80% des organisations n’ont pas de vision claire de l’utilisation qui est faite de l’IA par leurs équipes
Shadow AI, un nouvel angle mort en matière de conformité. Et une question fondamentale sur sa gouvernance. A qui la confier ? Au CIO ? Au CDO ? Ou au DPO ? Une intéressante étude française esquisse un début de piste.
L’IA est partout, mais souvent invisible ou tout du moins peu ou pas encadrée. Telle est la principale conclusion de la 7ème édition du Baromètre Privacy. Pour EQS Group, son promoteur, celle-ci révèle un tournant décisif pour la protection des données et la gouvernance de l’IA dans les organisations. Alors que l’adoption de l’IA s’accélère à un rythme sans précédent, les cadres de gouvernance et la visibilité des risques peinent à suivre le rythme, créant ainsi d’importantes zones d’ombre.
Concrètement, 48 % des organisations admettent ne pas avoir identifié les systèmes d’IA utilisés au sein de leur organisation, ni leur emplacement. 32 % supplémentaires n’ont qu’une visibilité partielle, sans analyse des risques appropriée. Au total, 80 % des organisations n’ont pas une vision claire des risques liés à l’IA, ce qui rend la conformité à l’AI Act et au GDPR de plus en plus difficile.
Un faux sentiment de contrôle
« Il est impossible de gouverner ou de réglementer ce que l’on ne peut pas voir, rappelle Thomas Vini Pires, Expert, Data Privacy & AI Governance, EQS Group. L’IA se déploie plus rapidement que les organisations ne peuvent la documenter, l’évaluer et la contrôler… »
Cet écart est d’autant plus significatif que les organisations se sentent de plus en plus confiantes quant à leur maturité globale en matière de conformité : 76 % des personnes interrogées déclarent que leur niveau de conformité en matière de protection des données s’est amélioré au cours de l’année écoulée.
Pour Thomas Vini Pires, ce contraste suggère que la maturité traditionnelle en matière de GDPR pourrait créer un faux sentiment de contrôle à l’ère de l’IA, où les fondements établis en matière de conformité ne garantissent plus la visibilité sur les risques émergents.
L’affaire du DPO… s’il a les ressources
Cela représente un risque critique, car les régulateurs exigent désormais des inventaires complets et précis des systèmes d’IA, des évaluations des risques documentées, une responsabilité claire et une supervision humaine. A lire le Baromètre Privacy, 31 % des organisations identifient désormais le DPO comme le responsable de la conformité à l’AI Act, soit une hausse de 10 points en un an, devant les CIO ou les CDO. Le Shadow AI serait donc l’affaire du DPO, un sujet de plus !
Dans les entreprises c’est le flou. 40 % des organisations ne voient toujours pas de lien entre la gouvernance de l’IA et la protection des données, malgré le chevauchement important des risques, de la documentation et des exigences en matière de gouvernance de la donnée. Ce décalage augmente le risque de fragmentation des efforts de conformité et d’exposition réglementaire.
« Les avantages de l’IA sont bien établis, comme en témoigne le nombre d’organisations qui l’adoptent avec enthousiasme. Le prochain défi consiste donc à se conformer à la fois aux réglementations en matière de protection des données et à l’AI Act. Confier cette responsabilité au DPO -ou, a minima, lui donner un rôle prépondérant- peut être une première étape importante, mais elle doit s’accompagner de ressources supplémentaires et dédiées ainsi que d’une vision transversale », ajoute Thomas Vini Pires.
Une gouvernance encore largement modérée, une conformité structurelle à la traîne
Face à l’entrée en vigueur prochaine de nouvelles exigences de l’AI Act, les organisations ont commencé à agir, mais principalement par des mesures de gouvernance générale. 44 % ont mis en place des chartes d’utilisation de l’IA, 42 % ont lancé des initiatives de sensibilisation, mais seulement 14 % ont mis en place une documentation structurée, telle que des registres des systèmes d’IA ou des cadres de gestion de la qualité.
Cela confirme une tendance plus générale : la protection des données est entrée dans une ère de maturité opérationnelle, mais l’IA teste les limites des cadres existants. « Le DPO n’est plus seulement le gardien des données personnelles ; il doit évoluer pour devenir un véritable ‘Digital Ethics Officer’, capable d’anticiper l’impact de la nouvelle législation européenne, conclut Thomas Vini Pires. Dans de nombreuses organisations, il devient le pilier de la gouvernance de l’IA, à la croisée de l’éthique, de la réglementation, de la data et des affaires. »
