Qu'est-ce que la gouvernance de l'IA ?
La gouvernance de l'IA est l'ensemble des cadres, des politiques et des processus que les organisations utilisent pour s'assurer que les systèmes d'intelligence artificielle sont développés, déployés et exploités de manière responsable tout au long de leur cycle de vie. Le terme désigne tous les mécanismes de surveillance qui abordent les considérations éthiques, la conformité réglementaire, la gestion des risques et la responsabilité des décisions et des résultats générés par l'IA.
À mesure que les systèmes d'IA sont de plus en plus intégrés dans les opérations commerciales et sociétales, de solides pratiques de gouvernance sont devenues essentielles. Les organisations subissent une pression croissante de la part des régulateurs, des clients et des parties prenantes pour démontrer que leur IA fonctionne de manière transparente, équitable et sûre. Sans gouvernance structurée, les organisations risquent des amendes réglementaires, des biais algorithmiques, des violations de la vie privée et une érosion de la confiance des parties prenantes et/ou des clients. En bref. une gouvernance efficace de l'IA fournit des garde-fous qui permettent l'innovation tout en gérant systématiquement ces risques.
Ce guide explore les principes et cadres fondamentaux qui définissent la gouvernance de l'IA, examine comment les organisations peuvent créer et personnaliser des structures de gouvernance, et aborde les défis pratiques de la mise en œuvre de la gouvernance dans les systèmes d'IA traditionnels et génératifs.
Définition de la gouvernance de l'IA : principes fondamentaux et portée
Qu'est-ce que la gouvernance de l'IA ?
La gouvernance de l'IA s'étend à l'ensemble du cycle de vie de l'IA, du développement initial et de l'entraînement jusqu'au déploiement, au monitoring, à la maintenance et au retrait éventuel. Contrairement à la gouvernance IT traditionnelle, la gouvernance de l'IA doit relever les défis uniques posés par des systèmes qui apprennent à partir de données, prennent des décisions autonomes et génèrent des résultats inédits.
Fondamentalement, la gouvernance de l'IA établit la responsabilité des processus de prise de décision de l'IA. Par exemple, lorsqu'un système d'IA recommande le refus d'un prêt, signale un contenu à supprimer ou influence les décisions d'embauche, les systèmes de gouvernance déterminent qui est responsable de ces résultats et comment les organisations peuvent examiner, expliquer et contester ces décisions. En bref, ce cadre de responsabilité est ce qui relie les systèmes techniques aux politiques organisationnelles plus larges et aux objectifs commerciaux.
La gouvernance de l'IA aborde également des impacts sociétaux plus importants. Les systèmes entraînés sur des données historiques peuvent perpétuer des biais à l'encontre des groupes protégés, tandis que l'émergence des applications d'IA soulève des questions sur la suppression d'emplois, l'érosion de la vie privée et la concentration accrue du pouvoir technologique. Les cadres de gouvernance sont les mécanismes qui aident les organisations à gérer ces problématiques en mettant en place des processus d'examen éthique, des mécanismes d'engagement des parties prenantes et des protocoles d'évaluation d'impact dans les flux de travail de développement et de déploiement de l'IA.
Une gouvernance efficace relie les contrôles techniques (tels que les tests de modèles, le monitoring des performances ou la validation des données) aux structures organisationnelles (comités de surveillance, définitions claires des rôles, procédures d'escalade) et à des mécanismes de responsabilisation plus larges (pistes d'audit, normes de documentation, transparence pour les parties prenantes).
Concepts clés : cadre, principes et piliers
La gouvernance de l'IA repose sur plusieurs piliers qui fonctionnent ensemble pour créer une surveillance complète. Ces piliers couvrent la structure organisationnelle, la conformité juridique, les considérations éthiques, l'infrastructure technique et la sécurité tout au long du cycle de vie de l'IA.
Les principes de l'IA de l'Organisation de coopération et de développement économiques (OCDE) fournissent un cadre fondamental reconnu par 47 pays. Établis pour la première fois en 2019 et mis à jour en 2024, ces principes définissent des valeurs auxquelles les systèmes d'IA doivent adhérer, notamment l'inclusivité, la durabilité et la promotion du bien-être humain, tout en respectant les droits de l'homme, les valeurs démocratiques et l'état de droit. Le cadre comprend également d'autres principes clés comme la transparence et l'explicabilité, la robustesse et la sécurité, ainsi que la responsabilité. L'objectif de l'OCDE était de fournir aux organisations des points de repère lors du développement de leurs propres structures de gouvernance. Aujourd'hui, plus de 1 000 initiatives politiques en matière d'IA dans plus de 70 juridictions suivent ces principes.
Aussi importants et novateurs que soient les principes de l'OCDE, d'autres directives éthiques éclairent les structures de gouvernance, telles que :
- Approche centrée sur l'humain : Cela place le bien-être et la dignité de l'être humain au centre de la conception de l'IA.
- Équité : Cela nécessite d'identifier et d'atténuer les biais de manière proactive.
- Inclusivité : pour garantir que les systèmes d'IA servent les diverses populations de manière équitable.
L'ensemble de ces principes établit un cadre théorique/conceptuel sur lequel une gouvernance de l'IA concrète peut être bâtie. Il est cependant important de noter que la relation entre les cadres de gouvernance de l'IA, les pratiques d'IA responsable et les considérations éthiques suit une hiérarchie claire. Par exemple, les principes éthiques fournissent les valeurs fondamentales, tandis que les pratiques d'IA responsable traduisent ces valeurs en bonnes pratiques techniques et opérationnelles. Enfin, les cadres de gouvernance fournissent les structures organisationnelles, les politiques et les mécanismes d'application qui garantissent que ces pratiques sont suivies de manière cohérente.
Il est essentiel de comprendre la distinction entre les principes et les cadres. Les principes sont des valeurs directrices ; ce sont des déclarations sur ce qui est important et pourquoi. Les cadres sont des structures opérationnelles ; considérez-les comme les politiques, les procédures, les rôles et les points de contrôle qui mettent les principes en pratique. Par exemple, l'"équité" est un principe ; le cadre de gouvernance exprime ce principe via un protocole de test de biais avec des métriques définies, des cadences de révision et des procédures de remédiation.
Cadres essentiels pour la gouvernance de l'IA
Examen des principaux cadres de gouvernance de l'IA
Il existe plusieurs cadres établis qui fournissent des points de départ aux organisations qui élaborent des programmes de gouvernance. Bien que leurs objectifs soient similaires, chacun propose des priorités et des approches différentes, conçues pour s'adapter à divers types d'organisations et d'environnements réglementaires.
- Les principes de l'OCDE sur l'IA mettent l'accent sur cinq valeurs fondamentales : la croissance inclusive, le développement durable, le bien-être, la transparence, la robustesse, la sécurité et la responsabilité. Ces principes influencent les approches réglementaires dans le monde entier et fournissent une base fondée sur des valeurs que les organisations peuvent adopter. Fait essentiel, les principes sont non contraignants, ce qui permet aux gouvernements et aux organisations de les mettre en œuvre dans leur contexte particulier tout en adhérant à une norme mondiale plus large.
Le règlement de l'UE sur l'IA adopte une approche réglementaire basée sur les risques. Ce règlement classe les systèmes d'IA en fonction de leur impact potentiel et comprend quatre niveaux de risque :
a. Risque inacceptable : Systèmes interdits comme la notation sociale
b. Risque élevé : Incluant les systèmes dans les infrastructures critiques, l'emploi et l'application de la loi. Ceux-ci sont soumis à des exigences strictes en matière de gouvernance des données, de documentation, de transparence, de surveillance humaine et de précision.
c. Risque limité : Exiger la transparence
d. Risque minimal : non réglementé
- Le framework de gestion des risques de l'IA du NIST fournit une approche structurée pour gérer les risques liés à l'IA tout au long de son cycle de vie. Le framework organise les activités en quatre fonctions : gouverner, cartographier, mesurer et gérer. Le framework a été développé en collaboration avec plus de 240 organisations des secteurs d'activité privés, du monde universitaire, de la société civile et du gouvernement, et il est particulièrement utile pour les organisations qui recherchent une approche axée sur les risques s'intégrant aux processus de gestion des risques d'entreprise existants. Le NIST a conçu le framework pour qu'il soit volontaire, respectueux des droits, non sectoriel et agnostique quant aux cas d'utilisation.
- ISO/IEC 42001 propose des spécifications techniques pour les systèmes de gestion de l'IA, en se concentrant sur la qualité, la fiabilité et la gestion du cycle de vie. En tant que première norme certifiable au monde pour les systèmes de gestion de l'IA, la norme spécifie les exigences pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un système de gestion de l'IA au sein des organisations.
En plus de ces cadres d'IA plus larges, les organisations individuelles développent également des cadres internes complets qui répondent aux défis de la gouvernance tout au long du cycle de vie de l'IA. Bien qu'ils adhèrent à des principes généraux, tout cadre doit équilibrer la complexité et la rigueur de la gouvernance avec la maturité de l'IA d'une organisation, son exposition aux risques et ses obligations réglementaires, ce qui fait de la gouvernance une solution sur mesure pour une organisation. Par exemple, une startup qui développe un seul chatbot destiné aux clients aura besoin de structures de gouvernance différentes d'une institution financière mondiale déployant des centaines de modèles d'IA pour l'évaluation des risques, le trading et le service client. Et pour résoudre certains de ces défis globaux de gouvernance, Databricks a développé un cadre qui intègre la structure organisationnelle, la conformité juridique, la surveillance éthique, la gouvernance des données et la sécurité dans une approche unifiée.
Créer et personnaliser un cadre de gouvernance
L'avantage de ces cadres de gouvernance de l'IA de premier plan est qu'ils permettent aux organisations d'évaluer et d'adapter les cadres existants à leurs besoins spécifiques, plutôt que de les créer à partir de zéro. Outre le gain de temps, cette approche intègre les meilleures pratiques et garantit l'alignement sur les normes internationalement reconnues.
- Évaluation : commencez par évaluer la maturité de votre organisation en matière d'IA et ses cas d'utilisation. Cataloguez les initiatives d'IA existantes et planifiées, en évaluant leur impact commercial, leur complexité technique et leur profil de risque. Une organisation qui utilise principalement l'IA pour des outils de productivité internes, par exemple, fait face à des exigences de gouvernance différentes de celles d'une organisation qui déploie l'IA dans des décisions de crédit ou des diagnostics médicaux en contact avec les clients.
- Exigences réglementaires : ensuite, identifiez les exigences réglementaires et les normes des secteurs d'activité pertinentes. Les organisations opérant dans le secteur de la santé doivent se conformer aux exigences de l'HIPAA, tandis que les entreprises de services financiers doivent tenir compte des lois sur l'équité en matière de crédit et des réglementations anti-discrimination. Si une entreprise opère dans plusieurs juridictions, elle doit composer avec des lois variables sur la confidentialité des données, des réglementations spécifiques à l'IA et des restrictions sur les transferts de données transfrontaliers.
- Déterminer la tolérance au risque et les priorités de gouvernance : ces éléments varient en fonction de la culture organisationnelle, des attentes des parties prenantes et des objectifs commerciaux. Certaines organisations privilégient la rapidité de mise sur le marché et peuvent accepter un risque plus élevé avec une gouvernance plus légère pour les applications à faible impact. D'autres, en particulier dans les Secteurs d'activité très réglementés ou celles ayant de forts engagements éthiques, peuvent mettre en œuvre une gouvernance rigoureuse même pour les applications à risque modéré.
- Évaluer les Ressources et la structure organisationnelle : la gouvernance nécessite des rôles dédiés, une collaboration interfonctionnelle, une infrastructure technique pour le monitoring et la documentation, ainsi qu'un parrainage de la part d'un dirigeant. Les organisations doivent concevoir des cadres de gouvernance qu'elles peuvent réellement mettre en œuvre et maintenir compte tenu de leurs ressources et de leur structure.
- Sélectionner des cadres de base : plutôt que d'adopter un seul cadre dans son intégralité, de nombreuses organisations combinent des éléments de plusieurs cadres. Par exemple, une organisation peut adopter les principes de l'OCDE comme fondement éthique, utiliser la structure de gestion des risques du NIST pour ses processus opérationnels et intégrer les exigences de la législation sur l'IA de l'UE pour les systèmes déployés sur les marchés européens.
- Personnaliser les cadres existants : Une fois que vous avez sélectionné un cadre de base, ajustez les exigences pour qu'elles correspondent à vos applications d'IA et à votre profil de risque. En d'autres termes, un cadre conçu pour la sécurité des véhicules autonomes peut être trop rigoureux pour un moteur de recommandation marketing, tandis qu'un cadre conçu pour de simples modèles de ML peut être insuffisant pour les grands modèles de langage dotés de vastes capacités. C'est là que les parties prenantes peuvent personnaliser les cadres en fonction de leurs besoins.
- Garantir une contribution interfonctionnelle : impliquez les parties prenantes des domaines juridique, technique, commercial et éthique tout au long du développement du cadre. Chaque équipe possède son propre domaine d'expertise qu'elle peut apporter : les équipes techniques comprennent les capacités et les limites du modèle, les équipes juridiques identifient les obligations de conformité, les dirigeants d'entreprise peuvent articuler la tolérance au risque et les priorités stratégiques, et l'expertise en éthique aide à gérer les arbitrages de valeurs complexes.
- Rendre le cadre exploitable, mesurable et évolutif : En définissant dès le départ des procédures claires, des critères de décision et des indicateurs de réussite, vous préparez votre gouvernance à la réussite. La gouvernance doit spécifier qui approuve quels types d'initiatives d'IA, quelle documentation est requise, quels tests doivent être effectués avant le déploiement, et comment s'effectue le monitoring. Les cadres qui n'existent que sous la forme de principes de haut niveau sans procédures opérationnelles claires sont rarement mis en œuvre de manière cohérente.
Éthique, droits de l'homme et IA responsable
La différence entre l'IA responsable et la gouvernance de l'IA
Les termes « IA responsable » et « gouvernance de l'IA » sont souvent utilisés de manière interchangeable. Ce sont bien sûr des concepts distincts, mais ils collaborent pour garantir que les systèmes d'IA fonctionnent de manière éthique et sûre.
L'IA responsable désigne les principes, les valeurs et les bonnes pratiques permettant de développer et de déployer l'IA de manière éthique. La mise en œuvre de l'IA responsable implique de s'engager en faveur de l'équité, de la transparence, de la responsabilité, de la protection de la vie privée et du bien-être humain. En d'autres termes, l'IA responsable est principalement le fondement théorique sur lequel reposent les normes et les valeurs éthiques qui guident les travaux en matière d'IA.
La gouvernance de l'IA, d'autre part, fait référence aux structures organisationnelles, aux processus, aux politiques et aux mécanismes d'application qui garantissent que les principes de l'IA responsable sont réellement suivis. Si l'IA responsable est la théorie, la gouvernance est la pratique réelle de la manière dont les organisations mettent en œuvre, vérifient et maintiennent ces pratiques de manière systématique pour toutes les initiatives d'IA. Les cadres de gouvernance doivent aborder à la fois les engagements éthiques volontaires et les exigences réglementaires obligatoires.
Les contextes réglementaires illustrent cette relation, car les lois et réglementations codifient de plus en plus les attentes éthiques en exigences de conformité spécifiques. La loi de l'UE sur l'IA, par exemple, transforme les principes éthiques de transparence et d'équité en obligations légales spécifiques que les entreprises doivent respecter, ainsi qu'en mesures disciplinaires lorsqu'elles s'en écartent.
Une autre façon dont ces deux concepts interagissent est la manière dont ils éclairent les décisions de gouvernance au quotidien. Par exemple, si un comité d'éthique de l'IA examine un projet de déploiement de la reconnaissance faciale, il applique des principes éthiques tels que la protection de la vie privée, le consentement et le risque d'impact discriminatoire. L'application de ces principes s'exprime dans leurs processus de gouvernance tels que l'évaluation d'impact, la consultation des parties prenantes et les exigences d'approbation. Les principes fournissent le cadre de valeurs ; la gouvernance fournit la structure opérationnelle pour appliquer ces valeurs de manière cohérente.
Opérationnalisation des principes éthiques
Traduire des normes éthiques abstraites en politiques de gouvernance concrètes peut s'avérer difficile et nécessite des approches systématiques et des mécanismes de mise en œuvre spécifiques. Voici quelques-unes des approches courantes :
- Fiches de modèle : Elles fournissent une documentation normalisée qui explique l'utilisation prévue d'un modèle, ses limites, ses caractéristiques de performance et les considérations éthiques. Cela contribue à faire de la transparence une caractéristique concrète plutôt qu'une aspiration.
- Audits des biais : en utilisant des tests quantitatifs pour mesurer l'équité au sein de différents groupes démographiques, ce processus met en œuvre les principes d'équité en résultats mesurables avec des seuils définis pour des performances acceptables.
- Validation par les parties prenantes : Ce processus intègre les retours de diverses parties prenantes pendant le développement pour garantir que diverses perspectives éclairent les décisions de conception.
- Systèmes de notation des risques : ils évaluent des facteurs tels que l'intervention humaine requise, l'intensité de la surveillance et les besoins en matière de planification d'urgence. L'objectif des systèmes de notation des risques est de faire correspondre la rigueur de la gouvernance aux niveaux de risque réels.
- Comités d'examen éthique : pour aider à fournir des voies d'escalade structurées, un comité d'examen éthique peut être composé d'équipes interfonctionnelles qui évaluent les initiatives à haut risque par rapport à des critères éthiques avant leur approbation.
- Monitoring continu : Quelle que soit la minutie avec laquelle un processus de gouvernance est mis en œuvre, il est essentiel de suivre les performances des modèles, de détecter les drift et de signaler les anomalies en temps réel. Les outils automatisés peuvent aider les organisations à faire de ces examens une pratique systématique.
Au-delà de ces approches plus larges pour rendre l'éthique opérationnelle, il existe également des mécanismes spécifiques qui traitent des principes éthiques individuels :
- Explicabilité : les exigences en matière d'explicabilité se traduisent par des normes de documentation, des fiches de modèle qui décrivent les capacités et les limites du système, et des pistes d'audit qui suivent la manière dont les décisions sont prises. Les organisations peuvent exiger que tous les systèmes d'IA à fort impact incluent des explications pour les décisions individuelles, le niveau de détail étant adapté à l'importance de la décision.
- Confidentialité : Les protections de la vie privée deviennent opérationnelles grâce à des pratiques de minimisation des données, des systèmes de gestion du consentement, des procédures de conformité au RGPD, des techniques de confidentialité différentielle et des contrôles d'accès. Les politiques de gouvernance spécifient quelles données peuvent être utilisées pour l'entraînement de l'IA, combien de temps elles peuvent être conservées et quelles protections de la vie privée doivent être mises en œuvre.
- Équité : les principes d'équité sont opérationnalisés par le biais de protocoles de test de biais menés à plusieurs étapes du cycle de vie, d'exigences en matière de données d'entraînement diverses et représentatives, de métriques d'équité définies et adaptées à chaque domaine d'application, et de procédures de remédiation lorsqu'un biais est détecté. Les organisations doivent spécifier ce qui constitue un biais inacceptable pour différents cas d'utilisation et quelles actions sont requises lorsque les tests révèlent des problèmes.
- Sécurité : Les procédures de sécurité sont généralement menées avant le déploiement via des protocoles de test qui évaluent le comportement du système dans diverses conditions et des plans de réponse aux incidents pour les cas où les systèmes se comportent de manière inattendue. Elles peuvent également comporter des capacités de restauration permettant une désactivation rapide du système en cas de problème.
- Mise en place de processus d'examen éthique : De nombreuses organisations créent des comités d'éthique de l'IA composés de représentants de fonctions et d'horizons divers pour relever les défis systémiques. Ces comités examinent les initiatives d'IA à haut risque, évaluent les implications éthiques, recommandent des modifications et approuvent ou rejettent les déploiements. Des processus clairs permettent de spécifier ce qui déclenche un examen éthique, quelles informations doivent être fournies et comment les décisions sont prises et documentées.
- Considérations relatives aux droits de l'homme : Comprendre comment les systèmes d'IA peuvent affecter les droits fondamentaux, tels que la vie privée, la liberté d'expression et le droit à une procédure régulière, est essentiel pour un déploiement responsable. Les cadres de gouvernance devraient inclure des évaluations d'impact sur les droits de l'homme pour les systèmes susceptibles d'affecter ces droits, en accordant une attention particulière aux populations vulnérables.
- Mécanismes de responsabilisation : enfin, la création de mécanismes de responsabilisation permet de déterminer ce qu'il advient lorsque les normes éthiques sont violées ou compromises. Cela inclut les procédures de signalement d'incidents, les processus d'enquête, les exigences de remédiation et les conséquences en cas de violation. Les mécanismes de responsabilisation garantissent que toute violation ou compromission de la gouvernance est suivie de conséquences.