Auteur: Michelle Eisenberg, General Counsel, Unit4
La gouvernance de l’IA est souvent considérée à tort comme relevant de l’éthique, de la sécurité, de la confidentialité, de la conformité juridique et de l’informatique. Cependant, sa portée et sa structure réelles sont plus nuancées, et nécessitent une intégration étroite dans tous ces domaines, et bien d’autres également. Il est également important de se souvenir qu’il n’existe pas de cadre universel. Les entreprises doivent élaborer des approches de la gouvernance qui reflètent leurs valeurs opérationnelles, leur stratégie, leur secteur d’activité et leur environnement de risque uniques.
Le succès d’une gouvernance efficace dépend en outre de la compréhension et de l’intégration de la boucle de gouvernance, c’est-à-dire du cycle continu d’évaluation, de mise en œuvre, de surveillance et d’adaptation répondant aux évolutions technologiques et réglementaires. En termes simples, la gouvernance n’est pas un exercice ponctuel. Les entreprises doivent surveiller continuellement les outils approuvés, s’adapter aux évolutions réglementaires et aux priorités stratégiques et améliorer le processus en identifiant ce qui fonctionne et ce qui ne fonctionne pas.
Lors de l’élaboration de notre structure de gouvernance de l’IA, j’ai identifié trois étapes :
Étape 1 : Élaborer le cadre de gouvernance de l’IA
Définissez les composantes du cadre de gouvernance de l’IA. Celles-ci incluent généralement l’examen juridique, contractuel et réglementaire, les droits de propriété intellectuelle, les licences, la protection des données, la sécurité, l’infrastructure informatique, la responsabilité liée aux produits et les considérations éthiques. Cependant, chaque organisation peut souhaiter ajouter des principes fondés sur les valeurs et la stratégie de l’entreprise, par exemple, la souveraineté de l’IA ou des considérations relatives au développement durable. Un point de départ utile consiste à fonder le cadre de gouvernance sur des exigences légales existantes. La loi sur l’IA de l’Union européenne, par exemple, fournit une structure réglementaire complète sur laquelle peut être fondée l’approche de la gouvernance. En s’appuyant sur ces principes établis, les entreprises peuvent ensuite élaborer des politiques d’IA exhaustives, couvrant l’ensemble de l’entreprise, qui prennent en compte leur contexte opérationnel spécifique, tout en garantissant leur conformité réglementaire.
Il est important de souligner qu’il est essentiel de définir ce qui relève (mais également ce qui ne relève pas) du cadre de gouvernance de l’IA, ainsi que le rôle de chaque partie prenante. L’approbation de l’analyse de rentabilité associée à chaque scénario d’utilisation de l’IA s’intègre-t-elle au champ d’application du cadre de gouvernance, ou devrait-elle résider ailleurs ? Il n’y a pas de bonne ou de mauvaise réponse. Un outil IA qui satisfait à tous les critères de gouvernance peut, malgré tout, ne pas être adapté à l’entreprise, en raison d’autres facteurs prépondérants.
Étape 2 : Intégrer la gouvernance dans les opérations
Un point de départ pertinent pour maximiser le succès et réduire le risque consiste à réaliser une simple analyse des écarts afin d’identifier la maturité organisationnelle en matière d’IA – à la fois dans l’ensemble de l’entreprise, mais également pour chaque équipe individuellement. Par exemple, votre équipe informatique peut avoir besoin de s’assurer que l’architecture est prête pour l’IA et que les autorisations d’accès correctes ont été définies. Votre service juridique devra peut-être se préparer en élaborant des dispositions contractuelles spécifiques à l’IA, avec le fournisseur d’IA et/ou le client final. Ne partez pas du principe que l’entreprise est capable d’assurer un déploiement sûr de l’IA, simplement parce que la demande paraît immense. Une utilisation régulière, prudente et ciblée de l’IA est préférable au déploiement d’un trop grand nombre d’outils qui seront utilisés incorrectement ou inefficacement.
Lors de l’opérationnalisation du cadre de gouvernance, ne réinventez pas la roue ; développez les approches que vous avez déjà mises en œuvre en ajoutant à celles-ci des contrôles spécifiques à l’IA. Si votre équipe informatique gère déjà des processus d’approbation pour d’autres outils en tenant compte de la sécurité et de la confidentialité, utilisez ce même cadre comme point de départ pour l’évaluation de l’outil d’IA. Ensuite, mettez en place les mécanismes de surveillance de la conformité de la politique relative à l’IA, que ce soit par le biais de superviseurs désignés ou d’un conseil dédié de gouvernance de l’IA, afin de prendre en compte les considérations spécifiques à l’IA, notamment l’atténuation des préjugés, la conformité éthique et la transparence des algorithmes. Des définitions claires des rôles et des matrices de responsabilités sont essentielles pour assurer une mise en œuvre efficace. En outre, comme je l’ai évoqué plus haut, il est essentiel de surveiller l’utilisation de l’outil IA et de répéter régulièrement les démarches de diligence pour les nouvelles fonctionnalités. Les entreprises doivent également s’assurer de disposer d’une expertise juridique, par le biais de conseillers internes ou externes, afin de surveiller l’évolution des exigences réglementaires et d’évaluer leur applicabilité aux cadres de gouvernance de l’IA.
Étape 3 : Renforcer les compétences du personnel et garantir le retour sur investissement
Il ne s’agit pas d’une simple formation informatique. Identifiez les lacunes de compétences et alignez la formation avec les scénarios d’utilisation de l’IA ou les tâches quotidiennes. Les cadres supérieurs et les responsables d’unités fonctionnelles n’ont généralement ni le temps ni l’expertise nécessaires pour encourager la transformation opérationnelle. Ils ne sont pas forcément capables d’assurer une surveillance durable de l’adoption de l’IA, à moins qu’un collaborateur ne les accompagne et les guide dans la mise en place d’indicateurs de performance (ICP) pertinents. Chaque département, avec l’appui du service informatique ou de référents IA désignés, doit répertorier ses responsabilités et ses missions afin d’évaluer à quels niveaux l’IA peut améliorer les résultats ou introduire des synergies. Ici, l’essentiel est de se concentrer sur un nombre limité d’initiatives, mais de veiller à ce que les initiatives sélectionnées offrent un retour sur investissement clair. Cette démarche de découverte peut ensuite constituer une grille d’évaluation efficace du succès du déploiement. Cette approche permettra également de transformer la perception de l’IA, d’une révolution technologique intimidante en une solution pratique aux défis opérationnels existants.
En outre, l’accès à un outil IA doit être perçu par le personnel comme un investissement dans sa compétence, ainsi que comme une marque de confiance. Le revers de cette confiance est l’imputabilité, et l’accès à la solution doit être conditionné à une formation obligatoire en matière de conformité et de gouvernance. Cette formation devrait couvrir l’utilisation responsable de l’IA et les exigences en matière de politique, notamment l’identification des préjugés, les pratiques d’utilisation sûres, la confidentialité des données et les interactions entre l’humain et l’IA.
Enfin, il convient de rappeler que les êtres humains ont leurs petites habitudes. Surmonter la résistance au déploiement de l’IA nécessite d’adopter une approche stratégique priorisant trois aspects essentiels : la communication, la collaboration et le changement progressif. La formation et le renforcement des compétences doivent reposer sur une approche régulière, pertinente et variée.
En conclusion, les défis liés à la mise en œuvre de la gouvernance de l’IA sont universels. Aucune entreprise n’a perfectionné son approche, et la déroutante pléthore d’outils disponibles (chacun avec ses forces et ses faiblesses) complique la prise de décision. Les réglementations continuellement changeantes et les progrès accomplis par ces outils constituent également des défis. Les entreprises doivent donc se concentrer sur la mise en place de cadres de gouvernance adaptés à leur réalité organisationnelle spécifique, et non chercher à reproduire l’approche adoptée par d’autres organisations. La mise en place de composants fondamentaux pertinents et la simplification de la structure, suivies de l’introduction progressive et agile des différentes couches, permettront d’éviter de nombreux problèmes ultérieurs. En fin de compte, une mise en œuvre efficace nécessite d’équilibrer minutieusement la vision stratégique et les considérations opérationnelles concrètes afin d’assurer une gestion solide du changement tout au long du processus.
À propos de Michelle Eisenberg
Michelle Eisenberg occupe le poste de General Counsel chez Unit4. Elle dirige une fonction intégrée qui englobe le service juridique, la gouvernance environnementale et sociale (ESG), la conformité, la sécurité de l’information et la gouvernance de l’IA sur l’ensemble des activités mondiales de Unit4. Forte de plus de 25 années d’expérience en matière de droit des sociétés et de gestion du risque, elle a occupé des fonctions juridiques de haut niveau chez SAP, Qlik et Blue Yonder. Michelle a accompagné des entreprises à travers des panoramas réglementaires complexes et des transformations de solutions SaaS, et a été la pionnière de modèles de gouvernance pluridisciplinaires permettant d’aligner la stratégie juridique avec les objectifs opérationnels et les risques technologiques émergents. Elle est cadre responsable du groupe de ressources pour les collaboratrices féminines de Unit4 et se passionne pour la promotion des femmes dans le secteur de la technologie.
