4 Questions de conformité pour les DSI envisageant des projets d’IA
Les entreprises doivent prendre de nombreuses considérations avant de lancer des projets d’intelligence artificielle (IA), allant du cas d’utilisation à la mise en place de garde-fous. Chaque bonne idée est accompagnée d’un ensemble d’implications juridiques, obligeant les DSI à avancer prudemment.
La conformité avec les diverses lois et réglementations sur l’IA dans différents pays, États et juridictions est un défi complexe. Tenter de rendre les projets à l’épreuve du futur ne fait qu’ajouter à cette complexité.
Les entreprises doivent s’efforcer de créer des processus et une gouvernance qui maîtrisent les risques de l’IA tout en permettant l’innovation. Voici quatre questions avec des implications juridiques que les DSI doivent considérer lors de la planification et de la mise en œuvre de projets d’IA :
1. Le cas d’utilisation de l’IA est-il à haut risque ?
Les cas d’utilisation de l’IA sont généralement considérés comme à haut risque s’ils impliquent des infrastructures critiques, des opportunités d’emploi ou des données biométriques. Les entreprises peuvent déjà avoir ces types de cas d’utilisation sans s’en rendre compte, par exemple dans les fonctions de ressources humaines.
Les entreprises risquent de violer des lois si les dirigeants utilisent l’IA pour filtrer les candidatures. Les résultats produits par l’IA peuvent contenir des biais, ce qui pourrait rendre les entreprises non conformes aux lois anti-discrimination existantes. Il est crucial que les décideurs se familiarisent avec les lois qui exigent des garde-fous sur la prise de décision automatisée afin d’éviter des amendes et d’autres conséquences.
2. Dans quelle juridiction cet outil sera-t-il utilisé ?
Assurer la conformité avec les règles et réglementations en vigueur nécessite que les entreprises sachent exactement où un outil d’IA est utilisé. Les lois varient d’une juridiction à l’autre.
Actuellement, il existe déjà plus de 140 lois sur la confidentialité. Certaines organisations naviguent à travers les approches réglementaires divergentes en visant la conformité avec les normes les plus élevées.
3. Comment les données sont-elles utilisées — et d’où viennent-elles ?
Des données de qualité améliorent les performances de l’IA. Cependant, les organisations ont des niveaux de confort variés quant à ce que leurs systèmes d’IA doivent être formés et ce que les employés sont autorisés à utiliser.
Il est essentiel que chaque projet passe par un processus d’examen des risques avant de commencer. Dans le cadre de l’évaluation initiale, les équipes doivent envisager d’utiliser des données réelles ou des données synthétiques. Les données synthétiques ne contiennent pas d’informations personnellement identifiables, ce qui rapproche les organisations de la conformité avec des lois sur la vie privée telles que le Règlement général sur la protection des données de l’Union européenne.
4. Construire ou acheter ?
La nécessité de gérer le risque tiers ne peut être sous-estimée. Les leaders technologiques doivent comprendre comment les organisations tiers prévoient d’utiliser les informations saisies dans leurs systèmes et quelles mesures de protection sont en place pour limiter les biais, réduire les risques et promouvoir des pratiques responsables.
Souvent, les organisations souhaitent aller au-delà de la gestion des risques telle qu’elle est déjà incluse dans les contrats types, comme l’indemnisation pour droits d’auteur, qui est proposée dans une certaine mesure par les principaux fournisseurs.
