La Gouvernance de l’IA : De la Salle de Conseil à la Stratégie d’Entreprise
Les organisations intègrent l’IA tout au long de leur chaîne de valeur, tant pour des applications internes que pour des interactions avec le public et les consommateurs. Les cas d’utilisation vont de l’embauche et de la détection de fraudes à l’assistance client et à la personnalisation.
En conséquence, le déploiement de l’IA a pris une place centrale dans l’agenda des conseils d’administration. Des recherches montrent que les conseils d’administration maîtrisant l’IA affichent en moyenne 10,9 points de pourcentage de rendement des capitaux propres supérieurs à leurs pairs du secteur, faisant de l’IA un levier stratégique pour l’efficacité, la rapidité et l’avantage concurrentiel.
De l’Avantage Concurrentiel au Risque de Gouvernance
Cependant, l’intégration croissante de l’IA dans les fonctions organisationnelles essentielles et accessoires introduit des risques structurels. Le contrôle des fournisseurs en est un exemple. Les données d’entreprise peuvent être réutilisées ou conservées par des outils d’IA tiers au-delà des finalités convenues, compromettant ainsi la confidentialité.
De plus, la dépendance à l’égard d’IA tierces accroît l’exposition réglementaire. Les entreprises déployant ces technologies restent responsables malgré une visibilité limitée sur la conception des modèles, les données d’entraînement ou les mises à jour des systèmes.
Des préoccupations relatives à la vie privée émergent également, alors que les données personnelles circulent à travers des systèmes opaques, limitant la conformité aux obligations de protection des données. Enfin, les hallucinations, les préjugés et les échecs d’exactitude peuvent produire des résultats trompeurs ou discriminatoires, et le manque de transparence autour des tests et de la remédiation complique ces défis.
Le Risque de l’IA en Pratique : Leçons des Déploiements Récents
Les tribunaux et les régulateurs examinent de plus en plus les échecs liés à l’IA. Par exemple, Trivago a été pénalisé après que son algorithme de classement a priorisé les offres d’hôtels des annonceurs payant des commissions plus élevées, même lorsque des options moins chères étaient disponibles. Le régulateur de la concurrence en Australie a jugé que Trivago avait induit les consommateurs en erreur sur les meilleurs prix disponibles.
Des risques ont également émergé de l’utilisation interne de l’IA. Des employés ont saisi des informations sensibles de l’organisation dans des outils d’IA générative, amenant les entreprises à recalibrer les contrôles autour de la confidentialité des données et de l’utilisation permise.
Les organisations renforcent leurs défenses de gouvernance en établissant des comités de supervision de l’IA, en émettant des politiques d’utilisation internes et en investissant dans la sensibilisation de la main-d’œuvre. Les évolutions réglementaires accélèrent encore ce changement. Alors que la Loi sur l’IA de l’UE se dirige vers l’application, les investisseurs de l’UE ont souligné que les conseils d’administration doivent superviser la manière dont l’IA est conçue, déployée et surveillée dans le cadre de leurs fonctions de gouvernance.
L’Approche de l’Inde en Matière de Gouvernance de l’IA
L’Inde adopte une approche distincte et fondée sur des preuves en matière de gouvernance de l’IA. Plutôt que d’adopter un statut global sur l’IA, l’accent est mis sur l’opérationnalisation de principes communs pour un usage responsable de l’IA dans tous les secteurs. Ces principes ont été d’abord articulés par la Reserve Bank of India dans son rapport du comité FREE-AI pour le secteur financier.
Le Ministère de l’Électronique et des Technologies de l’Information a ensuite soutenu ces principes dans ses lignes directrices sur la gouvernance de l’IA en Inde. Ensemble, ces documents soulignent la nécessité d’intégrer des principes de confiance, d’équité, de responsabilité, de transparence par conception et de safety pour gérer les risques liés à l’IA. Ces principes sont maintenant traduits en attentes concrètes de gouvernance.
Par exemple, la RBI a recommandé aux entités réglementées d’adopter des politiques d’IA approuvées par le conseil couvrant la gouvernance, l’éthique, la responsabilité et l’appétit pour le risque. De même, la SEBI a proposé que les acteurs du marché désignent un cadre supérieur responsable de la supervision de l’IA tout au long de son cycle de vie, soutenu par des cadres de responsabilité clairs.
Ces cadres ne prescrivent pas une liste de contrôle unique, mais signalent comment la direction doit structurer la supervision autour de l’adoption de l’IA.
Trois Étapes Pratiques pour les Conseils d’Administration
Pour déployer l’IA de manière responsable tout en maintenant l’agilité des affaires, les conseils peuvent suivre trois étapes :
1. Évaluer l’utilisation de l’IA et adopter une politique de gouvernance de base. L’adoption responsable de l’IA commence par la visibilité organisationnelle. Les conseils devraient commander une cartographie de l’organisation sur l’utilisation de l’IA, ses objectifs et son impact potentiel. Les cas d’utilisation devraient être classés en déploiements orientés vers le consommateur et internes. Cela permet de prioriser les risques et de créer un inventaire de l’IA capturant les cas d’utilisation, les données d’entrée, les fournisseurs et les niveaux de risque.
2. Traiter la transparence des fournisseurs et les garanties contractuelles comme une priorité de gouvernance. En s’inspirant des délibérations politiques de l’Inde, les organisations déployant des IA resteront probablement responsables des résultats générés par l’IA, même lorsque le modèle provient d’un tiers. Les conseils devraient s’assurer de la clarté sur ce que fait un système d’IA, où il peut échouer et comment il utilise les données.
3. Institutionaliser le reporting au niveau du conseil, le suivi continu et la réponse aux incidents. L’Inde s’est concentrée sur une approche fondée sur des preuves pour gérer les risques de l’IA, ce qui aidera à développer des cadres d’évaluation et de classification des risques appropriés. Les organisations devraient traiter le reporting d’incidents liés à l’IA et le suivi continu comme faisant partie de leur stratégie de gouvernance.
Au minimum, les conseils devraient mandater des rapports périodiques sur les cas d’utilisation matériels de l’IA, les principaux risques, les dépendances vis-à-vis des fournisseurs et l’efficacité des contrôles. Cela devrait être soutenu par un manuel de réponse aux incidents clairement défini couvrant l’escalade, la préservation des preuves et les mécanismes de secours.
Conclusion
Avec l’adoption croissante de l’IA, les conseils d’administration doivent commencer à délibérer sur la manière de gouverner l’IA de manière responsable à grande échelle. Les discussions politiques robustes en Inde offrent aux organisations des informations précieuses pour formuler leur approche interne de gouvernance. Les acteurs précoces qui établissent des cadres pour promouvoir la visibilité, garantir la responsabilité et opérationnaliser des mécanismes d’escalade seront mieux placés pour tirer parti des avantages de l’IA tout en gérant efficacement ses risques.