De Anne-Sophie Morand et David Vasella
Dans le contexte de l’évolution rapide du domaine de l’intelligence artificielle (IA), les entreprises ont de plus en plus besoin de structures et de processus qui contribuent à garantir une utilisation sûre, responsable et juridiquement correcte de la technologie IA. La “gouvernance de l’IA” joue un rôle central dans ce contexte. Une gouvernance de l’IA fonctionnelle représente certes un défi pour les entreprises – comme toute gouvernance – mais elle n’est pas seulement nécessaire pour réduire les risques, elle est aussi une opportunité qui ouvre la voie à une innovation adaptée aux risques.
Qu’est-ce que la “gouvernance de l’IA” ?
Le terme “gouvernance” (en français : pilotage, direction) désigne un système de contrôle et de régulation et désigne le cadre réglementaire nécessaire pour diriger une entreprise et surveiller ses activités.
Dans le contexte de l’IA, “Gouvernance de l’IA“L’accent est mis sur ce cadre de gouvernance de l’IA, c’est-à-dire sur le développement et la mise en œuvre de mesures organisationnelles, de processus, de contrôles et d’outils qui contribuent à rendre l’utilisation de l’IA digne de confiance, responsable, éthique, légale et efficace.
La gouvernance de l’IA fait généralement partie du paysage général de la gouvernance d’une entreprise et est souvent étroitement liée à la “gouvernance des données”, c’est-à-dire au cadre parallèle ou croisé de gestion du traitement des données et informations personnelles et autres. Elle n’en constitue pas moins un domaine à part entière. La gouvernance des données se concentre sur le traitement des données, tandis que la gouvernance de l’IA prend en compte les défis particuliers de la technologie de l’IA. En outre, les données sont relativement statiques, tandis que les systèmes d’IA apprennent et évoluent. La gouvernance des données traditionnelle ne peut donc guère garantir une utilisation éthique et conforme à la loi de l’IA.
Dans son champ d’application, la gouvernance de l’IA comprend généralement les aspects suivants :
- Achat, exploitation et utilisation de systèmes d’IACe qu’est un système d’intelligence artificielle est défini dans le champ d’application du règlement européen sur l’intelligence artificielle (Loi sur l’intelligence artificielle), son article 3, paragraphe 1. Malgré la Lignes directrices de la Commission européenne sur la notion de système d’IA Il n’est cependant toujours pas clair de savoir quand un système à moitié intelligent franchit le seuil du système d’IA (voir notre FAQ). C’est pourquoi le champ d’application de la gouvernance de l’AI ne devrait pas être trop restreint, ce que la FINMA a fait dans sa “Communiqué prudentiel 08/2024 – Gouvernance et gestion des risques liés à l’utilisation de l’intelligence artificielle“a également souligné ;
- Développement et vente de systèmes d’IA; et
- Développement et vente de modèles d’IA à usage généralUn modèle d’IA à usage général (GPAIM) n’est pas la même chose qu’un système d’IA et est adressé séparément dans le règlement de l’UE sur l’IA. Un GPAIM (“modèle d’IA à usage général”) est un modèle d’IA qui est d’usage général, qui peut être largement utilisé et qui peut être intégré dans des systèmes en aval (art. 3 n° 63 AI Act). Un exemple est le modèle “GPT‑4” d’OpenAI. Le système d’IA serait dans ce cas “ChatGPT”.
Les entreprises peuvent à cet égard également Norme ISO 42001:2023 „Technologie de l’information – Intelligence artificielle – Système de gestion”. La norme définit les exigences d’un système de gestion de l’IA (AIMS) et aide au développement, au déploiement et à l’utilisation systématiques des systèmes d’IA, et la gouvernance de l’IA selon cette norme est plus susceptible de s’intégrer avec les systèmes de gestion existants, par exemple pour la qualité (ISO 9001), la sécurité de l’information (ISO 27001) ou la protection des données (ISO 27701) (ISO 42001, Annexe D).
L’utilisation d’outils d’IA (par ex. ChatGPT, Whisper, Claude, Perplexity, NotebookLM, Gemini, etc.) par des collaborateurs au travail, mais à titre privé, sur initiative privée ou avec des licences privées, est un sujet qui doit être traité séparément. Une telle utilisation d’outils d’IA par les collaborateurs est généralement réglementée par des directives TIC internes existantes. Les entreprises interdisent souvent une telle utilisation ou indiquent au moins quelles données les collaborateurs peuvent ou ne peuvent pas introduire dans ces outils. Il convient de noter que les fournisseurs d’outils n’agissent pas dans ce cas en tant que responsables du traitement des données, mais en tant que responsables et qu’ils disposent donc d’une grande liberté dans le traitement des données saisies. Dans le cas des licences d’entreprise, les fournisseurs agissent en revanche – même si ce n’est pas sans exception – en tant que sous-traitants et sont donc sous le contrôle de l’entreprise.
Pourquoi une entreprise a‑t-elle besoin d’une gouvernance de l’IA ?
Du point de vue de l’entreprise, plusieurs raisons plaident en faveur de la mise en place d’une gouvernance de l’IA.
Respect des exigences réglementaires
Dans le domaine numérique, des exigences réglementaires exigeantes entrent en vigueur dans le monde entier. Particulièrement complexe, potentiellement incisive, souvent peu claire dans son application, et dont l’effet extraterritorial est également pertinent pour les entreprises en Suisse, est la loi sur la protection des données. Loi sur l’intelligence artificielle. Comme on le sait, elle suit une approche échelonnée en fonction des risques, en faisant la distinction entre les pratiques interdites (il s’agit principalement d’applications qu’une entreprise responsable s’abstiendrait de faire de sa propre initiative), les systèmes à haut risque (par exemple lors de l’utilisation dans le contexte du travail ou de l’évaluation de la solvabilité), les risques limités (comme par exemple les chatbots) et les autres applications présentant des risques minimes.
Les entreprises ayant leur siège en Suisse sont tenues par leur champ d’application territorial saisi,
- lorsqu’ils mettent sur le marché ou mettent en service des systèmes d’IA dans l’UE en tant que fournisseurs (“provider”), ou
- s’il est le fournisseur ou l’exploitant (“deployer”) d’un système d’IA et s’il utilise la production (“output”) du système d’IA dans l’UE. Le moment où cela se produit n’est pas très clair, mais l’utilisation de la production dans l’UE suppose une certaine intention ou orientation, tout en couvrant le cas où un système d’IA a un impact important sur des personnes dans l’UE.
En novembre 2023, le Conseil fédéral avait demandé au DETEC (OFCOM) et au DFAE (auprès de la Division Europe) une Etat des lieux sur une éventuelle réglementation de l’IA qui devrait servir de base de décision pour la suite de la procédure. Cet état des lieux a été le 12 février 2025 en même temps que la décision du Conseil fédéral sur la manière dont il souhaite aborder le thème de l’IA sur le plan réglementaire. Comme on pouvait s’y attendre, le Conseil fédéral ne veut pas d’une ordonnance suisse sur l’IA – il a pris en compte les doutes répandus selon lesquels une telle réglementation entraînerait des dépenses élevées. Il s’est toutefois prononcé en faveur de la mise en œuvre de la Convention sur l’IA du Conseil de l’Europe et nous avons décidé faire signer le 27 mars 2025.
Ce n’est pas surprenant : les Convention sur l’IA a été largement développée par la Suisse sous sa présidence. Elle
- est le premier accord intergouvernemental au monde sur les IA qui soit contraignant pour les parties contractantes. Il doit maintenant être repris dans le droit suisse, sa mise en œuvre laissant une grande marge de manœuvre ;
- elle s’adresse en premier lieu aux acteurs publics. Les acteurs privés ne sont concernés que dans la mesure où ils déploient un effet horizontal direct ou indirect entre les particuliers. L’obligation d’égalité salariale dans les rapports de travail ou les dispositions relatives à la discrimination raciale en sont des exemples.
De nombreux domaines ne seront cependant pas concernés. Le Conseil fédéral veut cependant que des modifications législatives soient apportées là où elles sont nécessaires, des adaptations aussi sectorielles et neutres sur le plan technologique que possible. Une réglementation générale et transsectorielle ne doit être édictée que dans des domaines centraux et pertinents pour les droits fondamentaux, par exemple dans le droit de la protection des données. La ratification de la Convention sur l’IA doit être accompagnée par les mesures suivantes mesures non contraignantes sur le plan juridique, par exemple les accords d’autodéclaration et les solutions sectorielles.
Le Conseil fédéral a chargé le DFJP de présenter, avec le DETEC et le DFAE, un projet de consultation pour la mise en œuvre de la convention sur les IA d’ici fin 2026. Parallèlement, un plan doit être élaboré pour les autres mesures non contraignantes sur le plan juridique. Dans ce domaine, la responsabilité incombe au DETEC. On peut donc s’attendre à ce que des règles supplémentaires s’appliquent également en Suisse, par endroits de manière globale, sinon de manière ponctuelle et en plus du cadre juridique existant, qui s’applique également aux IA, comme l’a justement relevé le PFPDT.
A ces dispositions s’ajoutent le droit existantLes règles de la protection des données, du droit du travail, du droit d’auteur ou de la concurrence déloyale, par exemple, restent applicables à l’utilisation de l’IA.
Il ne faut pas non plus oublier Aspects ESG. L’intégration des principes ESG dans la gouvernance de l’IA peut contribuer à la prise en compte des aspects environnementaux, de la responsabilité sociale et de la transparence de la gestion d’entreprise lors du développement et de l’utilisation de l’IA. L’AI Act ne contient plus de prescriptions à ce sujet, contrairement aux versions provisoires qui exigeaient encore des études d’impact sur l’environnement et un rapport sur la consommation d’énergie. La norme ISO 42001 exige toutefois de vérifier si le changement climatique est une question pertinente pour une entreprise et mentionne l’impact environnemental comme objectif organisationnel potentiel (annexe C.2.4).
Dans ce contexte, une gouvernance de l’IA qui fonctionne bien peut aider les entreprises à répondre aux exigences légales actuelles et futures. Cette sécurité relative est une condition préalable à une utilisation efficace de l’IA dans l’entreprise.
Établir la confiance
La confiance remplace les incertitudes par des hypothèses et réduit ainsi la complexité. Dans la relation d’une entreprise avec ses clients, ses collaborateurs et ses partenaires, c’est une composante essentielle. Cela est particulièrement vrai pour les thèmes qui présentent une grande complexité, qui ont potentiellement un impact élevé et qui, en même temps, ne sont pas visibles et compréhensibles de l’extérieur.
La confiance dans le fait que les entreprises utilisent la technologie de manière responsable et n’utilisent que des systèmes d’IA dignes de confiance (ou des systèmes d’IA uniquement de manière éthique) est donc indispensable. Elle contribue à réduire les résistances internes et externes aux initiatives d’IA et à favoriser l’acceptation des technologies d’IA dans la vie quotidienne de l’entreprise et leur intégration dans les processus de l’entreprise. Inversement, des résultats de mauvaise qualité, des incidents de sécurité, des discriminations et d’autres effets indésirables peuvent entraîner une perte de confiance qui n’est pas facilement réparable. Cela exige Gestion des risques et assurance qualitéLa gouvernance de l’IA comprend l’examen des systèmes d’IA potentiels, l’examen des données d’entraînement pour détecter les biais, les tests de précision des modèles, les plans d’urgence si un système critique présente des dysfonctionnements, etc. La gouvernance de l’IA soutient donc également la continuité des activités.
Une gouvernance de l’IA adéquate et fonctionnelle conduit donc, auprès des parties prenantes impliquées – collaborateurs, clients, partenaires, autorités – à établir et maintenir la confiance. Cela est particulièrement vrai lorsque non seulement les exigences légales, mais aussi les normes éthiques et les attentes de la société sont prises en compte.
Cela va de pair avec un Avantage concurrentielUne gouvernance de l’AI appropriée souligne l’engagement de l’entreprise en faveur d’un comportement responsable et de la transparence, y compris vis-à-vis de l’extérieur, ce qui peut avoir un effet positif sur sa réputation. La gouvernance de l’IA joue également un rôle important dans la promotion de l’innovation. Grâce à des règles du jeu claires, compréhensibles et connues au sein de l’entreprise, les entreprises peuvent encourager la créativité et l’expérimentation dans des limites responsables. Si les développeurs connaissent les règles du jeu et savent dans quelles limites ils peuvent agir, cela favorise non seulement la sécurité dans l’utilisation de l’IA, mais aussi justement son utilisation, qui peut sinon être freinée par des doutes plus ou moins vagues et plus ou moins justifiés. Tout cela favorise la stabilité et la réputation de l’entreprise – sur des marchés où la confiance et la fiabilité sont essentielles, c’est un facteur de compétitivité.
Conclusion intermédiaire
La gouvernance de l’IA n’est pas fondamentalement nouvelle, mais constitue un nouveau domaine d’application de la gouvernance. Néanmoins, au début – avant l’émergence plus large de technologies d’IA accessibles – ce domaine était peu développé et n’existait que dans les entreprises qui s’étaient déjà fortement engagées auparavant dans les technologies correspondantes (alors plutôt sous le terme “Machine Learning”). Plus les risques liés à l’utilisation d’outils d’IA sont apparus clairement, plus une gouvernance de l’IA bien pensée est devenue importante. Elle peut aujourd’hui être considérée comme une nécessité stratégique pour de nombreuses entreprises.
Mise en œuvre de la gouvernance de l’IA
L’IA est d’abord apparue comme une technologie fondamentale, puis comme un sujet réglementaire ou juridique. Au sein des entreprises, c’est donc le business, la 1ère ligneLa direction a fait avancer le sujet. En conséquence, la responsabilité du thème incombait en premier lieu aux fonctions commerciales, avec le temps, par exemple à un CAIO (Chief AI Officer) ou à un CDAO (Chief Data & Analytics Officer).
Le site Tâches de conformité étaient souvent beaucoup moins clairement attribués. Il n’était pas rare qu’elles soient attribuées à des personnes ou à des organes responsables de la protection des données, par exemple à un délégué à la protection des données (DPD), qui est la personne la plus familière avec le sujet. Cela a changé dans une certaine mesure. Certaines entreprises ont créé leur propre structure de gouvernance pour l’IA, d’autres – sans doute la majorité – ont utilisé des structures existantes et y ont placé la responsabilité de l’IA.
D’une manière ou d’une autre, la gouvernance de l’IA doit être adaptée à l’entreprise concernée. Les bonnes pratiques suivantes peuvent (espérons-le) y contribuer.
Comprendre le cadre de l’entreprise
Tout d’abord, la gouvernance de l’IA doit correspondre à la stratégie de l’entreprise en matière d’IA. Cela suppose que l’entreprise soit prête à gérer la technologie de l’IA. défini des objectifs concrets tout en tenant compte des spécificités, des besoins et aussi de l’environnement culturel de l’entreprise (voir ISO 42001, point 4). Cela signifie également que l’utilisation de l’IA n’est ni une stratégie ni une fin en soi – l’IA n’est ni plus ni moins qu’un outil. Cela n’empêche pas que la technologie en soi et les applications qui en découlent évoluent si rapidement qu’un certain tâtonnement est nécessaire et utile. Les entreprises doivent donc développer une vision assez claire.
Les questions suivantes peuvent être utiles à cet égard :
- Comment l’entreprise utilise-t-elle déjà l’IA ? L’IA ne se limite pas à l’IA générative sous la forme de ChatGPT et de systèmes apparentés ; le terme est beaucoup plus large et de nombreuses entreprises utilisent l’IA depuis longtemps (par exemple, systèmes de recommandation et d’expertise, détection des fraudes, reconnaissance vocale, contrôle de l’énergie, robotique, etc.) Pour ce faire, les applications d’IA devraient d’abord être inventoriées. En règle générale, il n’existe pas de vision claire et les répertoires d’applications fournissent rarement des informations sur l’utilisation effective de l’IA propre et achetée dans l’entreprise.
- Quelles sont les valeurs et la vision de l’entreprise ? Quelle est l’importance de la confiance pour l’activité de l’entreprise ? Quelle est la perception de l’entreprise à l’intérieur et à l’extérieur ? Quels sont les risques de réputation liés à l’utilisation de la technologie ? L’entreprise est-elle publique, le public a‑t-il une relation émotionnelle avec l’entreprise ? Quel est le poids des préoccupations éthiques (mots clés : biais, équité et transparence) ? L’entreprise s’est-elle déjà engagée publiquement à respecter des principes éthiques ?
- Que fait l’entreprise pour gagner de l’argent ? Quelle est l’importance de l’innovation ? Quels produits et services offre-t-elle, maintenant et à l’avenir ? L’IA peut-elle aider à améliorer les produits ou les services, à développer de nouveaux produits ou à améliorer l’expérience client ?
- Quels sont les risques liés à l’utilisation de l’IA ? Quelle est la sensibilité de l’entreprise aux risques opérationnels par exemple, quelle est l’importance de la continuité des activités, dans quels domaines ? Quel est le degré d’exposition de l’entreprise aux risques juridiques ? Est-elle réglementée, propose-t-elle des produits critiques, utilise-t-elle une grande quantité de données personnelles ?
- À quel cadre réglementaire l’entreprise est-elle soumise ? Est-elle active, par exemple, dans le secteur financier, de la santé, des dispositifs médicaux ou des télécommunications ? Est-elle cotée en bourse ? Quelles sont les normes ESG qu’elle doit respecter, a‑t-elle des objectifs de durabilité ?
- Quels sont les processus d’achat, de production et de vente qui sont importants pour l’entreprise ? Où existe-t-il le plus grand potentiel d’amélioration de l’efficacité ? Comment ?
- Quelles sont les ressources dont dispose l’entreprise ? Quelles ressources (données, savoir-faire, infrastructure, budget) seraient nécessaires ? Les données existantes, par exemple, sont-elles adaptées à une utilisation de l’IA ?
- Comment l’entreprise peut-elle gérer le changement et l’apprentissage ? Les expériences de projets pilotes peuvent-elles être utilisées ? L’entreprise dispose-t-elle de collaborateurs capables d’acquérir les compétences nécessaires en cas de besoin ?
- Comment attribuer la responsabilité de l’utilisation de l’IA ? Y a‑t-il des organes ou des rôles déjà existants qui peuvent être intégrés ? Faut-il créer de nouvelles compétences ou adapter les rôles existants ? Le thème est-il ancré dans la direction ? Existe-t-il une approche structurée des risques ?
- Quelle est la gouvernance existante ? L’entreprise dispose-t-elle, par exemple, de systèmes d’assurance qualité, de protection des données, de sécurité de l’information ou d’autres systèmes de gestion dont des éléments peuvent être utilisés ou qui doivent être harmonisés ?
- Quelle est la taille et la complexité de l’entreprise ? Quel est le degré de formalisation des processus qu’il peut gérer ou, inversement, quel est le degré de formalisation nécessaire ?
Comme nous l’avons dit, il est important de comprendre le paysage des risques liés à l’IA de l’entreprise et de l’évaluer du point de vue de l’entreprise. Cela peut inclure une analyse juridique plus approfondie. Par exemple, si une entreprise fabrique des dispositifs médicaux qui intègrent ou incorporent des systèmes d’IA et qu’elle les vend sur le marché de l’UE, le règlement de l’UE sur l’IA devient pertinent et le produit peut très bien entrer dans la catégorie des systèmes d’IA à haut risque. Si l’entreprise ne respecte pas les directives correspondantes, elle risque des amendes, une atteinte à sa réputation et des risques opérationnels. L’accent doit être mis sur le respect du règlement de l’UE sur l’IA lors de la mise en place de la gouvernance de l’IA.
Définir des principes
Il s’est avéré utile, lors de la mise en œuvre d’une gouvernance de l’IA, de définir des principes Diriger l’utilisation de l’IA. Chaque entreprise devra définir ses propres principes – il n’existe pas d’approche universelle. Toutefois, les principes essentiels comprennent notamment la sécurité, l’équité, la transparence, la qualité et l’exactitude, la responsabilité, la supervision humaine et la durabilité. Ces principes peuvent s’inspirer des objectifs et des contrôles mentionnés dans la norme ISO 42001 (annexe C). Ils ne doivent pas rester des slogans bien sentis, mais être animés ; ce n’est toutefois pas une raison pour y renoncer en tant qu’idées directrices.
L’utilisation de la technologie IA peut alors différents risques en fonction de l’application et du contexte. Il peut donc être judicieux de fonder la gouvernance de l’IA sur une approche basée sur les risques, à l’instar du règlement de l’UE sur l’IA (dont l’orientation est tout à fait pertinente). Pour ce faire, il convient de définir des critères de risque et, dans un deuxième temps, de définir différentes exigences en fonction de la catégorie de risque ou de procéder à une évaluation de l’impact du système d’IA (AI System Impact Assessment).
Définir un cadre clair
Un aspect central de la mise en œuvre est ensuite la création d’un “Cadre de gouvernance de l’IALe cadre de gouvernance de l’IA doit être défini par un document de référence, comme la situation de départ générale et les risques, les objectifs de la gouvernance de l’IA, les définitions et le champ d’application, la catégorisation des systèmes d’IA ainsi que les principes et les responsabilités. Il convient d’établir des directives aussi claires, pragmatiques et compréhensibles que possible, et de définir le champ d’application du cadre et une procédure pour les exceptions (“exception to policy”).
Un tel cadre peut être plus ou moins complexe, mais il est essentiel qu’il soit adapté à l’entreprise et qu’il définisse clairement les principes essentiels. Cela permet également de protéger les organes de direction, qui doivent définir ces principes tout en déléguant efficacement les tâches.
Il est recommandé d’utiliser une approche successive – là aussi, il ne faut pas mourir en beauté. Lors de la mise en œuvre, l’accent devrait être mis dans un premier temps sur les principaux objectifs de gestion et les risques pertinents. Pour cela, il peut suffire d’établir une politique avec certaines directives et notamment des responsabilités internes, associée à un système de rapports et à l’implication d’un organisme indépendant – plus ou moins selon l’entreprise – pour vérifier l’admissibilité. Au fil du temps – lorsque l’IA est utilisée de manière plus intensive ou pour des processus plus délicats – d’autres éléments peuvent s’y ajouter, par exemple des registres plus élaborés, des grilles de contrôle définies, des formations spécifiques à certains thèmes, des directives contractuelles pour les fournisseurs, des recommandations d’un comité d’éthique interne, l’approbation de la direction, etc.
Définir les responsabilités et les compétences
Impliquer les cadres
Même si des départements, des postes ou des fonctions spécialisés sont créés : La direction doit être impliquée dans la création et la mise en œuvre de la gouvernance de l’IA. Sans cela, la Acceptation de la gouvernance dans l’entreprise, et inversement, les cadres peuvent veiller à ce que les ressources nécessaires soient disponibles. Comme nous l’avons déjà mentionné, les dirigeants ont en outre un intérêt propre non seulement à poser les jalons stratégiques, mais aussi à assumer efficacement leurs responsabilités.
déléguer, et cela suppose aussi que les des compétences adaptées à tous les niveaux – de la direction, qu’il existe un système de rapport
existe et que les destinataires des rapports sont en mesure de les comprendre.
Définir les responsabilités pour les projets
Pour chaque projet d’IA, l’entreprise devrait ensuite désigner une personne ou une entité responsableIl s’agit d’une personne qui assume en interne la responsabilité de la conformité (dans le sens d’une “accountability”) et qui décide, dans le cadre de sa fonction ou de ses compétences, du développement ou de l’utilisation d’un système d’IA (par ex. un business owner). En outre, il est possible de définir une personne de contact qui ne doit pas nécessairement correspondre au Business Owner, mais qui se tient à disposition en tant que personne de contact directe en cas de questions.
Point de contact central
Il est à recommander, une personne ou une unité d’entreprise responsable de la gouvernance de l’IA être désigné comme point de contact central. Elle joue un rôle clé dans le suivi et la mise à jour de la gouvernance de l’IA (ISO 42001 prévoit par exemple un processus de signalement des problèmes (A.3.3), pour lequel il est utile de disposer d’un point de contact clair) et devrait disposer à la fois des compétences techniques nécessaires et d’une autorité suffisante au sein de l’entreprise. Une telle entité peut être, par exemple, une équipe de gouvernance des données existante qui est familiarisée avec la collaboration interdisciplinaire. Dans les grandes entreprises qui s’occupent depuis longtemps du thème de l’IA, on crée de plus en plus souvent un département spécifique pour la gouvernance de l’IA.
Groupe de travail interdisciplinaire
La complexité et la diversité de la technologie de l’IA exigent un large éventail de connaissances et de compétences. Au début, de nombreuses entreprises se trouvent dans une phase d’orientation, où elles n’ont pas encore une idée claire de la portée de la thématique de l’IA pour l’entreprise. Il vaut la peine de constituer au début un groupe de travail interdisciplinaire composé de personnes issues de différents domaines (p. ex. juristes ; experts en informatique, en sécurité et en éthique ou personnes issues du business lui-même) afin de prendre en compte les différents aspects lors de la mise en œuvre de la gouvernance de l’IA.
Il est toutefois important de distinguer un tel groupe, au sens d’un comité d’experts accompagnant, d’un comité de décision. En particulier, les entreprises qui sont soumises à un “Approche “Three Lines Les entreprises qui suivent le principe de la séparation entre les unités de revenus, le “business”, et une fonction de compliance indépendante – ne devraient pas saper cette séparation en faisant prendre les décisions par des organes mixtes. En revanche, rien ne s’oppose à ce que de tels comités aient des responsabilités communes. Faire des propositionsLes États membres peuvent décider de ne pas appliquer les dispositions de la présente directive, pour autant que cela ne compromette pas l’indépendance des décisions.
Comité d’éthique
La gouvernance de l’IA va généralement au-delà de la garantie de la conformité. Les systèmes d’IA ne doivent pas seulement être autorisés, mais aussi dignes de confiance et éthiques. De nombreuses entreprises ont donc des conseils ou des commissions d’éthique ont été mis en placeLa Commission européenne a mis en place un groupe de travail chargé d’accompagner les initiatives en matière d’IA et de veiller à ce qu’elles soient conformes aux normes éthiques et aux valeurs sociétales.
Swisscom dispose par exemple d’un Data Ethics Board qui s’occupe également des projets d’IA dès que ceux-ci pourraient être délicats d’un point de vue éthique. Les petites entreprises peuvent et devraient également se préoccuper des questions éthiques, surtout si elles sont actives dans des domaines ou avec des données délicats. Si l’IA doit être utilisée pour évaluer les données des collaborateurs (par exemple pour l’analyse des sentiments dont on parle beaucoup actuellement), c’est toujours le cas.
Communication interne et formation
La communication interne et la formation sont des éléments essentiels de la gouvernance de l’AI. Les collaborateurs doivent comprendre à quoi sert la gouvernance de l’IA et comment
sur leur travail. Une communication ouverte et honnête à l’égard des collaborateurs crée la confiance nécessaire. Cela nécessite une communication compréhensible et des mesures de formation appropriées (l’AI Act l’exige de toute façon sous le mot-clé “AI Literacy”).
Processus itératif
La gouvernance de l’IA doit être considérée comme un processus continu et itératif. Elle n’est pas un projet ponctuel qui s’achève après une phase de mise en œuvre (tout comme d’autres branches de la gouvernance). Les structures et processus de la gouvernance de l’IA devraient être régulièrement contrôlés et, le cas échéant, adaptés être mis en œuvre. Les entreprises ne peuvent pas réagir autrement aux nouveaux défis et aux changements, qu’ils soient de nature technologique, réglementaire ou liés au marché (et tout système entraîne des abus et des ralentissements – ne serait-ce que pour cette raison, les systèmes devraient toujours être adaptés).
Cette approche itérative est un processus de test, de vérification et d’adaptation qui vise à maintenir la gouvernance de l’IA à la pointe de la technologie, de la réglementation et de la pratique, mais qui suppose en même temps une culture d’apprentissage. Le feed-back des collaborateurs doit être sollicité en permanence.
Surveillance continue des systèmes
Enfin, les processus de gouvernance de l’IA devraient prévoir des “bilans de santé” afin de surveiller en permanence les systèmes d’IA qui ont déjà été contrôlés. Afin de garder une vue d’ensemble de toutes les applications d’IA dans l’entreprise, il est également indispensable, comme nous l’avons mentionné, de tenir un registre des systèmes et des modèles d’IA développés ou achetés.