11 Étapes pour Réaliser un Audit des Outils d’IA Générative en Entreprise
Alors que les organisations passent d’une expérimentation informelle à une utilisation quotidienne des outils d’intelligence artificielle (IA) générative, en particulier dans les ressources humaines, la nécessité d’un audit approfondi de l’IA devient de plus en plus évidente. Tout comme les entreprises évaluent régulièrement l’équité salariale, la conformité aux heures de travail et la sécurité des données, les équipes de conformité devraient accorder une attention similaire à la promotion d’une utilisation responsable et conforme de l’IA au sein de l’entreprise. Un audit bien planifié peut aider à identifier les risques juridiques, opérationnels et réputationnels potentiels avant qu’ils n’escaladent et peut informer la préparation de politiques pertinentes sur l’IA ainsi que le développement d’une formation interne appropriée sur l’IA.
Points Clés
– À mesure que les organisations intègrent de plus en plus les outils d’IA générative dans leurs opérations quotidiennes, en particulier dans les ressources humaines, les audits d’IA deviennent de plus en plus importants pour atténuer les risques juridiques, opérationnels et réputationnels.
– La formation d’une équipe d’audit interfonctionnelle et la cartographie des outils d’IA utilisés sont des étapes initiales clés pour réaliser des audits d’IA complets afin d’assurer une utilisation responsable et conforme de l’IA.
– Des audits d’IA réguliers, y compris des évaluations de biais et des examens de contrats avec les fournisseurs, aident les organisations à rester conformes aux réglementations en évolution et à maintenir la transparence et la sécurité des données dans leurs initiatives d’IA.
Les organisations devraient envisager des audits d’IA complets au moins une fois par an, voire trimestriellement, avec des examens ciblés déclenchés par la mise en œuvre de nouveaux outils d’IA, des changements réglementaires ou des problèmes de conformité identifiés. En général, les organisations voudront observer quelques étapes communes en ce qui concerne les audits d’IA.
1. Identifier une Équipe d’Audit Interfonctionnelle
Commencer par former une équipe d’audit interfonctionnelle composée de représentants de la conformité, des ressources humaines, de la technologie de l’information, du juridique et de tout autre département ayant un intérêt significatif dans l’utilisation de l’IA permet à des voix diverses de participer à l’audit et réduit la possibilité de zones d’ombre ou de directives contradictoires entre différents départements. Typiquement, un conseiller juridique interne, le responsable de la conformité ou un cadre des ressources humaines dirige l’audit, bien que le leader le plus approprié puisse varier en fonction de la taille de l’entreprise, de son secteur d’activité et de ses initiatives d’IA existantes. Et, selon les circonstances, des considérations de privilège peuvent justifier l’engagement d’un conseiller externe pour diriger l’audit.
2. Cartographier l’Utilisation de l’IA
Une fois l’équipe d’audit formée, les employeurs devraient envisager de cartographier les outils et les fournisseurs d’IA utilisés au sein de l’organisation. La préparation de ce type d’inventaire devrait étroitement ressembler au processus de cartographie des données réalisé dans le cadre du programme de confidentialité des données de l’organisation, et non seulement capturer les outils de type chatbot ou les logiciels de décision automatisée, mais également inclure des plateformes d’analyse de données ou des logiciels qui s’appuient sur l’apprentissage automatique dans des contextes RH. Des exemples d’outils d’IA potentiellement concernés vont des plateformes de présélection automatisée à des systèmes de correspondance de candidats, en passant par des outils conçus pour des enquêtes sur l’engagement des employés, des évaluations de performance et le développement des talents. Les organisations peuvent travailler avec leurs responsables de la gouvernance de l’IA pour établir une procédure fiable de mise à jour de cet inventaire chaque fois que de nouveaux outils d’IA sont introduits afin que la carte de l’IA reste actuelle et réactive.
3. Identifier les Lois et Réglementations Pertinentes à l’Audit
En l’absence d’une loi nationale exhaustive sur l’IA aux États-Unis, les organisations devraient se tenir au courant d’un patchwork en rapide évolution de réglementations fédérales, étatiques, locales et internationales. Certains États américains ont déjà mis en œuvre des cadres juridiques liés à l’IA, y compris des dispositions tirées de la Loi sur l’Intelligence Artificielle (IA) de l’Union Européenne, axée sur les systèmes d’IA à haut risque et la mitigation de la discrimination algorithmique. Par exemple, la Loi Locale 144 de la Ville de New York exige des audits de biais pour les outils de décision automatisée en matière d’emploi, tandis que le Projet de Loi 3773 de l’Illinois impose des exigences spécifiques de divulgation pour l’utilisation de l’IA dans le recrutement. D’autres, comme le Texas, développent des lois sur l’IA qui sont uniques à l’État et se concentrent sur la réglementation d’un ensemble limité d’utilisations des outils d’IA tout en prenant des mesures pour encourager le développement responsable des technologies d’IA. Et encore plus d’États, comme le Connecticut, modifient leurs lois sur la confidentialité des consommateurs pour réglementer l’IA. Bien que le paysage soit complexe et en évolution constante, surveiller ces développements juridiques variés afin que les entreprises comprennent les cadres réglementaires pour évaluer leur utilisation des outils d’IA, et pour lesquels elles pourraient vouloir par la suite ajuster leurs processus d’IA, est une étape de conformité importante.
Avant de plonger dans une analyse de conformité détaillée, les entreprises peuvent choisir de catégoriser les outils d’IA par niveau de risque en fonction de leur impact potentiel sur les décisions d’emploi, la sensibilité des données et l’exposition réglementaire. Les outils à haut risque—comme ceux utilisés pour le recrutement, l’évaluation des performances ou les actions disciplinaires—méritent généralement une révision immédiate et approfondie. Les outils à risque moyen, tels que les plateformes d’engagement des employés, peuvent nécessiter une évaluation standard, tandis que les outils à faible risque, comme les assistants de planification basiques, peuvent nécessiter une révision plus légère. Cependant, les niveaux de risque ne sont pas nécessairement spécifiques au sujet ; le niveau de risque en matière de cybersécurité peut dépendre du type d’informations traitées (c’est-à-dire du niveau de sensibilité) plutôt que de l’objectif. Par exemple, un outil de planification qui traite des informations personnelles hautement sensibles ou des données commerciales confidentielles peut nécessiter une révision prioritaire plus élevée qu’une plateforme d’engagement des employés qui ne gère que des données agrégées et anonymisées. Cette priorisation aide à allouer efficacement les ressources d’audit et assure que les domaines critiques de conformité reçoivent l’attention appropriée.
4. Évaluer le Biais Potentiel
Même lorsque les outils d’IA sont utilisés avec les meilleures intentions, des biais peuvent surgir de déséquilibres dans les données historiques, de méthodes de formation défectueuses ou d’autres problèmes de conception sous-jacents. Après avoir complété un inventaire des utilisations de l’IA, identifié les exigences légales et réglementaires applicables à l’utilisation des technologies d’IA de l’organisation, et évalué la conformité avec celles-ci, les organisations devraient envisager de faire appel à un évaluateur qualifié ou à une équipe d’évaluateurs pour réaliser une évaluation détaillée des biais de chaque outil d’IA. Les méthodes de détection et de mitigation des biais impliquent à la fois des examens techniques et des entretiens avec des parties prenantes clés, et incluent généralement une évaluation de la représentativité des ensembles de données de formation sous-jacents, de la manière dont les performances de l’outil peuvent différer selon les groupes démographiques, et s’il y a un impact négatif non intentionnel sur les groupes protégés. Chaque fois que cela est possible, les organisations devraient envisager d’utiliser des techniques avancées de dé-biaisement, un réentraînement approfondi des modèles et une supervision humaine adéquate pour corriger les biais observés ou potentiels.
5. Maintenir la Transparence et une Documentation Appropriée
Les organisations qui utilisent des outils d’IA générative développés en interne devraient rester conscientes de la nécessité de transparence quant à la manière dont les outils d’IA sont développés, formés et mis en œuvre. Cela est vital tant du point de vue de la conformité que de la politique. En pratique, cela signifie documenter les sources de données utilisées pour former les outils, capturer les paramètres des modèles d’IA et enregistrer toute intervention effectuée pour traiter les biais ou améliorer l’exactitude. De même, si une organisation s’appuie sur des technologies d’IA provenant de fournisseurs tiers, son processus de diligence raisonnable auprès des fournisseurs inclura probablement l’obtention de ces types de documents de la part des fournisseurs, que l’organisation souhaitera conserver tout comme la documentation des outils d’IA propriétaires. Cette documentation interne offre de la clarté aux parties prenantes concernées, soutient l’activité d’audit et constitue une ressource précieuse—souvent exigée par la loi—si des régulateurs externes s’enquêtent sur l’utilisation de l’IA par l’organisation.
6. Examiner les Contrats des Fournisseurs
Les organisations qui utilisent des solutions d’IA tierces devraient examiner attentivement les contrats des fournisseurs. Les facteurs clés à rechercher incluent des dispositions qui traitent des problèmes clés tels que la responsabilité en cas de réclamations pour biais, l’indemnisation en cas de violations réglementaires, et le respect des normes de confidentialité et de sécurité des données. Impliquer des avocats internes ou des experts juridiques externes dans ce processus de révision des contrats aide souvent à garantir que les intérêts de l’entreprise sont adéquatement protégés.
7. Mettre à Jour les Politiques Internes d’Utilisation et de Gouvernance de l’IA
Les organisations devraient envisager de mettre en œuvre ou de peaufiner une politique interne d’utilisation de l’IA qui s’applique à l’ensemble de l’organisation. Ces politiques identifient généralement les outils d’IA approuvés par l’entreprise, décrivent les utilisations acceptables, et incluent des considérations de cybersécurité et de confidentialité des données, des obligations de conformité, des procédures de surveillance, et des lignes directrices éthiques. De même, les organisations devraient envisager de revoir leurs politiques de gouvernance de l’IA dans le cadre du processus d’audit, en se concentrant sur une propriété clairement délimitée de la gouvernance et de la surveillance de l’IA au sein de l’entreprise, des normes pour la mise en œuvre, la surveillance et la sécurité des technologies d’IA, et des déclarations claires sur le développement responsable de l’IA et la mitigation des dommages. Promouvoir une connaissance cohérente de ces principes de gouvernance contribue à une culture partagée de responsabilité dans l’utilisation de l’IA.
8. Évaluer et Mettre en Œuvre une Formation sur l’Utilisation de l’IA
Les organisations devraient s’assurer que les employés qui manipulent ou dépendent des outils d’IA reçoivent une formation appropriée à leur rôle avant de s’engager avec ces technologies. Les modules de formation pourraient mettre l’accent sur l’éthique des données, les risques et considérations en matière de confidentialité, et une utilisation responsable. Les personnes plus impliquées dans les processus d’IA, telles que les décideurs RH ou les développeurs informatiques, peuvent nécessiter une instruction avancée sur la reconnaissance des biais (comme le test de l’impact disparate), les cas d’utilisation appropriés et les procédures pour signaler des préoccupations ou des erreurs, ainsi que le respect des lois applicables, telles que les exigences de notification, d’appel et de documentation.
9. Garantir la Confidentialité et la Sécurité des Données
Étant donné les données souvent sensibles traitées par les systèmes alimentés par l’IA, les organisations devraient instituer des protections robustes des données à chaque étape du cycle de vie de l’IA. Cela inclut la restriction de l’accès aux informations personnelles sensibles, le chiffrement des données lorsque cela est approprié, et la prévention de la divulgation involontaire tant d’informations commerciales propriétaires que d’informations personnelles individuelles. Les auditeurs devraient également confirmer que les fournisseurs et partenaires respectent des normes équivalentes ou plus strictes en matière de protection des données de l’organisation.
10. Fournir des Divulgations et Notifications
Enfin, les organisations devraient s’assurer que les parties prenantes concernées, qu’il s’agisse d’employés ou de candidats, reçoivent des divulgations appropriées concernant l’utilisation de l’IA. Lorsque l’IA joue un rôle matériel dans le filtrage des candidats, la prise de décisions RH, ou l’influence des résultats d’emploi, divulguer ce fait peut aider à établir la confiance et à prévenir les allégations d’injustice cachée. Les organisations devraient également confirmer, le cas échéant, que les employés reçoivent des informations significatives sur la manière dont les outils automatisés peuvent affecter leur emploi, leurs évaluations de performance ou d’autres aspects de leur expérience au travail, ainsi que des instructions sur la manière d’exercer leurs droits en matière de données (le cas échéant) concernant les informations personnelles traitées à l’aide de l’IA.
11. Établir un Suivi et des Métriques Continus
Au-delà de l’audit initial, une surveillance continue des processus et des résultats est cruciale pour suivre la performance et la conformité de l’IA. Les indicateurs de performance clés incluent généralement des métriques de biais entre les groupes démographiques, des taux de précision, des scores de satisfaction des utilisateurs, et des rapports d’incidents de conformité. Des mécanismes de retour d’information pour que les employés signalent des préoccupations liées à l’IA, soutenus par des procédures claires pour enquêter et traiter les problèmes soulevés dans ces rapports, peuvent constituer un outil de contrôle de qualité important.
En suivant ce cadre complet pour l’audit des outils d’IA, les organisations peuvent considérablement réduire le risque de pièges juridiques, préserver la sécurité et l’intégrité des données, et renforcer la confiance dans leurs initiatives alimentées par l’IA. Avec une préparation réfléchie et une collaboration interfonctionnelle, les équipes RH et les conseillers juridiques internes peuvent façonner un environnement d’IA conforme, équitable et tourné vers l’avenir.
