Note de la rédaction : cet article, rédigé par Alastair Parr, vice-président senior de Prevalent, Global Products & Services, a été initialement publié sur www.corporatecomplianceinsights.com.
-
Alors que l'attention se concentre actuellement sur la conformité interne aux nouvelles réglementations en matière d'IA, Alastair Parr, de Prevalent, estime que les entreprises ne doivent pas négliger un aspect externe majeur : les tiers.
L'intelligence artificielle (IA) est en train de transformer rapidement le monde moderne, et les gouvernements s'empressent de mettre en place des mesures de protection afin de garantir son utilisation responsable. La croissance rapide de cette technologie a également conduit les entreprises de presque tous les secteurs verticaux à adopter l'IA, car elle leur permet de gagner en productivité et en efficacité, avec pour objectif ultime d'améliorer leurs résultats financiers.
Cependant, ces opportunités s'accompagnent de responsabilités importantes pour les entreprises, qui doivent déployer l'IA de manière éthique et dans le respect de la loi. Cette responsabilité doit s'étendre non seulement à leurs propres pratiques, mais aussi à celles de tous les tiers avec lesquels elles travaillent, y compris les fournisseurs et les prestataires de services.
La gestion des nombreux aspects liés au déploiement sûr et responsable de l'IA sera particulièrement difficile pour les entreprises basées dans les régions à la pointe de la réglementation en matière d'IA, notamment les États-Unis, le Canada, l'Union européenne et le Royaume-Uni.
Ces régions mettent en place des cadres réglementaires spécifiques pour encadrer cette technologie en pleine évolution. Il sera essentiel pour les entreprises opérant dans ces régions de comprendre et de respecter ces réglementations afin d'éviter toute répercussion juridique et de conserver la confiance des parties prenantes.
La route à venir
Les organismes de réglementation du monde entier sont en train de décider comment réglementer l'intelligence artificielle, et les entreprises doivent suivre de près l'évolution de la situation, car les propositions deviendront des lois contraignantes. Même s'il y aura des variations d'un pays à l'autre, la plupart des règles proposées se concentrent sur la confidentialité, la sécurité et les questions ESG concernant la manière dont les entreprises peuvent utiliser l'IA de manière éthique et légale.
Par exemple, aux États-Unis, le cadre de gestion des risques liés à l'IA du NIST a été introduit en janvier 2023 afin « d'offrir une ressource aux organisations qui conçoivent, développent, déploient ou utilisent des systèmes d'IA pour les aider à gérer les nombreux risques liés à l'IA et promouvoir un développement et une utilisation fiables et responsables des systèmes d'IA ». Ce cadre volontaire offre des conseils complets sur l'élaboration d'une stratégie de gouvernance de l'IA pour les organisations.
Les organisations devraient appliquer les principes de gestion des risques afin d'atténuer les impacts négatifs potentiels des systèmes d'IA, tels que :
- Failles de sécurité et applications d'IA : sans gouvernance et mesures de protection adéquates, votre organisation pourrait être exposée à des violations de son système ou de ses données.
- Manque de transparence dans les méthodologies ou les mesures des risques liés à l'IA : des pratiques de mesure et de reporting inadéquates peuvent conduire à une sous-estimation de l'impact des risques potentiels liés à l'IA.
- Politiques de sécurité IA incohérentes : lorsque les politiques de sécurité IA ne sont pas alignées sur les procédures de gestion des risques existantes, cela peut entraîner des audits complexes et urgents, pouvant avoir des conséquences négatives sur le plan juridique ou en matière de conformité.
Tout ce qui précède concerne non seulement les entreprises, mais aussi leurs partenaires, fournisseurs et autres tiers avec lesquels elles font affaire. De plus en plus, les entreprises doivent s'attendre à être tenues responsables de la manière dont leurs fournisseurs, prestataires et autres partenaires tiers utilisent l'IA, en particulier en ce qui concerne la gestion des données de leurs clients.
Les années à venir permettront de clarifier la manière dont les organisations du monde entier devront adapter leurs stratégies en matière d'IA, et la gestion des risques liés aux tiers deviendra probablement un élément de plus en plus important de l'équation.
L'adoption de nouvelles lois entraînera de nouvelles réalités pour les entreprises de tous les secteurs. Il est temps de commencer à se préparer à ces nouvelles réalités, notamment en établissant des politiques d'utilisation acceptable de l'IA et en communiquant ces politiques à des tiers.
Atténuer les risques liés à l'IA tierce
Quel que soit le lieu, une approche prudente et un engagement proactif auprès des fournisseurs constituent des stratégies essentielles pour gérer ces risques. Les entreprises doivent reconnaître que la gouvernance responsable de l'IA va au-delà de leurs opérations internes et englobe les pratiques de toutes les parties impliquées dans leur écosystème d'IA.
Chaque entreprise a des objectifs et des défis qui lui sont propres, ce qui signifie que les relations avec les partenaires tiers varient considérablement. Cependant, il existe certaines mesures fondamentales que toute entreprise peut prendre pour atténuer de manière proactive les risques liés à l'IA associés aux relations avec des tiers :
- Identifiez les partenaires tiers qui utilisent l'IA et la manière dont ils l'utilisent. Réalisez un inventaire complet afin d'identifier lesquels de vos fournisseurs tiers utilisent l'IA et dans quelle mesure. Ce processus implique de poser des questions pertinentes afin de comprendre les risques inhérents à leurs applications d'IA, notamment en matière de confidentialité des données, de partialité et de responsabilité.
- Développez un système permettant de classer et d'évaluer l'utilisation de l'IA par des tiers. Mettez à jour votre système de classement des partenaires tiers en fonction de leur utilisation de l'IA et des risques associés. Tenez compte de facteurs tels que la sensibilité des données qu'ils traitent, l'impact de leurs applications d'IA sur les parties prenantes et les processus opérationnels, ainsi que leur niveau de transparence et de responsabilité dans les processus décisionnels liés à l'IA.
- Évaluez les risques en détail. Il est essentiel d'aller au-delà des évaluations superficielles, ce qui peut être fait en procédant à des analyses détaillées des pratiques des tiers en matière d'IA. Cela comprend l'évaluation de leurs structures de gouvernance, de leurs protocoles de sécurité des données, de la transparence dans l'utilisation de l'IA et de l'étendue de la surveillance et de l'intervention humaines dans la prise de décision par l'IA. Utilisez les cadres de conformité établis et les meilleures pratiques du secteur, tels que le cadre NIST, comme guide pendant le processus de diligence raisonnable.
- Dans la mesure du possible, recommandez des stratégies d'atténuation. Sur la base des conclusions de vos évaluations des risques et de votre notation par niveaux, recommandez des mesures correctives spécifiques à vos partenaires tiers. Ces mesures peuvent inclure le renforcement des protocoles de sécurité des données, la mise en œuvre de stratégies de détection et d'atténuation des biais, la garantie de la transparence dans la prise de décision par l'IA et l'établissement de clauses contractuelles visant à faire respecter les pratiques éthiques en matière d'IA.
- Mettez en place un suivi continu. Reconnaissez que l'atténuation des risques liés aux tiers est un processus continu qui nécessite une surveillance et une évaluation constantes. Pour cette raison, développez des mécanismes de suivi continu des pratiques des tiers en matière d'IA, notamment des audits réguliers, des examens des changements de politique et de contrôle, et restez informé des questions émergentes liées à l'IA qui pourraient avoir une incidence sur votre entreprise.
À mesure que les gouvernements mettent en place de nouveaux cadres réglementaires et juridiques autour de l'IA, les entreprises doivent de plus en plus considérer leurs fournisseurs et leurs partenaires tiers comme une autre source de risque qu'il convient d'atténuer et de gérer. La mise en œuvre de ces mesures importantes nécessite une expertise en matière de gouvernance de l'IA, qui est actuellement très recherchée. Les entreprises qui ne disposent pas d'équipes dédiées à la gestion des risques liés à l'IA peuvent trouver une aide externe auprès d'organisations spécialisées dans la navigation efficace dans ce paysage complexe.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
