Cet article s’inscrit dans la série 12 principes stratégiques en gestion des risques liés au respect de la vie privée, à la cybersécurité et à l’IA. Conçue pour les équipes de direction et les conseils d’administration, cette série vous aide à gérer les risques et à propulser l’innovation avec confiance.
L’intelligence artificielle n’est plus confinée aux équipes technologiques : elle fait partie intégrante de la stratégie d’entreprise et de la gestion des risques. Plus l’IA s’améliore et se répand, plus les décideur·euses doivent la surveiller et se responsabiliser. Si vous croyez que l’IA pose des risques purement informatiques, détrompez-vous : ses ramifications sont partout.
Pourquoi est-ce important?
L’IA est de plus en plus fréquemment utilisée comme outil décisionnel dans des secteurs névralgiques comme la finance, l’emploi, la santé et les infrastructures nationales. Les erreurs peuvent coûter cher : allégations de discrimination, atteintes à la vie privée, litiges en matière de propriété intellectuelle, opacité des algorithmes… La surveillance réglementaire s’intensifie, et le nouveau ministre canadien de l’IA a laissé entendre que de nouvelles lois et plusieurs régimes internationaux établiront des normes de transparence et de vérifiabilité.
Les parties prenantes, dont les investisseurs et les clients, posent de très bonnes questions sur la gouvernance de l’IA et ne se contentent plus de vagues allusions à une utilisation « éthique ». Elles s’attendent à ce que le conseil d’administration exerce une surveillance éclairée et proactive.
Ce que les équipes de direction et les conseils d’administration doivent prioriser
1. Formation des membres du CA
Le conseil d’administration doit être capable de poser les bonnes questions sur l’IA. Ses membres doivent donc se former en continu sur les aspects technologiques, juridiques et éthiques. En effet, une bonne connaissance de l’IA est essentielle à leur rôle de surveillance.
2. Cadre de gouvernance interfonctionnel
Protection de la vie privée, affaires juridiques, RH, conformité, TI, unités opérationnelles : toutes ces équipes doivent participer à la gouvernance de l’IA. Les structures doivent prévoir clairement les responsabilités de chacune, les droits décisionnels, les procédures d’escalade et les rapports hiérarchiques.
3. Gestion des risques associés à l’approvisionnement et aux fournisseurs
Beaucoup de systèmes d’IA sont fournis par des tiers. Le conseil d’administration doit vérifier que les processus d’approvisionnement prévoient une évaluation des risques éthiques et juridiques ainsi que des obligations en matière de transparence, d’explicabilité et de traitement des données.
4. Vérifiabilité et reddition de comptes
Les systèmes d’IA doivent être traçables. C’est pourquoi le conseil d’administration doit exiger les documents nécessaires à la tenue de vérifications internes et externes : données d’entraînement, mises à jour du modèle, usage prévu, procédures de secours.
5. Désignation d’une personne responsable
Qui s’occupe des risques associés à l’IA? Le conseil d’administration doit connaître la personne responsable au sein de la direction et la façon de mesurer son rendement. L’entreprise doit également se doter de politiques internes, d’IRC et de mécanismes de reddition de comptes.
Dernières réflexions
La gouvernance responsable de l’IA, ça part d’en haut. Le conseil d’administration doit aller au-delà des énoncés de vision et exiger une stratégie concrète de gestion des possibilités et des risques associés à l’IA. Pour les équipes de direction, les aspirations ne suffisent pas : structure, curiosité et engagement sont les mots d’ordre.
