Demandez une démo

Les entreprises doivent moderniser leurs programmes de gestion des risques technologiques avant l'entrée en vigueur des réglementations sur l'IA

Examiner, en fonction des risques, la manière dont les tiers utilisent l'intelligence artificielle.
25 juin 2024
Actualités conformité des entreprises logo

Note de l'éditeur : Cet article, rédigé par Alastair Parr, Prevalent Senior Vice President, Global Products & Services, a été publié à l'origine sur www.corporatecomplianceinsights.com.

---

Alors qu'une grande attention est actuellement portée à la conformité interne avec les réglementations émergentes en matière d'IA, Alastair Parr, de Prevalent, affirme que les entreprises ne devraient pas négliger un facteur externe majeur : les tiers.

L'intelligence artificielle (IA) remodèle rapidement le monde moderne, et les gouvernements s'empressent de mettre en place des garde-fous pour s'assurer qu'elle est déployée de manière responsable. La croissance rapide de la technologie a également conduit les entreprises de presque tous les secteurs d'activité à adopter l'IA, car elle offre des gains de productivité et d'efficacité, dans le but ultime d'améliorer leurs résultats.

Toutefois, ces opportunités s'accompagnent de responsabilités importantes pour les entreprises, qui doivent déployer l'IA de manière éthique et dans le respect de la loi. Cette responsabilité doit s'étendre non seulement à leurs propres pratiques, mais aussi à celles de tous les tiers avec lesquels elles s'engagent, y compris les fournisseurs et les prestataires de services.

Les entreprises basées dans des régions à la pointe de la réglementation en matière d'IA, notamment les États-Unis, le Canada, l'UE et le Royaume-Uni, seront particulièrement confrontées à la difficulté de s'y retrouver parmi les nombreux éléments mobiles qui accompagnent le déploiement sûr et responsable de l'IA.

Ces régions sont en train d'élaborer des cadres uniques pour réglementer cette technologie qui évolue rapidement. Il sera essentiel pour les entreprises opérant dans ces régions de comprendre ces réglementations et de s'y conformer afin d'éviter les répercussions juridiques et de maintenir la confiance avec les parties prenantes.

Le chemin à parcourir

Les organismes de réglementation du monde entier décident de la manière de réglementer l'intelligence artificielle, et les entreprises doivent être très attentives au moment où les propositions deviennent des lois contraignantes. Bien qu'il y ait des variations d'un pays à l'autre, la plupart des règles proposées se concentrent sur la protection de la vie privée, la sécurité et les questions ESG concernant la façon dont les entreprises peuvent utiliser l'IA de manière éthique et légale.

Par exemple, aux États-Unis, le cadre de gestion des risques de l'IA du NIST a été introduit en janvier 2023 pour "offrir une ressource aux organisations qui conçoivent, développent, déploient ou utilisent des systèmes d'IA afin de les aider à gérer les nombreux risques de l'IA et de promouvoir un développement et une utilisation fiables et responsables des systèmes d'IA". Ce cadre volontaire offre des conseils complets sur l'élaboration d'une stratégie de gouvernance de l'IA pour les organisations.

Les organisations devraient appliquer des principes de gestion des risques pour atténuer les effets négatifs potentiels des systèmes d'IA, tels que

  • Vulnérabilités de sécurité et applications de l'IA : Sans une gouvernance et des mesures de protection appropriées, votre organisation pourrait être exposée à des violations de systèmes ou de données.
  • Manque de transparence dans les méthodologies ou les mesures des risques liés à l'IA : Des pratiques inadéquates en matière de mesure et d'établissement de rapports peuvent entraîner une sous-estimation de l'impact des risques potentiels liés à l'IA.
  • Politiques de sécurité de l'IA incohérentes : Lorsque les politiques de sécurité de l'IA ne s'alignent pas sur les procédures de gestion des risques existantes, cela peut entraîner des audits compliqués et urgents, ce qui peut avoir des conséquences négatives sur le plan juridique ou de la conformité.

Tous ces éléments concernent non seulement les entreprises, mais aussi les partenaires, les fournisseurs et les autres tiers avec lesquels elles font des affaires. De plus en plus, les entreprises doivent s'attendre à être tenues responsables de la manière dont leurs vendeurs, fournisseurs et autres partenaires tiers utilisent l'IA, notamment en ce qui concerne la gestion des données de leurs clients.

Les années à venir clarifieront la façon dont les organisations du monde entier doivent adapter leurs stratégies en matière d'IA, et la gestion des risques liés aux tiers deviendra probablement un élément de plus en plus important de l'équation.

L'adoption de nouvelles lois entraînera de nouvelles réalités pour les entreprises de tous les secteurs. Il est temps de commencer à se préparer à ces nouvelles réalités, notamment en établissant des politiques d'utilisation acceptable de l'IA et en communiquant ces politiques à des tiers.

Atténuer les risques liés à l'IA des tiers

Quel que soit le lieu, une approche prudente et un engagement proactif avec les fournisseurs sont des stratégies essentielles pour gérer ces risques. Les entreprises doivent reconnaître qu'une gouvernance responsable de l'IA va au-delà de leurs opérations internes et englobe les pratiques de toutes les parties impliquées dans leur écosystème d'IA.

Chaque entreprise a des objectifs et des défis qui lui sont propres, ce qui signifie que les relations avec les partenaires tiers varient considérablement. Mais il existe des mesures fondamentales que toute entreprise peut prendre pour atténuer de manière proactive les risques liés à l'IA associés aux relations avec des tiers :

  • Identifier les partenaires tiers qui utilisent l'IA et la manière dont ils l'utilisent. Réalisez un inventaire complet pour identifier les vendeurs et fournisseurs tiers qui utilisent l'IA et l'étendue de leur utilisation. Ce processus implique de poser des questions pertinentes pour comprendre les risques inhérents associés à leurs applications d'IA, y compris la confidentialité des données, la partialité et la responsabilité.
  • Élaborer un système pour classer et évaluer l'utilisation de l'IA par les tiers. Mettez à jour votre système de classement des partenaires tiers en fonction de leur utilisation de l'IA et des risques associés. Prenez en compte des facteurs tels que la sensibilité des données qu'ils traitent, l'impact de leurs applications d'IA sur les parties prenantes et les processus métier, ainsi que leur niveau de transparence et de responsabilité dans les processus de prise de décision en matière d'IA.
  • Évaluer les risques en détail. Il est essentiel d'aller au-delà des évaluations superficielles et cela peut se faire en menant des analyses détaillées des pratiques des tiers en matière d'IA. Il s'agit notamment d'évaluer leurs structures de gouvernance, leurs protocoles de sécurité des données, la transparence de l'utilisation de l'IA et l'étendue de la surveillance et de l'intervention humaines dans la prise de décision en matière d'IA. Utiliser les cadres de conformité établis et les meilleures pratiques de l'industrie, comme le cadre NIST, comme guide au cours du processus de diligence raisonnable.
  • Dans la mesure du possible, recommandez des stratégies d'atténuation. Sur la base des résultats de l'évaluation des risques et de la notation par paliers, recommandez des mesures correctives spécifiques aux partenaires tiers. Ces mesures peuvent inclure le renforcement des protocoles de sécurité des données, la mise en œuvre de stratégies de détection et d'atténuation des biais, la garantie de la transparence dans la prise de décision en matière d'IA et l'établissement de clauses contractuelles visant à faire respecter les pratiques éthiques en matière d'IA.
  • Mettre en place un contrôle permanent. Reconnaître que l'atténuation des risques liés aux tiers est un processus continu qui nécessite une surveillance et une évaluation permanentes. C'est pourquoi il convient de mettre en place des mécanismes de surveillance continue des pratiques des tiers en matière d'IA, notamment des audits réguliers, des examens des politiques et des changements de contrôle, et de se tenir informé des questions émergentes liées à l'IA susceptibles d'avoir une incidence sur votre entreprise.

Alors que les gouvernements introduisent de nouveaux cadres réglementaires et juridiques autour de l'IA, les entreprises doivent de plus en plus considérer leurs fournisseurs et partenaires tiers comme une autre source de risque qui doit être atténuée et gérée. Prendre ces mesures importantes nécessite une expertise en matière de gouvernance de l'IA, qui est actuellement très demandée. Les entreprises qui ne disposent pas d'équipes dédiées à la gestion des risques liés à l'IA peuvent trouver une assistance externe auprès d'organisations spécialisées dans la navigation efficace dans ce paysage complexe.