AI Governance - ISO/IEC 42001 Certification Benefits

Pour la majeure partie des entreprises, l'intelligence artificielle (IA) est un sujet de premier plan et la majorité d'entre elles sont désireuses d'en explorer les avantages potentiels. L'intelligence artificielle présente toutefois des défis et des risques qu'il convient de gérer pour assurer un développement, une application et une utilisation sûrs, responsables, fiables et éthiques. Dans ce contexte, la norme ISO/IEC 42001 relative aux systèmes de management de l'intelligence artificielle constitue un cadre de référence incontournable pour guider le déploiement et fournir des solutions fiables en matière d'intelligence artificielle.

Bien qu'elle existe depuis un certain temps, l'IA n'a pas vraiment été adoptée avec enthousiasme jusque récemment. Une récente enquête ViewPoint de DNV a révélé qu'une part importante des entreprises (58 %) n'ont pas encore mis en œuvre les technologies d'IA et que, dans l'ensemble, plus de 70 % d'entre elles se trouvent dans ce que l'on pourrait considérer comme un début de parcours en matière d'IA. Ces chiffres montrent que l'IA n'est pas encore une priorité stratégique pour la majorité des entreprises.

De nombreuses entreprises ayant répondu à l'enquête sont certes novices en matière d'IA, mais ce ne sont pas de jeunes entreprises au sens classique du terme, ni étrangères à la nécessité ou aux avantages de la gouvernance. Ces entreprises ont déjà mis en place un système de management conforme à au moins une norme ISO, telle que la norme ISO 9001 (qualité), la norme ISO 14001 (environnement) ou la norme ISO/IEC 27001 (sécurité de l'information). Cependant, et tout particulièrement celles qui en sont aux prémices, elles n'ont pas encore intégré la nécessité d'appliquer la même approche à leur démarche en matière d'IA.

Le besoin grandissant de gouvernance

Les entreprises que nous pourrions qualifier de « débutantes » se concentrent principalement sur le recours à l'IA pour accroître l'efficacité et améliorer les processus en interne. Il s'agit d'une première étape répandue en raison de la nature relativement simple des solutions, telles que Copilot et ChatGPT, et de leur mise en œuvre. Cependant, à mesure que les entreprises gagnent en maturité, elles tendent à s'orienter vers des initiatives d'IA externes, plus complexes, visant à générer des revenus et à explorer de nouvelles opportunités commerciales. Cette évolution s'accompagne d'un besoin accru de gouvernance structurée afin de maîtriser au mieux les risques et de garantir un développement, une mise en œuvre et une utilisation sûrs, fiables et éthiques en matière d'IA.

La législation relative à l'IA est de plus en plus contraignante et les entreprises devront veiller à s'y conformer. De plus, le scepticisme inhérent aux utilisateurs crée un déficit de confiance qui doit être résorbé. Pour avoir confiance en une technologie et en tirer parti, nous devons comprendre comment elle fonctionne et être en mesure d'évaluer sa sécurité, sa fiabilité et sa transparence. Cette dimension est mis en évidence dans un rapport publié en mars 2024 par le AI Assurance Club et intitulé AI Governance and Assurance Global Trends 2023-24 (Tendances mondiales en matière de gouvernance et d'assurance en matière d'intelligence artificielle 2023-24). Ce rapport détaille les tendances mondiales et l'évolution de la législation dans le monde. Sur la question de la confiance, le rapport indique : « Au cœur du puzzle de la gouvernance de l'IA se trouve la question de la confiance. À mesure que les systèmes d'IA s'intègrent dans nos vies - dans les infrastructures, les processus commerciaux, les services publics ou les biens de consommation - les utilisateurs doivent avoir la certitude que les systèmes fonctionneront toujours comme prévu, sans causer de dommages. »

Combler le déficit

Le déficit de confiance fait allusion au manque potentiel de confiance et de transparence à l'égard des produits et/ou services d'une organisation qui ont recours à l'IA. Par exemple, si un hôpital utilise des diagnostics facilités par l'IA, puis-je, en tant que patient, croire qu'ils sont aussi bons, voire meilleurs, que l'évaluation effectuée par le seul médecin ? Pour combler le déficit de confiance avant que les systèmes d'IA ne deviennent trop complexes et autonomes, il faut une gouvernance rigoureuse.

L'instauration de la confiance est un élément central de toutes les normes ISO relatives aux systèmes de management, il n'est donc pas surprenant que la même approche puisse être appliquée à l'IA. L'enquête ViewPoint a révélé que la majorité des entreprises pionnières en matière de développement et de mise en œuvre de l'IA envisagent déjà d'adopter un système de management de l'IA pour garantir une gouvernance appropriée et ont déjà connaissance de la norme ISO/IEC 42001.

Plusieurs référentiels et normes complémentaires existent déjà, notamment le référentiel de management des risques de l'IA du NIST, la norme ISO/CEI 23894 sur le management des risques de l'IA, la norme ISO/CEI 5338 sur le cycle de vie des systèmes d'IA et la norme ISO/CEI TS 25058. En décembre 2023, l'ISO a lancé la norme ISO/IEC 42001 sur les systèmes de management de l'IA (AIMS). Il s'agit de la première norme AIMS certifiable qui fournit une approche rigoureuse du management des nombreuses opportunités et risques liés à l'IA au sein d'une organisation. Cette norme aide donc les entreprises à faire un pas de plus pour combler le déficit de confiance car la conformité aboutit à un certificat délivré par un organisme de certification tiers indépendant comme DNV. De plus, comme elle s'appuie sur la structure de haut niveau (HLS) de l'ISO, elle peut facilement être intégrée à d'autres systèmes de management.

La norme ISO/CEI 42001 s'appuie sur les mêmes structures de haut niveau que les autres normes de management ISO et sera donc déjà bien connue des entreprises qui ont déjà mis en place un système de management ISO. Conformément à la méthodologie « Planifier-Faire-Vérifier-Agir », l'ISO/CEI 42001 précise les exigences et porte sur la création, la mise en œuvre, le maintien et l'amélioration continue d'un système de management de l'IA. Sachant que toutes les personnes interrogées dans le cadre de l'enquête ViewPoint ont désigné la cybersécurité comme la principale menace pour le déploiement de l'IA, l'intégration d'un système de management de la sécurité de l'information conforme à la norme ISO/IEC 27001 peut s'avérer extrêmement bénéfique.

Instaurer la confiance

La norme ISO/IEC 42001 prendra sans doute encore plus d'importance à mesure que de plus en plus de pays adopteront des réglementations en matière d'IA. Les États-Unis et la Chine ont déjà mis en place des réglementations et des politiques en la matière.
En Europe, la première loi globale sur l'IA, l'EU AI ACT, est récemment entrée en vigueur. Cette loi vise à promouvoir et à garantir le développement sûr, sécurisé, fiable et éthique des systèmes d'IA, et la mise en place d'une gouvernance d'entreprise en matière d'IA apparaît comme un aspect essentiel pour garantir la conformité réglementaire et instaurer la confiance.

Pour garantir la gouvernance de l'IA, il est essentiel de mettre en place une procédure centralisée dans de nombreuses équipes qui reconnaissent et comprennent les technologies de l'IA, leurs applications et leurs fournisseurs. De plus, en raison de l'évolution constante du domaine de l'IA et de son cadre réglementaire en constante mutation, il sera nécessaire qu'un comité de gouvernance et des parties prenantes identifiées examinent et mettent à jour régulièrement le programme de gouvernance de l'IA.

L'adoption d'une approche structurée de la gouvernance et de l'utilisation responsable de l'IA peut à terme constituer un avantage concurrentiel et aider toute entreprise à démontrer aux parties prenantes internes et externes qu'elle a mis en place une approche rigoureuse pour protéger les utilisateurs et se perfectionner en continu. Un système de management certifié témoigne de l'engagement de l'entreprise et des mesures prises au quotidien pour garantir un développement, une mise en œuvre et une utilisation sûrs, fiables et éthiques de l'IA dans le cadre de ses procédures et de ses offres de produits et de services.