Les réglementations mondiales en matière d'IA et leur impact sur la gestion des risques pour les tiers

Les gouvernements mondiaux et les organismes de normalisation ont commencé à réagir aux technologies de l'IA en adoptant de nouvelles réglementations et de nouveaux cadres de conformité, qui auront un large impact sur la gestion des risques pour les tiers dans les mois à venir.
Par :
Matthew Delman
,
Responsable du marketing produit
04 janvier 2024
Partager :
Blog Règlements sur l'IA 01 24

La réglementation des technologies d'intelligence artificielle est en cours dans le monde entier, notamment aux États-Unis, au Royaume-Uni, dans l'Union européenne et au Canada. Les organismes de réglementation de ces pays ont proposé ou finalisé des documents mettant l'accent sur des restrictions absolues, un développement consciencieux et des processus d'approbation. Les différents points de vue exprimés dans les différentes zones géographiques créent une mosaïque de réglementations complexes pour les gestionnaires de risques tiers et les professionnels de la cybersécurité qui cherchent à trouver un équilibre entre les gains d'efficacité et le développement responsable.

Dans ce billet, nous examinerons les développements réglementaires en matière d'IA et les déclarations d'intention de personnalités politiques et d'organismes de normalisation aux États-Unis, au Royaume-Uni, dans l'Union européenne et au Canada. En outre, nous examinerons l'impact de chaque réglementation sur le paysage de la gestion des risques des tiers.

La loi sur l'intelligence artificielle de l'Union européenne

L'UE a fait parler d'elle au début du mois de décembre lorsque le Parlement européen est parvenu à un accord sur l'adoption de la loi européenne sur l'IA, qui fait des régulateurs européens les premiers à disposer d'une législation complète régissant l'IA générative et tout autre développement futur de l'IA. Il n'est pas rare que l'Europe soit à la pointe de la réglementation. En 2016, elle a été la première à se doter de règles complètes en matière de confidentialité des données avec le règlement général sur la protection des données (RGPD ). Avec la loi sur l'IA, l'Union européenne poursuit sa tradition de leader mondial en matière de réglementation.

L'Acte sur l'intelligence artificielle de l'Union européenne, officiellement le "Règlement du Parlement européen et du Conseil fixant des règles harmonisées en matière d'intelligence artificielle (Acte sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union", a été proposé à l'origine en 2021.

Les règles de cette loi sont conçues pour :

  • Traiter les risques spécifiquement créés par les applications de l'IA ;
  • Proposer une liste d'applications à haut risque ;
  • Définir des exigences claires pour les systèmes d'IA destinés à des applications à haut risque ;
  • Définir des obligations spécifiques pour les utilisateurs d'IA et les fournisseurs d'applications à haut risque ;
  • Proposer une évaluation de la conformité avant que le système d'IA ne soit mis en service ou mis sur le marché ;
  • Proposer des mesures d'exécution après la mise sur le marché d'un tel système d'intelligence artificielle ;
  • Proposer une structure de gouvernance aux niveaux européen et national.

Le Parlement européen a adopté une approche du règlement basée sur le risque. Il a défini quatre catégories de risques, qu'il a décrites à l'aide d'un modèle pyramidal, comme indiqué ci-dessous.

Pyramide des risques de l'IA de la Commission européenne

Source : Commission européenne Commission européenne

Ces quatre niveaux sont définis comme suit :

  • Risque inacceptable - Ce niveau concerne les systèmes d'IA que l'UE considère comme une menace claire pour la sécurité, les moyens de subsistance et les droits des citoyens de l'UE. Deux exemples : la notation sociale par les gouvernements - qui semble interdire l'une des utilisations courantes de l'IA en Chine - et les jouets qui utilisent l'assistance vocale pour encourager un comportement dangereux.
  • Risque élevé - Les systèmes d'IA à risque élevé sont ceux qui peuvent fonctionner dans des cas d'utilisation cruciaux pour la société. Il peut s'agir de l'IA utilisée dans l'accès à l'éducation, les pratiques d'emploi, l'application de la loi, le contrôle des frontières et l'immigration, les infrastructures critiques, l'accès à l'éducation et d'autres situations où les droits d'une personne pourraient être violés.
  • Risque limité - Cette catégorie concerne les applications d'IA soumises à des obligations de transparence spécifiques. Pensez à un chatbot sur un site web. Dans ce cas précis, les consommateurs doivent savoir qu'ils interagissent avec un logiciel ou une machine, afin de pouvoir décider en connaissance de cause de s'engager ou non.
  • Risque minimal - Également appelés "sans risque", ces systèmes d'IA sont utilisés dans des médias tels que les jeux vidéo ou les filtres anti-spam des courriers électroniques dotés d'une IA. Il semble qu'il s'agisse là de l'essentiel de l'IA utilisée dans l'UE aujourd'hui.

Les systèmes d'IA à haut risque sont soumis à des règles spécifiques et strictes auxquelles ils doivent se conformer avant de pouvoir être commercialisés. D'après l'exposé de l'UE sur la loi sur l'IA, les systèmes à haut risque suivent ces règles :

  • Des systèmes adéquats d'évaluation et d'atténuation des risques ;
  • Haute qualité des ensembles de données alimentant le système afin de minimiser les risques et les résultats discriminatoires ;
  • Enregistrement des activités pour assurer la traçabilité des résultats ;
  • Documentation détaillée fournissant toutes les informations nécessaires sur le système et sa finalité pour que les autorités puissent évaluer sa conformité ;
  • Des informations claires et adéquates pour l'utilisateur ;
  • Des mesures de surveillance humaine appropriées pour minimiser les risques ;
  • Niveau élevé de robustesse, de sécurité et de précision.

Tous les systèmes biométriques à distance, par exemple, sont considérés comme présentant un risque élevé. L'utilisation de la biométrie à distance dans les espaces publics à des fins d'identification (par exemple, la reconnaissance faciale) dans le cadre de l'application de la loi sera interdite en vertu de cette loi.

La loi sur l'IA établit un cadre juridique pour l'examen et l'approbation des applications d'IA à haut risque, dans le but de protéger les droits des citoyens, de minimiser les biais dans les algorithmes et de contrôler les impacts négatifs de l'IA.

Qu'est-ce que cela signifie pour les programmes de gestion des risques des tiers?

Les entreprises situées dans l'UE ou celles qui font des affaires avec des organisations de l'UE doivent être au courant de la législation et s'y conformer après la période de préavis applicable. Compte tenu de la définition élargie de la notion de "risque élevé" dans la loi, il peut être judicieux de poser aux vendeurs et aux fournisseurs des questions plus concrètes sur la manière dont ils utilisent l'IA et sur la façon dont ils respectent les autres réglementations pertinentes.

Les organisations devraient également examiner en profondeur leurs propres pratiques de mise en œuvre de l'IA. D'autres lois européennes sur les technologies s'appliquent toujours, de sorte que les organisations qui doivent se conformer au GDPR devraient explorer les moyens d'intégrer la conformité à la loi sur l'IA dans leur flux de travail également.

Quel sera l'impact de l'IA sur votre programme de TPRM ?

Lisez notre rapport de 16 pages pour découvrir comment l'IA peut réduire les coûts de gestion des risques de tiers, ajouter de l'échelle et permettre une prise de décision plus rapide.

Lire la suite
Ressources en vedette papier ai 1023

Gouvernance de l'intelligence artificielle aux États-Unis

Bien qu'il n'y ait pas de réglementation officielle de l'IA aux États-Unis aujourd'hui, des personnalités politiques majeures et des organismes de normalisation ont publié de nombreuses orientations sous la forme de cadres de gouvernance et de déclarations d'intention. Il s'agit notamment du cadre de gestion des risques liés à l'IA (AI RMF) du National Institute of Standards and Technology (NIST) introduit en janvier 2023, du décret du président Biden sur le développement et l'utilisation sûrs, sécurisés et fiables de l'intelligence artificielle, et du cadre d'innovation SAFE du sénateur Chuck Schumer, qui est conçu pour informer la future législation du Congrès.

Aux États-Unis, les orientations existantes en matière d'IA sont axées sur la promotion d'un développement responsable et la prise en compte des risques commerciaux. Le cadre du NIST illustre cette approche en fournissant une méthodologie pour élaborer une stratégie de gouvernance de l'IA au sein de votre organisation. Le décret du président Biden et le cadre d'innovation SAFE du sénateur Schumer sont des documents d'orientation politique destinés au pouvoir exécutif et au Congrès, qui débattent de lois destinées à régir le développement de l'IA.

Le RMF de l'IA du NIST et la gestion des risques par des tiers

Le cadre de l'IA du NIST fournit des conseils sur la manière d'élaborer une stratégie de gouvernance de l'IA dans votre organisation. Le RMF est divisé en deux parties. La première partie présente une vue d'ensemble des risques et des caractéristiques de ce que le NIST appelle les "systèmes d'IA dignes de confiance". La partie 2 décrit quatre fonctions pour aider les organisations à faire face aux risques des systèmes d'IA : Gouverner, Cartographier, Mesurer et Gérer. L'illustration ci-dessous passe en revue les quatre fonctions.

Cadre de gestion des risques liés à l'IA du NIST

Les fonctions du cadre de gestion des risques liés à l'IA. Avec l'aimable autorisation du NIST

Les organisations doivent prendre en compte les principes de gestion des risques afin de minimiser les effets négatifs potentiels des systèmes d'IA, tels que les hallucinations, la confidentialité des données et les menaces pour les droits civils. Cette considération s'étend également à l'utilisation de systèmes d'IA de tiers ou à l'utilisation de systèmes d'IA par des tiers. Les risques potentiels d'une mauvaise utilisation de l'IA par des tiers sont les suivants :

  • Vulnérabilités de sécurité dans l'application d'IA elle-même. En l'absence d'une gouvernance et de mesures de protection appropriées, votre organisation pourrait être exposée à une compromission du système ou des données.
  • Manque de transparence dans les méthodologies ou les mesures des risques liés à l'IA. Les lacunes en matière de mesure et d'établissement de rapports pourraient entraîner une sous-estimation de l'impact des risques potentiels liés à l'IA.
  • Les politiques de sécurité de l'IA qui ne sont pas cohérentes avec les autres procédures existantes de gestion des risques. Ces incohérences entraînent des audits compliqués et fastidieux qui pourraient avoir des conséquences négatives sur le plan juridique ou de la conformité.

Selon le NIST, le RMF aidera les organisations à surmonter ces risques potentiels.

Décret du président Biden sur l'IA

Le président Biden a publié son décret sur le développement de l'IA à la fin du mois d'octobre 2023. L'objectif de ce décret est de définir des orientations sur ce que M. Biden appelle le développement et l'utilisation responsables de l'IA, ainsi que d'exposer les principes spécifiques que le pouvoir exécutif - et idéalement l'ensemble du gouvernement fédéral des États-Unis - appliquera pour garantir un développement responsable.

M. Biden souligne huit principes directeurs et priorités dans le décret destiné à guider le développement de l'IA. Dans le tableau suivant, nous décrivons les principes directeurs et ce qu'ils pourraient signifier pour votre programme de TPRM.

Principe directeur

Ce que dit le ME à ce sujet

Ce que cela signifie pour vous

L'intelligence artificielle doit être sûre et sécurisée.

Le président Biden souhaite mettre en place des garde-fous autour du développement de l'IA, afin de s'assurer que les produits développés à l'aide de cette technologie sont résistants aux attaques, peuvent être facilement évalués et sont aussi sûrs que possible à utiliser.

Le gouvernement fédéral devrait fournir davantage de conseils sur la manière d'utiliser l'IA dans vos produits et sur ce qu'il faut rechercher dans l'utilisation de l'IA dans les travaux de vos fournisseurs. Dans l'intervalle, le RMF AI du NIST peut servir de guide.

La promotion d'une innovation, d'une concurrence et d'une collaboration responsables permettra aux États-Unis d'être à la pointe de l'IA et de libérer le potentiel de la technologie pour résoudre certains des défis les plus difficiles de la société.

M. Biden a l'intention d'investir dans l'éducation, la formation et la recherche en matière d'IA afin de donner aux États-Unis une longueur d'avance dans la course mondiale à l'armement en matière d'IA. L'objectif est également d'encourager la concurrence, afin que les grandes entreprises aux poches bien garnies ne s'emparent pas du marché.

À l'avenir, un grand nombre de petits éditeurs de logiciels et de fournisseurs pourraient tirer parti des outils d'IA. Sachez quelles entreprises de votre chaîne d'approvisionnement intègrent des capacités d'IA et préparez-vous à les évaluer en conséquence.

Le développement et l'utilisation responsables de l'IA requièrent un engagement à soutenir les travailleurs américains.

L'administration Biden veut s'assurer que les outils d'IA n'entraînent pas un chômage généralisé ou des difficultés sur le marché du travail.

Commencez à élargir vos examens des risques liés à l'IA au-delà de la cybersécurité et de la confidentialité des données. Il s'agit notamment d'examiner comment l'IA est utilisée dans les pratiques d'embauche ou d'autres opérations quotidiennes telles que le support client et la gestion des stocks.

L'IA aura probablement un impact sociétal important. Dans le cadre de votre suivi ESG, vous devez comprendre comment les fournisseurs utilisent la technologie aujourd'hui et comment ils ont l'intention de l'utiliser à l'avenir.

Les politiques en matière d'intelligence artificielle doivent être cohérentes avec l'engagement de l'administration Biden à faire progresser l'équité et les droits civils.

Ce principe directeur vise à prévenir les préjugés dans les algorithmes d'IA et à s'assurer que les organisations n'utilisent pas l'IA pour désavantager davantage les groupes historiquement sous-représentés.

L'IA deviendra bientôt une préoccupation ESG encore plus importante. Il faut s'attendre à ce que les questions sur l'utilisation de l'IA se concentrent sur l'aspect non technique de la gestion des risques des tiers au cours de l'année à venir. Veillez à ce que votre programme de gestion des risques des tiers comprenne une bibliothèque de contenus d'évaluation actualisés afin de recueillir ces informations importantes auprès des vendeurs et des fournisseurs.

Les intérêts des Américains qui, de plus en plus, utilisent, interagissent ou achètent des produits d'IA et des produits compatibles avec l'IA dans leur vie quotidienne doivent être protégés.

Le gouvernement fédéral prévoit de renforcer les protections des consommateurs contre l'utilisation de la technologie de l'IA. Il prévoit également d'examiner de nouvelles réglementations potentielles pour cette technologie.

Examinez attentivement la manière dont vos fournisseurs entendent utiliser l'IA dans leurs activités. Les réglementations fédérales actuelles s'appliquent toujours à ce secteur technologique en pleine croissance, et vous devriez demander à vos fournisseurs quels sont leurs plans concernant les éventuels problèmes de conformité à venir - y compris la confidentialité des données.

La vie privée et les libertés civiles des Américains doivent être protégées à mesure que l'IA progresse.

L'administration Biden souhaite mettre l'accent sur la confidentialité des données. Cela est d'autant plus pertinent que l'IA peut être très puissante pour extraire des données personnelles.

Portez une attention stricte à la manière dont vos fournisseurs se conforment aux lois sur la confidentialité des données. Les grands modèles de langage et autres outils d'IA pourraient devenir des risques pour la vie privée s'ils ne sont pas correctement régis.

Il est important de gérer les risques liés à l'utilisation de l'IA par le gouvernement fédéral lui-même et d'accroître sa capacité interne à réglementer, gouverner et soutenir l'utilisation responsable de l'IA afin d'obtenir de meilleurs résultats pour les Américains.

Ce principe consiste à s'assurer que le gouvernement fédéral dispose dans ses rangs de professionnels compétents en matière d'IA. M. Biden indique qu'il a l'intention de mettre l'accent sur la formation du personnel fédéral à la technologie de l'IA.

Si vous travaillez avec des fournisseurs fédéraux ou si vous êtes vous-même un fournisseur fédéral, sachez que le gouvernement va s'attacher à améliorer les compétences de son personnel en matière d'IA.

Le gouvernement fédéral devrait montrer la voie du progrès sociétal, économique et technologique à l'échelle mondiale, comme l'ont fait les États-Unis lors des précédentes périodes d'innovation et de changement perturbateurs.

L'administration Biden prévoit de collaborer avec l'industrie et les alliés internationaux pour élaborer un "cadre permettant de gérer les risques liés à l'IA, de libérer le potentiel bénéfique de l'IA et de promouvoir des approches communes face à des défis partagés".

Il faut s'attendre à ce que le gouvernement fédéral produise davantage de documents sur la gestion des risques liés à l'IA. Comme indiqué plus haut, le RMF AI du NIST doit être considéré comme un guide.

Le décret est surtout important pour les entrepreneurs fédéraux et les entreprises qui les approvisionnent. Ce qu'il faut retenir ici, c'est que le président Biden aborde les défis de l'utilisation de l'IA de manière plus générale. Cela pourrait être le signe d'un intérêt futur pour la technologie également.

Le cadre d'innovation SAFE

Pour ne pas être en reste, le sénateur Chuck Schumer (D-NY) a dévoilé en juin 2023 ce qu'il a appelé le "cadre d'innovation SAFE" pour l'intelligence artificielle. Ce cadre vise à établir une réponse politique à l'inévitable législation et aux orientations réglementaires concernant la technologie de l'IA. Le mot SAFE dans le nom du cadre signifie :

  • Sécurité: Protéger notre sécurité nationale grâce à l'IA et déterminer comment les adversaires l'utilisent, et assurer la sécurité économique des travailleurs en atténuant les pertes d'emploi et en y remédiant.
  • Responsabilité: Soutenir le déploiement de systèmes responsables pour répondre aux préoccupations liées à la désinformation et à la partialité, soutenir nos créateurs en répondant aux questions de droits d'auteur, protéger la propriété intellectuelle et traiter la question de la responsabilité.
  • Fondements: Exiger que les systèmes d'IA s'alignent sur nos valeurs démocratiques fondamentales, protéger nos élections, promouvoir les avantages sociétaux de l'IA tout en évitant les inconvénients potentiels, et empêcher le gouvernement chinois d'établir le code de la route en matière d'IA.
  • Expliquer: Déterminer les informations dont le gouvernement fédéral a besoin de la part des développeurs et déployeurs d'IA pour mieux gérer le bien public, et les informations que le public a besoin de connaître sur un système, des données ou un contenu d'IA.

Ce qui ressort clairement de ce cadre, c'est l'intention du Sénat américain d'envisager plus concrètement la réglementation de la technologie de l'IA au niveau fédéral. Cela sort du cadre du décret pris par le président Biden et pourrait influencer la législation future.

Le projet de loi britannique sur la réglementation de l'intelligence artificielle

Au Royaume-Uni, Lord Holmes of Richmond a présenté un projet de loi sur la réglementation de l'IA à la Chambre des Lords. Il s'agit du deuxième projet de loi présenté au Parlement visant à réglementer l'utilisation de l'intelligence artificielle au Royaume-Uni. Le projet de loi initial, portant à la fois sur l'IA et les droits des travailleurs, a été présenté à la Chambre des communes vers la fin de la session législative de 2022 à 2023, mais a été abandonné en mai 2023 en raison de la fin de la session.

Ce nouveau projet de loi sur l'IA, présenté en novembre 2023, a une portée plus large. Lord Holmes a introduit le règlement pour mettre des garde-fous autour du développement de l'IA et définir qui serait responsable de la définition des futures restrictions législatives sur l'IA au Royaume-Uni.

Le projet de loi, qui a été examiné en première lecture par la Chambre des Lords le 22 novembre 2023, présente quelques caractéristiques essentielles. Il s'agit notamment de

  • La création d'une autorité de l'intelligence artificielle (AI Authority ) chargée d'assurer une approche cohérente de l'intelligence artificielle au sein du gouvernement britannique. Elle est également chargée d'adopter une approche prospective de l'IA et de veiller à ce que tout cadre réglementaire futur s'aligne sur les cadres internationaux.
  • La définition de principes réglementaires clés, qui met en place des garde-fous autour des réglementations que l'Autorité de l'IA proposée peut et doit créer. Selon le projet de loi, toute réglementation de l'IA mise en place doit respecter les principes de transparence, de responsabilité, de gouvernance, de sûreté, de sécurité, d'équité et de contestabilité. Le projet de loi précise également que les applications de l'IA doivent être conformes à la législation sur l'égalité, être inclusives dès leur conception et répondre aux besoins des "classes socio-économiques inférieures, des personnes âgées et des personnes handicapées".
  • Définir la nécessité d'établir des "bacs à sable " réglementaires qui permettent aux régulateurs et aux entreprises de travailler ensemble pour tester efficacement les nouvelles applications de l'intelligence artificielle. Ces "bacs à sable" peuvent également offrir aux entreprises un moyen de comprendre et d'identifier les garanties appropriées pour les consommateurs afin de faire des affaires au Royaume-Uni.
  • Plaider en faveur de la nomination de responsables de l'IA dans chaque entreprise désireuse de faire des affaires au Royaume-Uni. Le rôle de ce responsable est de veiller à ce que toute application de l'IA dans l'entreprise soit aussi impartiale et éthique que possible, tout en s'assurant que les données utilisées dans l'IA restent impartiales.
  • des lignes directrices sur la transparence, les obligations en matière de propriété intellectuelle et l'étiquetage, qui stipulent que les entreprises utilisant l'IA doivent fournir un relevé de toutes les données de tiers utilisées pour former leur modèle d'IA, respecter toutes les lois pertinentes en matière de propriété intellectuelle et de droits d'auteur, et indiquer clairement que leur logiciel utilise l'IA. Ce volet accorde également aux consommateurs le droit de refuser que leurs données soient utilisées pour former des modèles d'IA.

Cette proposition de règlement en est encore aux premières phases de négociation. Elle pourrait prendre une forme très différente après la deuxième lecture à la Chambre des Lords, suivie d'une lecture ultérieure à la Chambre des Communes.

En fonction de la partie du projet de loi qui survivra au processus législatif, il pourrait avoir un impact substantiel sur la façon dont l'IA est utilisée au Royaume-Uni, sur la façon dont les modèles sont formés et sur la transparence du processus plus large de collecte de données. Chacun de ces domaines a un impact direct sur l'utilisation des technologies d'IA par les vendeurs ou fournisseurs tiers.

Loi sur l'intelligence artificielle et les données (Canada)

En juin 2022, le gouvernement du Canada a entamé l'examen de la Loi sur l'intelligence artificielle et les données (AIDA) dans le cadre du projet de loi C-27, la Loi de mise en œuvre de la Charte numérique, 2022. Le projet de loi C-27, plus vaste, est conçu pour moderniser les lois existantes sur la protection de la vie privée et le numérique et comprend trois sous-lois différentes : la Loi sur la protection de la vie privée des consommateurs, la Loi sur l'intelligence artificielle et les données et la Loi sur le Tribunal de la protection des renseignements personnels et des données.

L'objectif principal de l'ACRA est de rendre plus cohérente la réglementation en matière d'IA dans l'ensemble du Canada. Quelques lacunes réglementaires ont été identifiées dans le document d'accompagnement de la loi :

  • Des mécanismes tels que les commissions des droits de l'homme permettent de remédier aux cas de discrimination, mais les personnes victimes de préjugés liés à l'IA peuvent ne jamais s'en rendre compte ;
  • Compte tenu du large éventail d'utilisations des systèmes d'IA dans l'ensemble de l'économie, de nombreux cas d'utilisation sensibles ne relèvent pas des régulateurs sectoriels existants ; et
  • Il est nécessaire d'établir des normes minimales et de renforcer la coordination et l'expertise afin d'assurer une protection cohérente des Canadiens dans tous les contextes d'utilisation.

La loi est actuellement en cours de discussion et le gouvernement canadien prévoit qu'il faudra environ deux ans pour qu'elle soit adoptée et mise en œuvre. Le document d'accompagnement de l'ACRA identifie six principes fondamentaux, présentés dans le tableau ci-dessous :

Principe directeur

Comment AIDA le décrit

Ce que cela pourrait signifier pour le TPRM

Supervision et suivi humain

La surveillance humaine signifie que les systèmes d'IA à fort impact doivent être conçus et développés pour permettre aux personnes qui gèrent les opérations du système d'exercer une surveillance significative. Cela implique un niveau d'interprétabilité adapté au contexte.

Le contrôle, par la mesure et l'évaluation des systèmes d'IA à fort impact et de leurs résultats, est essentiel pour soutenir une surveillance humaine efficace.

Les vendeurs et les fournisseurs doivent mettre en place des méthodes facilement mesurables pour contrôler l'utilisation de l'IA dans leurs produits et leurs flux de travail.

Suite à l'adoption potentielle de l'ACRA, les organisations devront comprendre comment leurs tiers contrôlent l'utilisation de l'IA et intègrent l'IA dans leurs politiques plus larges de gouvernance et de surveillance.

Un autre moyen d'assurer une supervision et un contrôle humains plus approfondis consiste à intégrer des examens humains dans les flux de travail des rapports afin de vérifier l'exactitude et la partialité.

Transparence

La transparence consiste à fournir au public des informations appropriées sur la manière dont les systèmes d'IA à fort impact sont utilisés.

Les informations fournies doivent être suffisantes pour permettre au public de comprendre les capacités, les limites et les impacts potentiels des systèmes.

Les organisations devraient demander à leurs vendeurs et fournisseurs comment ils utilisent l'IA et quel type de données est inclus dans les modèles. Il convient également d'être attentif à la manière dont ces données sont intégrées.

Justice et équité

La justice et l'équité impliquent de construire des systèmes d'IA à fort impact en étant conscient du risque de résultats discriminatoires.

Des mesures appropriées doivent être prises pour atténuer les conséquences discriminatoires pour les individus et les groupes.

Les organisations devraient s'enquérir de la manière dont les tiers contrôlent les biais potentiels dans leur utilisation de l'IA.

Il pourrait y avoir un impact supplémentaire en termes de nouvelles réglementations ESG nettes.

Sécurité

La sécurité signifie que les systèmes d'IA à fort impact doivent être évalués de manière proactive afin d'identifier les dommages qui pourraient résulter de l'utilisation du système, y compris en cas de mauvaise utilisation raisonnablement prévisible.

Des mesures doivent être prises pour atténuer le risque de préjudice.

L'ACRA pourrait introduire de nouvelles réglementations concernant l'utilisation des données dans le contexte de l'IA.

Attendez-vous à de nouvelles exigences en matière de sécurité pour les outils d'IA et assurez-vous que les fournisseurs actuels et potentiels répondent aux questions sur la sécurité de leur utilisation de l'IA - y compris les contrôles de base tels que la sécurité des données, la gestion des actifs et la gestion des identités et des accès.

Responsabilité

La responsabilisation signifie que les organisations doivent mettre en place les mécanismes de gouvernance nécessaires pour garantir le respect de toutes les obligations légales des systèmes d'IA à fort impact dans le contexte dans lequel ils seront utilisés.

Cela comprend la documentation proactive des politiques, des processus et des mesures mises en œuvre.

De nouvelles réglementations sont probables, ce qui incitera les entreprises à se renseigner auprès de tiers sur le respect des nouvelles exigences en matière de rapports et de mandats.

Validité et robustesse

La validité signifie qu'un système d'IA à fort impact fonctionne de manière cohérente avec les objectifs visés.

La robustesse signifie qu'un système d'IA à fort impact est stable et résilient dans diverses circonstances.

Les organisations devraient interroger leurs tiers sur les éventuels problèmes de validité des modèles d'IA dans leurs opérations, une préoccupation qui peut concerner les fournisseurs de technologie et potentiellement s'étendre à la chaîne d'approvisionnement physique.

En fin de compte, le gouvernement canadien se penche sérieusement sur la manière de réglementer l'utilisation de l'IA à l'échelle nationale. Il y aura de nouveaux mandats et de nouvelles lois à respecter quoi qu'il arrive. Il est donc logique que les entreprises qui font des affaires au Canada ou qui travaillent avec des entreprises canadiennes comprennent les exigences à venir au fur et à mesure que l'ACRA se rapproche de son adoption.

Dernières réflexions : Réglementation de l'IA et gestion des risques liés aux tiers

Les gouvernements du monde entier débattent activement de la manière de réglementer la technologie de l'intelligence artificielle et son développement. Les discussions sur la réglementation se sont jusqu'à présent concentrées sur des cas d'utilisation spécifiques identifiés comme étant potentiellement les plus impactants au niveau sociétal, suggérant que les lois sur l'IA se concentreront sur une combinaison de préoccupations relatives à la vie privée, à la sécurité et à l'ESG.

Les 12 à 18 prochains mois devraient offrir plus de clarté sur la façon dont les organisations du monde entier doivent adapter leurs programmes de gestion des risques de tiers à la technologie de l'IA. Les entreprises intègrent rapidement l'IA dans leurs opérations, et les gouvernements réagiront en conséquence. À ce stade, adopter une approche plus prudente et réfléchie de l'IA dans les opérations et poser des questions aux vendeurs et aux fournisseurs est le bon choix pour les gestionnaires de risques tiers.

Pour en savoir plus sur la façon dont Prevalent intègre les technologies d'IA dans notre plateforme de gestion des risques des tiers afin de garantir la transparence, la gouvernance et la sécurité, téléchargez le livre blanc Comment exploiter la puissance de l'IA dans la gestion des risques des tiers, ou demandez une démonstration dès aujourd'hui.

Tags :
Partager :
Matthew delman
Matthew Delman
Responsable du marketing produit

Matthew Delman a plus de 15 ans d'expérience en marketing dans les domaines de la cybersécurité, de la technologie financière et de la gestion des données. En tant que responsable du marketing produit chez Prevalent, il est chargé de la défense des intérêts des clients, du contenu des produits, de la mise en œuvre et de l'assistance au lancement. Avant de rejoindre Prevalent, Matthew a occupé des postes de direction marketing chez Techstrong Group et LookingGlass Cyber, et s'est occupé du positionnement des produits pour l'EASM et les technologies de prévention des brèches.


  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo