Le développement fulgurant de l’intelligence artificielle (IA) engendre des défis de gouvernance et de gestion des risques pour les entreprises. Une approche systématique est nécessaire pour développer et utiliser des systèmes d’IA fiables. C’est ici que la norme ISO/IEC 42001 intervient ; il s’agit du premier standard mondial pour les systèmes de management de l’IA (SMIA).
ISO/IEC 42001 :2023 (ISO 42001 pour faire court) est le premier standard international qui définit les exigences en matière de système de management de l’IA (SMIA). Cette norme pose un cadre structuré pour les entreprises dans le but de concevoir et utiliser l’IA de manière sûre, responsable et conforme aux directives applicables et aux objectifs définis.
ISO 42001 s’applique à toutes les branches et est donc pertinente pour toutes les entreprises qui développent ou utilisent des systèmes d’IA. Ce sont en particulier les entreprises qui ont des modèles commerciaux basés sur les données, des processus de décisions critiques ou un haut niveau d’automatisation qui sont avant tout concernées. Les décideurs de niveau C et les départements spécialisés (IT, Data Science, Risque, Conformité etc.) bénéficient tous d’un SMIA, étant donné que ce standard aide à définir clairement les rôles et les responsabilités dans le contexte de l’IA et à contrôler les risques. ISO 42001 aborde le cycle de vie complet des systèmes d’IA : conception, développement, mise en œuvre, maintenance, surveillance …
Si un SMIA mis en place selon la norme ISO 42001 sans certification apporte déjà des avantages, en réduisant les risques et en soutenant les objectifs d’IA définis, une certification présente d’autres avantages. Les entreprises peuvent prouver aux tiers qu’elles utilisent l’IA de manière structurée et responsable. Concrètement, un SMIA certifié par la norme ISO 42001 présente les avantages suivants :
Une certification ISO 42001 prouve aux parties prenantes que le système d’IA a été développé et est exploité de manière responsable. Cela génère de la confiance chez les clients, partenaires, autorités de surveillance et le public. Cela peut constituer un avantage concurrentiel décisif, en particulier dans les domaines sensibles (p. ex. les finances ou la santé).
Le standard promeut le respect de la sécurité, de l’équité, de la transparence et de la qualité des données et modèles dans tout le cycle de vie du système d’IA. Les entreprises assurent donc que leurs systèmes d’IA fonctionnent de manière robuste, non discriminatoire et compréhensible. Les risques de prédictions erronées ou de distorsions sont réduits.
La certification prouve que l’utilisation de l’IA est planifiée de manière stratégique et qu’elle suit un objectif clair. Les structures de gouvernance établies assurent la responsabilité et clarifient en interne et en externe : l’IA n’est pas incontrôlée, mais activement dirigée et surveillée.
ISO 42001 aide à lier l’innovation par l’IA avec une gestion des risques efficace. Les entreprises peuvent alors faire des expériences de manière flexible tout en gardant le contrôle – un prérequis pour une innovation durable.
Un SMIA identifie, évalue et traite les risques de manière systématique. Les mesures de sécurité – de la protection des données à la sécurité de l’IT et l’éthique – doivent être mises en place avant que les systèmes d’IA ne soient utilisés. Ainsi, les points faibles sont abordés de manière proactive et la probabilité d’incidents s’en trouve réduite.
La norme définit des exigences de mesures de contrôle de l’IA incluant des processus pour assurer la qualité des données, la gestion du cycle de vie ou des incidents. Les processus standardisés améliorent la collaboration à l’interne, économisent du temps et réduisent les erreurs. L’amélioration continue exigée renforce l’optimisation à long terme.
En résumé, la certification ISO 42001 est la preuve d’une gestion responsable de l’IA qui ne répond pas seulement à des exigences internes et externes, mais qui a aussi des avantages commerciaux.
D’un côté, la Suisse se présente comme un pays d’innovation – de nombreuses entreprises locales veulent utiliser rapidement les technologies d’IA. De l’autre côté, il existe des exigences légales et réglementaires qui s’appliquent également à l’utilisation de l’IA. Voici trois points qui méritent d’être soulignés ici :
Pour les entreprises qui sont aux prémices de la mise en place d’une gouvernance IA et d’un SMIA, la tâche peut sembler complexe. Voici quelques conseils :
Examiner la situation actuelle et identifier les potentiels : Il vaut la peine de se faire une vue d’ensemble : quelles applications d’IA existent déjà dans l’entreprise et quelles sont celles qui sont planifiées ? Une analyse de potentiel peut permettre de mettre le doigt sur les possibles nouvelles utilisations de l’IA, leurs avantages et leurs risques.
Créer un engagement de la direction : Pour qu’un système de management puisse être mis en œuvre avec succès et pour qu’il soit efficace sur le long terme, il faut impérativement que la direction supérieure de l’entreprise le soutienne. Ici, un atelier orienté sur la pratique avec les décideurs compétents peut par exemple aider à susciter l’enthousiasme nécessaire. Un business case devrait également être élaboré comme base pour une décision de projet.
Demander conseil à des tiers : C’est en particulier au début qu’il peut être enrichissant de consulter des experts externes. Des consultants peuvent aider à éviter des pièges typiques et à établir une feuille de route pragmatique. Des formations adaptées peuvent permettre aux personnes aux positions clés d’acquérir les connaissances nécessaires. De même, il vaut la peine de jeter un coup d’œil aux lignes directrices pertinentes, par exemple de l’ISO du NIST ou du BSI, ainsi qu’aux éventuelles initiatives sectorielles, afin de s’inspirer des meilleures pratiques.
Ressources et où les mettre en place : Il faut s’assurer que les ressources nécessaires à la mise en place d’un SMIA sont disponibles ; budget, temps et personnel. Au sein de l’équipe de projet du SMIA, il faudra certainement commencer par acquérir des connaissances ; des formations peuvent alors être nécessaires. Ensuite, il est conseillé de nommer un coordinateur de l’IA ou de mettre en place un comité de l’IA afin d’ancrer le sujet en interne.
Obtenir l’adhésion des parties prenantes : Une prise de conscience générale doit être réalisée le plus tôt possible. Il vaut la peine d’impliquer très tôt es parties prenantes internes et externes afin de déterminer leurs besoins et leurs attentes en matière d’utilisation de l’IA.
De nombreuses organisations ont déjà un système de management du système d’information certifié ISO/IEC 27001 ou un système de management de la qualité conforme à la norme ISO 9001. Un SMIA répondant à la norme ISO 42001 s’intègre parfaitement dans les systèmes de management ISO existants. Tout comme ISO 27001 et ISO 9001, la norme suit la High Level Structure (Annexe SL) avec des sections sur le contexte, le leadership, la planification l’exploitation, l’évaluation et l’amélioration. Cela facilite grandement la combinaison de plusieurs systèmes de gestion. Les structures existantes peuvent être réutilisées et complétées de manière ciblée au lieu de mettre en place un tout nouveau système séparé.
Pour résumer, les entreprises bénéficient des systèmes de gestion déjà en place en mettant en œuvre un SMIA dans le cadre d’un système de gestion intégré dans lequel différentes synergies peuvent être mises à profit.
Les entreprises qui n’adoptent pas une gestion systématique de l’IA s’exposent à des dangers considérables. Si on économise des efforts à court terme, à moyen terme le manque de contrôle menace les bases du succès – un scandale ou un incident peut tout anéantir.
L’IA non contrôlée peut livrer des résultats biaisés – comme des algorithmes de recrutement discriminatoires ou une reconnaissance faciale raciste. Si le problème est reconnu trop tard, on s’expose à une perte de confiance, un préjudice d’image et des conséquences juridiques.
De nouvelles lois exigent des preuves comme de la documentation, l’explicabilité ou les analyses d’impact sur la protection des données. Sans gestion structurée de l’IA, on risque de se trouver face aux barrières du marché et à des amendes et d’engager sa responsabilité.
Un manque de surveillance peut mener à ce que les systèmes produisent des résultats faux ou dangereux sans que l’on s’en rende compte. Les failles de sécurité ne sont pas détectées, ce qui entraîne des cyberrisques et des dommages potentiellement importants.
Sans stratégie clairement définie, les projets d’IA ne répondent pas aux besoins et les ressources sont gaspillées. Les modèles échouent à cause des exigences en matière de conformité ou d’un manque de confiance. Du travail à double est effectué et les synergies ne sont pas exploitées.
S’il manque un cadre compréhensible, la confiance en l’IA a tendance à diminuer, tant auprès des collaborateurs que des clients. Le potentiel reste inexploité par manque d’acceptation.
Actuellement, l’utilisation d’ISO 42001 est volontaire. Cependant, on peut se poser la question si ISO 42001 prendra à l’avenir un rôle équivalent à ISO 27001 dans le domaine de la sécurité de l’information : formellement facultatif, mais attendu ou présupposé dans de nombreuses branches.
De nombreux développements pointent vers une augmentation significative de l’importance des certifications en gestion de l’IA :
Pour une petite ou moyenne entreprise sans applications d’IA complexes, la norme ISO 42001 devrait rester avant tout facultative. Les applications à haut risque et les gros fournisseurs devraient, eux, opter de manière systématique pour la certification, tant pour des raisons légales que pour répondre aux exigences du marché. Une évolution semblable a été constatée en ce qui concerne la norme ISO 27001.
Indépendamment d’une obligation, la norme ISO 42001 devrait devenir de plus en plus importante. Une certification précoce renforce la position sur le marché et donne une longueur d’avance sur les réglementations futures.
Commentaire