Avec l’entrée en application du règlement sur l’intelligence artificielle (“AI Act”), il est nécessaire pour chaque entreprise utilisant, fournissant ou développant des systèmes ou des modèles d’intelligence artificielle (“IA”) de réaliser une cartographie IA.
Une cartographie des modèles et des systèmes d’intelligence artificielle permet de recenser tous les usages de l’IA au sein d’une entreprise. Elle est indispensable pour pouvoir ensuite évaluer dans quelle mesure l’AI Act s’applique à l’entreprise et établir un plan d’action pour être en conformité avec ce règlement.
Toutes les entreprises devraient mener une cartographie IA car elles sont toutes potentiellement concernées par l’utilisation d’outils logiciels intégrant des fonctionnalités d’IA. Il peut par exemple s’agir de logiciels de recrutement, de logiciels de gestion du personnel ou encore d’outils utilisés dans le cadre de la relation client.
Quelle est l’utilité de réaliser une cartographie IA ?
La réalisation d’une cartographie IA présente plusieurs utilités qui se cumulent et la rendent d’autant plus intéressante à mettre en place au sein d’une entreprise.
Utilité 1 : Recensement exhaustif
Mener une cartographie IA est le moyen le plus efficace de recenser la totalité des modèles et des systèmes d’intelligence artificielle utilisés, développés ou fournis par une entreprise. Si l’entreprise ne prend pas le temps de mener cette cartographie, elle ne pourra pas être en mesure de savoir et de comprendre comment l’IA est utilisé, en pratique, par ses équipes.
Ce recensement est essentiel car il sert de fondement à la mise en conformité de l’entreprise à l’AI Act.
Utilité 2 : Piloter sa conformité à l’AI Act
Disposer d’une cartographie IA permet de pouvoir identifier les systèmes et les modèles d’intelligence artificielle utilisés par l’entreprise et pour lesquels elle a besoin de se mettre en conformité avec l’AI Act.
Il s’agit de la première étape pour établir une feuille de route de la conformité IA et connaître en profondeur les usages au sein de ses équipes.
Utilité 3 : Identifier le shadow AI
Le shadow AI est l’utilisation de systèmes ou de modèles d’IA par les employés de l’entreprise sans que cette dernière n’en soit informée et ne l’est autorisée. Il s’agit d’un vrai risque pour l’entreprise car n’étant pas dans la maîtrise des usages de l’IA elle peut se retrouver confrontée à des pertes de données confidentielles, à des violations de données personnelles et à des failles de sécurité qu’elle ne pourra pas corriger.
Réaliser une cartographie IA ne s’improvise pas. Cela demande une réelle organisation, l’implication des équipes mais surtout une bonne gestion de projet.
Quelles sont les 5 bonnes pratiques pour réussir une cartographie IA ?
Il existe cinq pratiques essentielles à intégrer dans tout projet de cartographie IA afin d’en assurer l’efficacité.
Bonne pratique 1 : Interroger toutes les équipes
La cartographie IA doit être menée au sein de chaque équipe. En effet, aucune équipe n’est épargnée par l’utilisation de l’IA. Les équipes techniques bien sûr sont concernées à la fois car elles sont susceptibles d’utiliser de l’IA mais aussi car elles peuvent développer des modèles ou des systèmes d’IA. Les équipes juridiques, RH et support sont aussi concernées car les logiciels qu’elles utilisent pour réaliser leurs tâches intègrent de plus en plus de fonctionnalités reposant sur l’intelligence artificielle.
Ainsi, il ne faut pas avoir d’a priori et écarter des équipes de la cartographie car le risque est important de passer à côté d’un usage de l’IA.
Bonne pratique 2 : Disposer d’un questionnaire commun
Afin d’interroger les équipes, il convient d’utiliser un questionnaire établit préalablement et d’utiliser le même pour l’ensemble des équipes interrogées. En fonction des usages de chaque équipe, certaines parties du questionnaire seront utiles pour une équipe tandis que d’autres ne le seront pas. Toutefois, garder de la consistance et de la cohérence est nécessaire pour obtenir une cartographie finale qui ait du sens et qui soit homogène.
Bonne pratique 3 : Mener des entretiens interactifs
Pour interroger les équipes, il est vivement recommandé de mener des entretiens interactifs en personne ou en visioconférence plutôt que par écrit.
Créer un lien et un moment d’échange est primordial pour obtenir des informations pertinentes et qualitatives. Cela permet aussi de faire une première sensibilisation des équipes en leur présentant l’AI Act et les enjeux qu’il implique pour l’entreprise.
Contrairement à l’envoi d’un questionnaire par e-mail, discuter avec les équipes à l’occasion de la cartographie permet de leur donner du contexte et de les impliquer dans le projet. A termes, cela facilitera également la remontée d’information et le maintien de la conformité dans le temps.
Bonne pratique 4 : Creuser pour obtenir des informations pertinentes et documentées
Les entretiens de cartographie sont l’occasion de pouvoir échanger pour comprendre l’usage réel des équipes. Il est important de ne pas se contenter d’une information générique et mal comprise car cela impacterait ensuite la mise en conformité.
Demander à ses interlocuteurs de voir les interfaces des logiciels d’IA, de partager la documentation descriptive des systèmes d’IA, leurs notices d’utilisation ou encore les plaquettes commerciales constitue une bonne pratique pour réaliser une cartographie IA utile. Conserver ces éléments et y faire référence au sein de la cartographie permettra de qualifier plus facilement le rôle de l’entreprise et le type d’IA.
Bonne pratique 5 : Créer un registre à partir de la cartographie
La mise en page et la forme de la cartographie IA sont essentielles car elles faciliteront sa lecture, son utilisation et ses mises à jour.
Conserver l’ensemble des questionnaires, dans un format propre et lisible, au sein d’un registre permet de pouvoir les enrichir avec, chaque système d’IA identifié, sa qualification et le rôle de l’entreprise. Le registre peut ensuite servir de point de départ à l’élaboration d’un plan d’action de mise en conformité à l’AI Act. Le registre IA constitue également un outil de référence pour connaître les IA présentes au sein de l’entreprise et piloter les risques.
En résumé
En suivant ces bonnes pratiques, vous ne vous contentez pas de réaliser une simple cartographie mais vous posez les bases de la conformité IA de l’entreprise.
Grâce à la cartographie IA, il est ensuite possible d’identifier le rôle de l’entreprise pour chaque IA : fournisseur, déployeur, distributeur, importateur. Elle permet également de qualifier chaque modèle et chaque système d’IA pour identifier les obligations à respecter et établir un plan d’action de mise en conformité à l’AI Act.
