Gouvernance IA

L'Essentiel

Ce qu’il faut retenir :

1. Quoi : L’ensemble des politiques, processus et outils qui garantissent que l’IA est utilisée de manière sûre, légale et éthique dans l’organisation.
2. Pourquoi : Pour éviter le “Shadow AI” (usage caché), les fuites de données, les biais algorithmiques et les amendes (AI Act).
3. Comment : En s’appuyant sur des standards internationaux comme ISO 42001 ou le NIST AI RMF.

Ce que vous saurez dans 3 minutes

L’époque du “Far West” de l’IA est terminée. Avec l’arrivée de l’AI Act européen et des normes ISO, les entreprises doivent passer d’une expérimentation chaotique à une industrialisation maîtrisée. La Gouvernance IA n’est pas (que) de la paperasse : c’est le “permis de construire” qui permet de déployer des modèles en production sans risquer la réputation de l’entreprise.

---

1. Comprendre

Les Piliers de la Gouvernance

Une bonne gouvernance repose sur le Cycle de Vie du Modèle :

1. Conception : Définition du besoin, évaluation éthique (Privacy by Design).
2. Développement : Choix des données, traçabilité des entraînements (MLOps).
3. Validation : Red Teaming (attaques simulées), vérification des biais.
4. Déploiement : Monitoring de la dérive (Data Drift), Human-in-the-loop.
5. Retrait : Fin de vie du modèle.

Les Standards de Référence

NIST AI RMF

Le standard américain (National Institute of Standards and Technology). Il propose 4 fonctions :

• Govern : Culture du risque.
• Map : Cartographier les risques et bénéfices.
• Measure : Quantifier les performances et biais.
• Manage : Prioriser et traiter les risques.

ISO/IEC 42001

La première norme internationale certifiable (publiée fin 2023). Elle structure le AIMS (Artificial Intelligence Management System) sur le modèle de l’ISO 27001 (Sécurité) ou 9001 (Qualité).

Le Modèle “3 Lignes de Défense”

Adapté du risque bancaire, ce modèle s’impose pour l’IA :

1. 1ère Ligne (Opérationnels) : Les Data Scientists et Développeurs. Ils sont responsables de la qualité technique et du premier contrôle des biais.
2. 2ème Ligne (Fonctions Risque/Compliance) : Le CISO, le DPO ou le “Head of AI Governance”. Ils définissent les règles et valident que la 1ère ligne les respecte.
3. 3ème Ligne (Audit Interne) : Indépendants, ils vérifient périodiquement que le système fonctionne.

---

2. Appliquer

Workflow de Validation (Mermaid)

Voici un processus standard de “Green Light” pour un projet IA :

graph TD
    Start(Idée/Besoin) --> Impact{Analyse Impact AI Act}
    Impact -->|Haut Risque| Conformite[Étude Conformité Lourde]
    Impact -->|Risque Limité| Charte[Charte Éthique Simple]
    
    Conformite --> Dev[Développement & MLOps]
    Charte --> Dev
    
    Dev --> RedTeam[Red Teaming / Pentest]
    RedTeam -->|Fail| Dev
    RedTeam -->|Pass| Comite[Comité IA]
    
    Comite -->|Go| Prod(Mise en Prod)
    Comite -->|No Go| Start

Le Registre des Algorithmes

Comme pour le RGPD (Registre des Traitements), la gouvernance impose de tenir un inventaire à jour :

ID	Nom du Système	Risque (AI Act)	Données Utilisées	Propriétaire	Statut
001	Chatbot RH	Limité	FAQ Interne	DRH	Prod
002	CV Screener	Haut	CV Candidats	Recrutement	Stop
003	Marketing Gen	Minimal	Public Data	Marketing	Pilote

---

3. Aller plus loin

L’Impact de l’AI Act Européen

C’est le moteur principal de la gouvernance aujourd’hui. Il classe les IA en 4 niveaux :

1. Interdit : Scoring social, manipulation subliminale, reconnaissance faciale de masse.
2. Haut Risque : Recrutement, Justice, Santé, Infrastructures critiques. (Exige marquage CE, logs, supervision humaine).
3. Transparence Spécifique : Chatbots (doivent dire qu’ils sont des IA), Deepfakes (doivent être marqués).
4. Risque Minimal : Filtres spam, jeux vidéo. (Pas de contrainte majeure).

Soft Law vs Hard Law

• Hard Law : Ce qui est obligatoire (AI Act, RGPD, Loi 2023 sur les influenceurs).
• Soft Law : Ce qui est recommandé (Code de conduite, Labels AFNOR, Principes de l’OCDE). Une bonne gouvernance anticipe la Hard Law en appliquant la Soft Law dès aujourd’hui.

Le Rôle du “AI Ethics Officer”

Nouveau métier émergent. Il n’est pas là pour dire “Non”, mais pour dire “Comment”. Il traduit les principes éthiques (transparence, équité) en exigences techniques (Seuils de métriques d’équité, Explainability).

---

Questions Fréquentes

Qui est responsable si l’IA se trompe ?

Juridiquement, c’est l’humain ou l’entité qui utilise l’IA. L’IA n’a pas de personnalité juridique. Si une banque refuse un prêt à cause d’un algo biaisé, c’est la banque qui est condamnée, pas l’algorithme.

Faut-il interdire ChatGPT en entreprise ?

L’interdiction totale mène au Shadow AI (les employés l’utilisent en cachette sur leur téléphone). La bonne gouvernance consiste à offrir une version “Entreprise” sécurisée (où les données ne partent pas chez OpenAI pour l’entraînement) et à former les utilisateurs.

---

Notions Liées (Spider Web)

• La Loi : AI Act.
• Le Risque : Biais IA.
• La Technique : MLOps (L’implémentation technique de la gouvernance).
• Le Concept : Alignement.

Ressources Externes

• NIST : AI Risk Management Framework - Le document fondateur.
• ISO : ISO/IEC 42001:2023 - La norme payante mais incontournable.
• CNIL : IA : comment être en conformité ? - Le guide pratique français.