Lorsque l’IA est imposée à la conformité : le guide de l’ECCP
Un email arrive sans avertissement. L’entreprise a sélectionné une plateforme d’IA. Le service informatique est déjà en train de l’intégrer et un projet pilote est en cours. Le conseil d’administration est enthousiaste. Le directeur de la conformité a été chargé de « fournir une gouvernance » dans un délai d’une semaine.
Où commencer ?
La réponse est simple. Vous pouvez commencer par l’évaluation des programmes de conformité d’entreprise (ECCP) du département de la justice des États-Unis (DOJ) de 2024.
Reformuler l’IA comme un problème d’évaluation des risques du DOJ
La première étape est de cesser de traiter l’IA comme un déploiement technique et de commencer à la considérer comme une obligation d’évaluation des risques. L’ECCP précise que les évaluations des risques doivent évoluer à mesure que les risques internes et externes changent, et elle souligne spécifiquement que l’IA nécessite une analyse affirmative.
Les procureurs vont se demander si l’entreprise a évalué comment l’IA pourrait impacter la conformité avec les lois criminelles, si les risques liés à l’IA étaient intégrés dans la gestion des risques d’entreprise, et si des contrôles existent pour garantir que l’IA est utilisée uniquement à des fins prévues.
Inventaire avant de rédiger une politique
L’ECCP ne récompense pas les politiques aspirantes non soutenues par des faits. Les procureurs souhaitent comprendre pourquoi une entreprise structure son programme de conformité de cette manière. Avant de rédiger des cadres de gouvernance de l’IA, la conformité doit exiger un inventaire complet de l’utilisation de l’IA :
- Quels outils sont déployés ou en cours de test ;
- Quelles fonctions commerciales les utilisent ;
- Quelles données elles ingèrent ;
- Que produisent-elles : des conseils ou des décisions ?
Cette liste doit explicitement inclure l’utilisation par les employés des outils d’IA générative. L’ECCP souligne la gestion de l’utilisation abusive interne et des conséquences inattendues de la technologie. L’utilisation non gérée de l’« IA fantôme » est désormais un échec de conformité, et non une simple inconduite informatique.
Se concentrer sur l’intégrité des décisions, pas sur la conception des modèles
L’un des aspects les plus négligés de l’ECCP est que le DOJ évalue les résultats et la responsabilité, et non l’élégance technique. Lorsque l’IA est utilisée, les procureurs vont demander :
- Quelles décisions l’IA a-t-elle influencées ;
- Quel était le niveau de jugement humain initial ;
- Comment la responsabilité a-t-elle été assignée et appliquée ?
Les directeurs de la conformité doivent donc centrer la gouvernance autour des décisions, et non des algorithmes. Si personne ne peut expliquer comment un résultat d’IA a été évalué, contourné ou escaladé, l’entreprise ne peut pas démontrer que son programme de conformité fonctionne en pratique.
Exiger l’explicabilité pour les conseils d’administration et les régulateurs
Le DOJ ne s’attend pas à ce que les conseils d’administration comprennent les architectures d’apprentissage automatique, mais il s’attend à ce qu’ils exercent une supervision éclairée. L’ECCP demande à plusieurs reprises si la conformité peut expliquer les risques, les contrôles et les échecs à la direction senior et au conseil d’administration.
Si un directeur de la conformité ne peut pas expliquer, en termes simples, comment l’IA affecte les décisions de conformité, le programme n’est pas défendable. Chaque cas d’utilisation matériel de l’IA doit avoir un récit prêt pour le conseil :
- Pourquoi l’IA est-elle utilisée ;
- Quels risques elle crée ;
- Où le jugement humain intervient ;
- Comment les erreurs sont détectées et corrigées.
Intégrer la gouvernance de l’IA dans les contrôles existants
L’ECCP met en garde contre les « programmes en papier ». Cela signifie que la gouvernance de l’IA ne peut pas se trouver dans une politique séparée. Les contrôles liés à l’IA doivent s’intégrer aux structures de conformité existantes telles que les protocoles d’enquête, les mécanismes de signalement, la formation, l’audit interne et la gouvernance des données.
Si l’IA identifie une inconduite, comment cela est-il escaladé ? Si l’IA soutient des enquêtes, comment les résultats sont-ils préservés et documentés ? Si l’IA soutient la formation, comment l’efficacité est-elle mesurée ? Le DOJ recherchera la cohérence dans l’approche, la documentation et le suivi, et non la nouveauté.
Insister sur les ressources et l’autorité
L’ECCP accorde une attention significative à savoir si les fonctions de conformité sont adéquatement dotées de ressources, habilitées et autonomes. En général, cela s’applique aux CCO et aux professionnels de la conformité. Il serait logique que si la responsabilité de la gouvernance de l’IA est assignée à la conformité, alors celle-ci doit avoir accès aux données, aux explications techniques et à l’autorité d’escalade.
Attribuer une responsabilité sans ressources est, en termes du DOJ, une preuve d’un programme qui n’est pas appliqué de bonne foi. Un mandat contraint sans financement ni autorité constitue lui-même un risque de conformité.
Documenter l’évolution
Enfin, les directeurs de la conformité doivent documenter non seulement les contrôles, mais aussi l’évolution. L’ECCP souligne à plusieurs reprises l’amélioration continue, les tests et les révisions. La gouvernance de l’IA ne sera pas parfaite. Le DOJ ne s’attend pas à la perfection. Il s’attend à des preuves que l’entreprise a identifié des risques, testé des contrôles, appris des échecs et ajusté ses stratégies.
Les procès-verbaux des réunions, les revues pilotes, les évaluations des risques et les étapes de remédiation sont tous importants. Cela signifie : documentez, documentez, documentez.
Conclusion
Lorsque l’IA est imposée à la conformité, la résistance peut être compréhensible, mais au bout du compte, elle est inefficace. Le DOJ a déjà dépassé la question de savoir si l’IA doit être gouvernée. La seule question restante est de savoir si la gouvernance est crédible.
Pour le directeur de la conformité d’aujourd’hui, la gouvernance de l’IA n’est plus optionnelle, technique ou théorique. C’est un test en direct de savoir si le programme de conformité est bien conçu, habilité et fonctionne en pratique.
Enfin, si vous, en tant que professionnel de la conformité, n’entendez parler de l’utilisation de l’IA dans votre organisation que lorsque cette tâche est transmise, vous devez vraiment avoir une place à la table.