de sécurité est primordial. Les systèmes d'IA doivent être techniquement sécurisés, fonctionner comme prévu et résister aux menaces telles que les cyberattaques. Selon le National Institute of Standards and Technology (NIST), « des adversaires peuvent délibérément perturber ou même "empoisonner" les systèmes d'IA pour provoquer des dysfonctionnements ».
En définissant des critères de performance, de précision, d'évolutivité et de résilience, les organisations peuvent développer des systèmes d'IA robustes et fiables, mieux armés pour résister aux attaques et capables de les détecter rapidement si elles se produisent.
5. Conformité aux lois et réglementations
Les organisations doivent se conformer aux lois et réglementations applicables régissant l'utilisation des technologies d'IA. Bien que de nouvelles lois émergent pour traiter spécifiquement des risques liés à l'IA, telles que l'AI Act de l'UE, la législation existante ne peut pas simplement être ignorée car le produit ou service contient un composant d'IA. Les lois sur la protection des données, les réglementations sur la protection des consommateurs, les lois anti-discrimination et les réglementations sectorielles sont d'ores et déjà en vigueur. Le non-respect de ces règles peut entraîner des recours judiciaires, des amendes, des sanctions et des dommages réputationnels.
Les normes ne sont pas obligatoires au même titre que les règlements, mais elles facilitent la conformité avec les réglementations existantes tout en garantissant que les organisations adoptent les meilleures pratiques dans leur domaine respectif. Les normes spécifiques à l'IA peuvent couvrir des aspects tels que les indicateurs de performance, les évaluations de risques, les analyses de cas d'usage et de nombreuses autres mesures afin d'assurer une gestion efficace des risques et de créer un registre auditable de la prise de décision.
6. Confiance accrue du public
Une confiance accrue du public peut conduire à de meilleurs taux d'acceptation et d'adoption des technologies de l'IA, ainsi qu'à des relations renforcées avec les parties prenantes et à un avantage concurrentiel sur le marché, le public accordant une grande valeur aux considérations éthiques et à la fiabilité. Pour que l'IA atteigne son plein potentiel et devienne cette force positive pour le monde que nous souhaitons tous voir, elle doit gagner la confiance du public. L'établissement de normes rigoureuses concernant la construction, le déploiement et l'utilisation de cette technologie peut y contribuer.
Normes et cadres de gouvernance de l'IA
Heureusement, il existe désormais un certain nombre de normes différentes dans le domaine de l'IA pour aider les organisations à appréhender les risques présentés ci-dessus. Certains des principaux organismes de normalisation mondiaux, tels que le National Institute for Standards in Technology (NIST), l'Institute of Electrical and Electronics Engineers (IEEE) et l'Organisation internationale de normalisation (ISO), ont récemment publié des cadres de référence que les organisations peuvent utiliser pour adopter des normes élevées au sein de leurs programmes d'IA.
Nous présentons ci-dessous un bref aperçu de certains d'entre eux.
ISO/IEC JTC 1/SC 42
L'ISO, en collaboration avec la Commission électrotechnique internationale (CEI), a mis en place un groupe de travail technique conjoint pour élaborer des normes en matière d'IA, ce qui a abouti à la publication de la norme ISO 42001. Ces normes, qui permettent aux organisations d'adopter un système de management de l'IA (AIMS) efficace, couvrent divers aspects de l'IA, notamment la terminologie, les considérations éthiques et les méthodes d'évaluation.
L'équipe travaille actuellement sur une nouvelle norme - ISO 42006 - qui définira les lignes directrices permettant aux auditeurs d'évaluer efficacement le niveau de conformité des organisations aux exigences de l'ISO 42001. Ce processus d'audit permettra d'obtenir des certifications régulières attestant de leur conformité (similaire au processus de sécurité des informations de la norme ISO 27001 décrit précédemment).
Note : Enzai a été l'une des toutes premières organisations au monde à proposer un système complet de gestion de l'IA en totale conformité avec les exigences de la norme ISO 42001.
Cadre de gestion des risques de l'IA du NIST
Le National Institute of Standards and Technology (NIST) aux États-Unis a développé un cadre de gestion des risques spécifiquement dédié aux systèmes d'IA. Ce framework fournit des conseils pour identifier, évaluer et atténuer les risques liés aux technologies d'IA. Il s'articule autour de quatre fonctions clés de la gouvernance de l'IA : (1) Gouverner ; (2) Cartographier ; (3) Mesurer ; et (4) Gérer. De nombreuses organisations en Amérique du Nord ont adopté le cadre de gestion des risques de l'IA du NIST comme référence absolue.
Nous avons rédigé un article de blog détaillant les exigences de ce cadre (NIST AI RMF) - voir ici. Notre solution de gouvernance de l'IA garantit aux organisations de pouvoir opérer en totale conformité avec ces exigences.
Principes de l'OCDE sur l'IA
L'un des premiers efforts les plus notables pour établir une base de normes rigoureuses en matière d'IA émane de l'Organisation de coopération et de développement économiques (OCDE). L'OCDE a adopté en mai 2019 un ensemble de principes pratiques et flexibles pour un développement et une utilisation responsables de l'IA (sa définition de l'IA a d'ailleurs largement inspiré le texte final de l'AI Act européen). Les principes de l'OCDE sur l'IA incluent des valeurs fondamentales telles que la transparence, l'équité et la responsabilité, ainsi que des recommandations pour les décideurs politiques.
Au-delà de ces principes, l'Observatoire des politiques de l'IA de l'OCDE propose un catalogue d'outils et de métriques conçus pour aider les organisations à concevoir et à exploiter une IA digne de confiance, y compris la plateforme de gouvernance de l'IA d'Enzai.
Le standard ouvert « Me-We-It » de la World Ethical Data Foundation (WEDF)
Le standard ouvert de la WEDF est un forum en ligne interactif et gratuit conçu autour de trois objectifs : (1) conseiller les acteurs pour concevoir une IA plus éthique afin de rebâtir le secteur sur des bases saines ; (2) aider le public à comprendre les coulisses du développement des systèmes d'IA ; et (3) créer un espace d'échange où le public peut poser librement toutes ses questions à la communauté scientifique des données et de l'IA.
Le cadre est structuré en trois volets, « Me » (Moi), « We » (Nous) et « It » (Le système). La WEDF les décrit ainsi : « Me » désigne « les questions que chaque personne travaillant sur l'IA devrait se poser à elle-même avant de commencer et tout au long de sa mission ». « We » concerne « les questions que le groupe doit se poser collectivement - en particulier pour définir la diversité requise pour limiter au maximum les biais humains ». « It » englobe « les questions que nous devrions poser aux individus ainsi qu'au groupe concernant la modélisation en cours de création et l'impact qu'elle peut avoir sur notre monde ».
Adopter des normes de gouvernance de l'IA
Si votre organisation cherche à mettre en œuvre des normes de gouvernance de l'IA ou à améliorer ses processus existants, il peut s'avérer difficile de savoir par où commencer. Notre méthode « Start Fast » rassemble tout ce dont vous avez besoin en trois étapes simples : (1) créer ou sélectionner vos politiques et évaluations ; (2) bâtir votre registre d'IA ; et (3) lancer vos évaluations. La plateforme Enzai met à votre disposition des modèles de politiques et des cadres d'évaluation prêts à l'emploi pour vous permettre d'adopter des standards d'excellence qui vous démarqueront de vos pairs.
Si vous souhaitez découvrir comment Enzai peut accompagner votre organisation dans l'adoption des normes de gouvernance de l'IA et garantir votre conformité avec la réglementation à venir, contactez-nous dès aujourd'hui.
Enzai est la première plateforme de gouvernance de l'IA d'entreprise, spécialement conçue pour aider les organisations à passer d'une politique abstraite à une supervision opérationnelle. Notre plateforme de gestion des risques de l'IA fournit l'infrastructure spécialisée requise pour piloter une gouvernance de l'IA agentique, maintenir un inventaire complet de l'IA et assurer la conformité avec l'AI Act de l'UE. En automatisant des processus complexes, Enzai permet aux entreprises de déployer l'IA à grande échelle en toute confiance, tout en restant alignées sur les normes mondiales telles que ISO 42001 et NIST.
Donnez à votre organisation les moyens d'adopter, de gérer et de surveiller l'IA avec une confiance de niveau entreprise. Conçu pour les organisations réglementées opérant à grande échelle.