Alors que la Loi européenne sur l’IA devient une référence mondiale en matière de réglementation de l’IA, il est clair qu’une gouvernance pratique fondée sur les risques aide les organisations à accélérer l’adoption de l’IA, à instaurer la confiance et à obtenir un retour sur investissement mesurable. Avant sa session lors du Symposium Gartner à Barcelone le 10 novembre, Dre Heather Domin, vice-présidente et responsable du Bureau de l’IA responsable et de la gouvernance chez HCLTech, explore ce qu’il faut pour transformer la réglementation en avantage.

Comment la Loi européenne sur l’IA redéfinit les normes mondiales de gouvernance de l’IA

Domin parle d’« une période enthousiasmante », la Loi européenne sur l’IA « contribuant déjà à façonner les normes mondiales » bien au-delà de l’Europe. Elle souligne sa portée extraterritoriale : les entreprises mondiales « doivent s’y conformer », et les organismes de normalisation d’autres régions « cherchent comment [ils] peuvent s’aligner avec la Loi européenne sur l’IA ». À ses yeux, la Loi devient « une référence mondiale », aidant les entreprises multinationales à se doter d’un point d’ancrage fondé sur les risques, en plus d’autres réglementations, normes et cadres majeurs. Cette unité est essentielle. Avec un repère cohérent, les organisations peuvent réduire les doublons, simplifier la prise de décision et déployer des cas d’utilisation sur plusieurs marchés sans réinventer leur gouvernance chaque fois.

Défis liés à la mise en œuvre de la gouvernance de l’IA

Le problème le plus difficile est l’exécution. La gouvernance « touche pratiquement tous les secteurs de l’entreprise », dit Domin, et « n’appartient pas nécessairement à un seul groupe ». Les services juridiques, la confidentialité, la gouvernance des données et la technologie y jouent tous un rôle, ce qui fait que « cette coordination devient souvent un défi ». Le succès dépend « d’une très bonne communication », d’indicateurs clairs pour la valeur et de la capacité à transformer les processus « à l’échelle de plusieurs organisations ou unités d’affaires ». Sur le plan technique, il existe « des différences dans l’application des principes de gouvernance de l’IA selon les diverses plateformes et outils », donc les pratiques doivent pouvoir passer d’un environnement à l’autre. Résultat ? Même des organisations engagées peuvent avoir du mal à transformer des principes en réflexes, à moins que les rôles ne soient explicites et que les modèles opérationnels évoluent.

Classification fondée sur les risques des systèmes d’IA

« Une classification fondée sur les risques est importante. C’est absolument la bonne approche. » Essentiellement, elle « met l’accent sur le cas d’utilisation…plutôt que sur la technologie elle-même », accordant la priorité à la surveillance « là où les risques sont les plus probables ». Elle souligne les scénarios à risque plus élevé, tels que « la surveillance ou les mécanismes de notation », et des contextes comme « la finance et la santé », qui nécessitent des contrôles renforcés. Pourtant, il subsiste des écarts de maturité. Comme « tout cela est si nouveau » et que les normes ne sont pas toutes finalisées, les organisations « savent où nous devons aller » mais ne sont pas toujours prêtes à passer à l’opérationnalisation. Citant une étude conjointe réalisée par HCLTech et le MIT, elle fait remarquer que « seulement 15 % des organisations se sentent vraiment prêtes à mettre en place des contrôles. » À retenir : ce ne sont pas les cadres qui constituent un goulot d’étranglement, mais bien l’exécution. La priorité est donc passée de s’entendre sur la taxonomie des risques à l’opérationnaliser : normaliser les processus, les outils et les responsabilités afin que la conformité devienne reproductible à grande échelle.

Étapes concrètes pour mettre en œuvre des systèmes d’IA à haut risque

Si un système relève de la catégorie à haut risque, Domin recommande de commencer par la visibilité : « un inventaire formel…est généralement la première étape », pour cartographier les systèmes concernés et les obligations applicables. Ensuite, il faut mener « une classification et une évaluation formelles des risques » pour chaque système afin d’identifier les écarts. Il faut s’attendre à des bases solides : il peut être nécessaire d’instaurer ou de renforcer des « systèmes de gestion de la qualité », une « documentation technique » et des « protocoles de gouvernance des données ou de supervision humaine ». Selon les obligations, les équipes devront également se préparer à « enregistrer le système ou à effectuer des évaluations de conformité », et à établir des procédures pour la « déclaration d’incidents et la surveillance post-commercialisation ». Le fil conducteur demeure la traçabilité : être capable de montrer comment un système a été construit, pourquoi il se comporte ainsi et comment il est géré en continu.

Intégrer la conformité à la Loi européenne sur l’IA dans les opérations quotidiennes

La gouvernance s’installe quand elle s’incarne dans le travail. Concrètement, Domin recommande de mettre en place « un comité de gouvernance de l’IA interfonctionnel…[qui] permet de donner une perspective croisée ». Leadership et appropriation sont essentiels : « Les gens doivent savoir ce qu’ils doivent faire [et] ce dont ils sont responsables. » Elle suggère de s’appuyer sur la norme ISO/IEC 42001, la norme internationale pour les systèmes de gestion de l’IA, comme colonne vertébrale pour les rôles, les processus et les preuves. Tout aussi important, les points de contrôle de la conformité devraient être « intégrés…directement dans le cycle de vie de l’IA », à partir du moment où l’on décide « quels systèmes d’IA on va développer », jusqu’au « développement [et] déploiement » et à la « surveillance continue ». Lorsque des balises sont intégrées dans les chaînes de livraison, elles guident plutôt qu’empêchent les équipes.

Équilibrer l’innovation, la réglementation et la gouvernance

La peur que la gouvernance freine l’innovation est répandue et, selon Domin, non fondée. « Ce que nous avons constaté maintes et maintes fois, c’est que c’est en fait l’inverse », dit-elle. Bien faite, la gouvernance « favorise une innovation plus rapide et une mise en œuvre plus réussie de l’IA à long terme », ce qui augmente les chances que « toute innovation…fournisse le retour sur investissement espéré ».

La clé réside dans la proportionnalité : « On ne veut pas appliquer des contrôles lourds aux systèmes à faible risque », mais il faut effectivement « un niveau de gouvernance approprié en fonction du niveau de risque ». Elle établit un parallèle avec la sécurité : personne « ne…déploierait quoi que ce soit sans ces vérifications », puisque nous avons appris les risques de les contourner et la valeur de les conserver. Au fil du temps, elle s’attend à ce que cela devienne « un acquis », et que le débat innovation-contrôle s’estompe.

Préparer les stratégies d’IA aux futures réglementations

Pour anticiper les nouvelles règles, Domin insiste sur l’adaptabilité et les compétences. « Nous devons rester adaptables », dit-elle, et cultiver la « littératie en IA » afin que l’organisation maintienne un « état d’esprit de croissance et un cycle d’apprentissage continu ». À mesure que la technologie évolue, « il faut apprendre dès maintenant ce qu’est l’IA agentique », et les fonctions doivent « parler le même langage ».

Cette maîtrise interfonctionnelle est un préalable à une gouvernance efficace et à une adoption responsable. Les cadres doivent être suffisamment agiles pour évoluer avec les nouvelles normes, en utilisant l’ISO/IEC 42001 comme système d’exploitation tout en s’adaptant aux attentes régionales, comme le Cadre de gestion des risques liés à l’IA du NIST aux États-Unis.

Enfin, Domin insiste sur la valeur des partenariats stratégiques et de la participation à de larges discussions avec des décideurs politiques, universitaires et pairs de l’industrie. Rester engagé permet aux organisations de repérer et de façonner ce qui vient ensuite.

IA responsable : la voie vers la mise à l’échelle

La Loi européenne sur l’IA, juridiquement contraignante, marque un tournant : l’IA responsable devient la voie vers la mise à l’échelle, et non un détour. Le plan proposé par Domin est d’une grande concrétude : connaître ses systèmes, classifier les risques, intégrer les contrôles dans le cycle de vie, rendre les rôles explicites et investir dans un langage commun pour favoriser la collaboration entre les fonctions. Réalisez ce travail dès maintenant et la conformité deviendra une capacité qui génère la confiance, réduit les reprises et augmente le retour sur investissement, alors que les réglementations et les technologies continuent d’évoluer.

Vous voulez en savoir plus sur la façon dont la réglementation peut stimuler l’innovation ? Rejoignez Heather Domin au Gartner Symposium, sur la scène 1 à Barcelone le 10 novembre. Les détails et l’horaire des séances sont disponibles ici.