Gartner recommande aux organisations de mettre en place un programme de gouvernance de l’IA pour cataloguer les cas d’usage et traiter dès que possible les instances interdites. Conseils de Nader Henein, Vice-président Analyst, Gartner.

Les organisations devraient évaluer quatre classes de déploiement d’IA dans le cadre de la préparation de la loi européenne sur l’intelligence artificielle, estime Nader Henein, VP Analyst, Gartner. Or, avec l’approbation par le Parlement européen de la loi de l’Union européenne sur l’intelligence artificielle, l’AI Act, « la plupart des entreprises ne sont pas prêtes à se conformer à ces réglementations radicales en matière d’IA. » Et il y a danger.

De nombreuses organisations pensent que parce qu’elles ne créent pas d’outils et de services d’IA en interne, ils sont gratuits et clairs. C’est une erreur ! « Ce qu’elles ne réalisent pas, c’est que presque toutes sont exposées à l’AI Act. Non seulement, les organisations sont responsables des capacités d’IA qu’elles développent, mais également de celles qu’elles ont déjà acheté ! »

Gartner recommande aux organisations de mettre en place un programme de gouvernance de l’IA pour cataloguer et catégoriser les cas d’utilisation de l’IA et traiter dès que possible les instances interdites.

Découvrir et cataloguer

Les règles concernant les systèmes d’IA interdits entreront en vigueur six mois après l’entrée en vigueur de l’AI Act. Celles-ci entraîneront des amendes pouvant aller jusqu’à 7 % du chiffre d’affaires mondial. Dix-huit mois plus tard, la majorité des règles associées aux systèmes d’IA à haut risque entreront en vigueur. Celles-ci s’appliqueront à de nombreux cas d’utilisation en entreprise nécessitant un peu de diligence raisonnable et encore plus de documentation décrite dans ce guide et les guides ultérieurs.

« La première étape, et la plus critique, consiste à découvrir et à cataloguer les fonctionnalités basées sur l’IA avec suffisamment de détails pour l’évaluation des risques ultérieure », conseille Nader Henein.

De nombreuses organisations disposent de centaines de fonctionnalités basées sur l’IA déjà déployées, dont certaines sont spécialement conçues, mais la majorité sont invisibles car intégrées sur de nombreuses plates-formes utilisées au quotidien.

Quatre niveaux de risques

Cataloguer oblige les organisations, les fournisseurs et les développeurs à entreprendre la découverte et la liste de chaque système basé sur l’IA déployé dans l’entreprise. Cela facilitera la catégorisation ultérieure dans l’un des quatre niveaux de risque décrits dans la loi : systèmes d’IA à faible risque, systèmes d’IA à haut risque, systèmes d’IA interdits et systèmes d’IA à usage général.

« Pratiquement, il est préférable de travailler systématiquement sur chacune des quatre classes de déploiement de l’IA, note Nader Henein. Cette approche est la plus rationnelle. En effet, si l’objectif à court terme est l’identification des risques, le but ultime est l’atténuation des risques et chacune de ces classes a ses propres exigences en matière d’atténuation des risques. »

S’y retrouver…

On a encore beaucoup d’IA à l’état sauvage, constate Gartner. Génératifs ou autres, ces outils disponibles dans le domaine public sont utilisés par les employés à des fins professionnelles de manière formelle et informelle. ChatGPT ou Bing sont les plus connus. « Cataloguer nécessite une formation des employés et une série d’enquêtes pour compiler rapidement la liste des systèmes utilisés. En parallèle, l’équipe IT peut être en mesure d’identifier des outils d’IA supplémentaires utilisés en examinant les analyses du trafic Web de l’organisation »

Deuxième classe, les IA intégrées. Il s’agit de capacités d’IA intégrées aux solutions standard et offres SaaS utilisées au sein de l’entreprise. Les fournisseurs de services complètent leurs offres avec des capacités d’IA depuis la majeure partie de la dernière décennie, dont beaucoup sont complètement invisibles pour l’organisation, comme les modèles d’apprentissage automatique qui alimentent les moteurs de détection de spam ou de logiciels malveillants. « Pour cataloguer, les organisations vont devoir étendre leur programme de gestion des risques liés aux tiers et demander des informations détaillées à leurs fournisseurs, car les capacités d’IA intégrées peuvent ne pas être évidentes. »

IA internes, IA hybrides

Troisième, classe, les IA en interne. On parle ici de capacités d’IA formées, testées et développées en interne, où l’organisation a une visibilité totale sur les données, les technologies et les ajustements ultérieurs apportés aux modèles, ainsi que sur l’objectif pour lequel ils sont utilisés. C’est un autre niveau, observe Nader Henein. « Les organisations créant et gérant leurs propres modèles d’IA disposeraient de data scientists et d’un programme de gouvernance pour organiser les données concernées. Le processus de découverte serait donc transparent. Et les données nécessaires à la catégorisation ultérieure facilement disponibles. »

Enfin, l’IA hybride. Soit des capacités d’IA d’entreprise construites en interne à l’aide d’un ou plusieurs modèles fondamentaux prêts à l’emploi, génératifs ou non, complétés par des données d’entreprise. « Comme il s’agit d’une combinaison de modèles externes pré-entraînés avec des données internes, il en résulte une combinaison des questions de gestion des fournisseurs de l’IA intégrée et de la recherche de métadonnées internes de l’IA en interne pour collecter les informations appropriées nécessaires à la catégorisation. » Autant le savoir.