Création d’un cadre de travail sûr pour l’IA générative

Les entreprises canadiennes commencent à constater les avantages de l’IA générative. En effet, elles affichent des niveaux de productivité et de qualité du travail supérieurs, et nombre d’entre elles cherchent à en profiter encore plus pour continuer d’innover.

Bien que l’IA générative puisse propulser votre entreprise, elle peut également l’exposer à des risques qui doivent être pris en compte, comme le risque que des renseignements personnels deviennent du domaine public. Selon un sondage que KPMG a mené au Canada, 18 % des utilisateurs de l’IA générative ont déclaré qu’ils avaient entré des données confidentielles sur leur entreprise dans les invites.

Plusieurs autres risques de l’IA ne sont pas évidents ou complètement saisis. Ils peuvent toutefois avoir de graves conséquences pour les entreprises, comme des litiges, des atteintes à la vie privée, des problèmes de conformité, des menaces pour la sécurité, le vol de propriété intellectuelle et même des dommages réputationnels.

Par exemple, quand du contenu est généré par l’IA, il peut y avoir des risques liés à la détention de la propriété intellectuelle. Le U.S. Copyright Office (le bureau des droits d’auteurs américain) a décrété que personne ne détenait le contenu généré par l’IA – ce qui inclut l’utilisateur qui a obtenu le contenu au moyen d’invites dans l’outil d’IA et les créateurs de l’outil lui-même.

En raison de ces risques, certaines sociétés ont interdit l’accès aux plateformes d’IA générative accessibles au public sur les appareils qu’elles fournissent à leurs employés. Cela dit, cette interdiction ne constitue pas une stratégie de gestion des risques à long terme viable.

Nous vivons dans une ère où les employés sont encouragés à utiliser leurs propres outils et appareils, que ce soit au bureau, sur la route ou en télétravail. Dans un contexte d’IA générative, cela signifie que les entreprises devront accepter l’utilisation de l’IA générative par leurs employés, que ce soit à titre personnel ou professionnel.

Grâce à son sondage, KPMG a découvert que l’adoption de l’IA générative au travail augmentait à un taux annualisé de 32 %. Dans les faits, il est difficile de sévir contre son utilisation – et punir les employés qui l’utilisent peut avoir des conséquences sur l’attraction et la fidélisation des talents. Par ailleurs, cela peut freiner la hausse de votre productivité, alors que vos concurrents ont peut-être déjà relevé la leur.

En même temps, le sondage Perspective des chefs de la direction de KPMG a révélé que les chefs de direction canadiens sont préoccupés par les répercussions de l’IA sur les cyberattaques, l’atteinte à la vie privée, la mésinformation, la propriété intellectuelle et les biais dans les ensembles de données.

Pour les leaders en gestion des risques et l’audit interne, il faut faire une évaluation attentive des répercussions de l’IA générative pour que tous comprennent très bien les risques qu’elle pose tout comme les occasions qu’elle présente. Voici trois domaines de risques essentiels pour les entreprises, ainsi que des stratégies qui peuvent les aider à les gérer :

Création d’un comité de gouvernance interdisciplinaire :
Dans un contexte d’IA générative, la gestion des risques ne vise pas seulement la technologie. Elle touche plusieurs aspects d’une entreprise et, pour cette raison, une grande variété de parties prenantes devraient participer au processus de gouvernance.

Commencez par mettre sur pied un robuste comité de gouvernance en IA à multiples facettes, qui intégrera des membres de toutes les fonctions opérationnelles, y compris les Services juridiques, la Protection des renseignements personnels, la Gestion des risques, les Technologies, les Données, la Cybersécurité, la Sécurité des systèmes d’information, les Ventes et le Marketing. Ce comité devrait obtenir l’avis de professionnels externes en IA, aider les cadres dirigeants à prendre des décisions éclairées concernant l’IA générative, et rendre des comptes à l’équipe de direction pour s’assurer que des pratiques fiables en la matière sont utilisées à l’échelle de l’entreprise.

Il est tout aussi important de voir à ce que chacun au sein de cette dernière soit formé sur l’utilisation efficace et responsable de l’IA. Le comité de gouvernance peut contribuer à renforcer la confiance en exigeant une sensibilisation du personnel et une transparence quant à l’utilisation de l’IA, ce qui inclut une explication de son fonctionnement, de l’utilisation des données et des processus décisionnels.
 

Adoption d’une approche centralisée à l’égard des cas d’usage de l’IA :
Différentes fonctions opérationnelles expérimentent et créent leurs propres cas d’usage. L’expérimentation n’est pas mauvaise, mais la création de cas d’usage en silo peut entraîner des risques à long terme s’ils ne s’intègrent pas dans une approche d’entreprise plus large.

L’un des plus grands risques auxquels les sociétés font face est celui de ne pas avoir une vue d’ensemble des risques associés à l’IA et des préoccupations concernant la sécurité de l’IA. Si chaque service utilise ses propres ensembles de données fonctionnelles, l’entreprise ne détiendra pas une « source unique de vérité » pour l’ensemble de ses activités. Elle risque alors de se retrouver avec une panoplie de données inexactes ou incohérentes. Il devient aussi plus difficile de comprendre les dangers de l’IA, de surveiller les risques et de mettre en place des garde-fous en raison de l’absence d’un cadre de référence pour toutes les unités administratives et les fonctions opérationnelles.

Assurez-vous que les politiques et les procédures de l’entreprise suivent l’évolution de l’IA générative :
Les risques peuvent s’immiscer en raison de politiques et de processus désuets, notamment ceux liés au contrôle diligent et à la gestion des fournisseurs.

Par exemple, quand vous faites affaire avec un fournisseur, qui vérifie les modalités du contrat? Avec la venue de l’IA générative, les modalités ne sont plus traditionnelles. En les regardant de près, vous pourriez découvrir qu’un fournisseur peut utiliser vos données exclusives pour entraîner ses modèles, ce qui pourrait présenter un risque de sécurité ou de protection des renseignements personnels pour votre entreprise.

En même temps, de nombreuses politiques internes ne sont pas mises à jour pour refléter les rapides avancées technologiques de l’IA générative. Par exemple, votre entreprise a-t-elle instauré une politique acceptable concernant les outils d’IA générative internes et externes utilisés par les employés? Les leaders en gestion des risques et l’audit interne doivent périodiquement réviser ces politiques et ces processus pour garder le rythme.

Pour terminer, tenez compte des normes minimales en matière d’IA responsable que vous devez respecter et des pratiques exemplaires que vous voulez adopter. Si vous exercez vos activités en Amérique du Nord et en Europe, il pourrait être dans votre intérêt d’adopter un cadre de travail en IA responsable et des processus de gouvernance qui respectent les exigences plus sévères de la Loi sur l’IA de l’UE pour protéger votre entreprise et la préparer à la réglementation canadienne à venir, notamment la Loi sur l’intelligence artificielle et les données (LIAD).
 

Créez des catégories de risques pour les modèles d’IA générative qui accélèrent l’innovation :
Bien qu’il faille mettre en place un ensemble de contrôles minimum lors de la création de vos modèles, ces derniers ne doivent pas tous être considérés de façon égale – le faire pourrait rapidement devenir un fardeau.

La création de catégories de risques au niveau du modèle prescrit le degré de rigueur et de contrôle qui doit être exercé pour chaque modèle. Cela peut sembler beaucoup de travail supplémentaire… Après tout, la mise en place de contrôles des risques vise à accélérer l’innovation – et non à l’étouffer.

Réduisez les risques de nature éthique des plateformes libres :
Les entreprises sont nombreuses à utiliser les plateformes d’IA générative libres, ce qui peut les aider à faciliter et à accélérer la mise en marché des produits et services, en plus d’en réduire le coût. Aucun outil ne pourra répondre à tous vos besoins – et les outils évoluent rapidement. Du coup, l’intégration de ces outils dans votre environnement informatique présente de nouveaux risques.

Quand vous utilisez une plateforme libre, vous êtes assujettis aux valeurs et aux contrôles de nature éthique du fournisseur ou de la plateforme. Est-ce que ces valeurs et ces contrôles cadrent avec l’orientation prise par votre entreprise? La gestion des risques liés à l’IA sous-entend que des lignes directrices en matière d’éthique doivent être mises en place pour gérer la protection de la vie privée, l’équité et l’imputabilité.

Cela sous-entend également que vous affinez vos modèles en y intégrant vos propres garde-fous, surtout si vous créez une solution sur une plateforme existante. Certaines entreprises utilisent un nuage privé pour entraîner leurs données internes pour éviter qu’elles ne soient accidentellement transmises aux modèles externes.

Création d’un cadre d’IA sûr pour votre entreprise
Il peut être difficile de concevoir des capacités d’IA générative quand il n’y a pas encore de directives réglementaires ou de normes claires, même si des progrès ont été réalisés à ce chapitre :

• Le National Institute of Standards and Technology (NIST) au sein du département du Commerce américain a publié une ébauche, le 29 avril 2024, se fondant sur le cadre de gestion des risques pour l’IA afin de faciliter la gestion des risques associés à l’IA générative
• L’Union européenne (UE) a approuvé la loi européenne sur l’IA, qui établit les obligations en matière d’IA en fonction des risques et des répercussions, qui précise la transparence dont les entreprises doivent faire preuve concernant leur utilisation de l’IA, et qui donne des directives sur les catégories de risques à intégrer aux modèles
  
• Bien que le Canada attende toujours la finalisation de la LIAD, qui a été déposée dans le cadre du projet de loi C-27 en 2022, un code de conduite volontaire a été publié en 2023 pour fournir des directives concernant le développement responsable des systèmes d’IA générative.
  

C’est un bon début, mais le puzzle est loin d’être complet – et, quand il est question d’IA générative, la technologie progresse beaucoup plus rapidement que les directives réglementaires.