Pourquoi l'assurance de l'IA ne peut pas attendre

Par Morgan Badoud
Directeur Digital Assurance & Trust chez PwC Suisse

Article overview

L'intelligence artificielle (IA) est devenue une pierre angulaire des opérations commerciales, intégrée dans d'innombrables outils et systèmes utilisés quotidiennement par les organisations, leurs employés et le grand public. Alors que les organisations et les employés adoptent consciemment l'IA, le grand public interagit souvent avec l'IA sans s'en rendre compte - mais tant les organisations que le public sont exposés à des risques potentiels qu'ils ne comprennent ou ne contrôlent peut-être pas entièrement. Les entreprises doivent garantir la transparence, instaurer la confiance et mettre en œuvre des cadres de gouvernance solides pour atténuer ces risques. Cela souligne l'importance cruciale de l'assurance de l'IA, qui fournit les structures et les cadres nécessaires à l'utilisation responsable et sûre de l'IA à tous les niveaux d'interaction. 

Clarté de la réglementation dans l'UE, exigences fragmentées en Suisse 

À l'échelle mondiale, la réglementation de l'IA a eu du mal à suivre le rythme des avancées technologiques. L'Union européenne a fait des progrès notables avec sa loi sur l'IA, introduite à l'automne 2024, qui utilise un cadre fondé sur le risque pour classer les systèmes d'IA dans les catégories de risque inacceptable, élevé, limité ou minime/aucun risque. La loi exige que les organisations créent un inventaire de leurs systèmes d'IA, évaluent les risques et garantissent la conformité par des mesures telles que des évaluations de conformité et une documentation solide pour les systèmes à haut risque. Les organisations du secteur public sont confrontées à des orientations supplémentaires sur l'utilisation responsable de l'IA. 

En Suisse, l'absence de réglementation spécifique à l'IA crée une complexité supplémentaire pour les entreprises. Bien qu'elles ne soient pas juridiquement liées par la loi de l'UE sur l'IA, les entreprises suisses desservant des clients de l'UE doivent se conformer à ses exigences, à l'instar du précédent créé par le règlement général sur la protection des données (RGPD), où les normes de l'UE sont devenues la norme de facto pour les entreprises suisses exerçant des activités transfrontalières. Au niveau national, la Suisse s'appuie sur la législation existante en matière de protection des données, de responsabilité et de droits des consommateurs. Les lignes directrices de la FINMA de décembre 2024 pour la gouvernance de l'IA dans le secteur bancaire sont un pas vers une réglementation ciblée, mais des mesures réglementaires plus larges font toujours défaut, laissant les entreprises naviguer dans un paysage fragmenté.   

Mise en place de cadres de gouvernance et gestion des données 

Un nombre croissant d'entreprises suisses élaborent de manière proactive des politiques en matière d'IA et désignent des fonctions telles qu'un responsable en chef de l'IA pour s'occuper de la gouvernance. Cependant, la mise en œuvre de cadres de contrôle est particulièrement difficile pour les petites entreprises, qui ne disposent souvent pas des ressources ou de l'expertise nécessaires pour gérer efficacement la gouvernance de l'IA. Malgré l'absence de réglementation, il est essentiel d'investir dès maintenant dans les contrôles de l'IA pour gérer les risques et anticiper les exigences futures.  

L'IA étant devenue partie intégrante de processus critiques tels que l'établissement de rapports financiers et l'audit, il est essentiel d'instaurer la confiance dans ces systèmes - et l'assurance IA aide les organisations à définir des cadres de contrôle et à mettre en œuvre des pratiques responsables. Les cadres internationaux tels que le cadre de gestion des risques de l'IA du NIST (AI RMF) et les normes internationales telles que l'ISO/IEC 42001 fournissent des conseils sur l'élaboration de structures de gouvernance robustes axées sur l'équité, la responsabilité, la transparence et la protection des données.  

La gestion des données constitue un défi majeur pour l'assurance de l'IA. Des données de haute qualité et bien gérées sont le fondement d'une IA fiable. Les organisations doivent comprendre d'où viennent leurs données, comment elles sont traitées et quels sont les risques qu'elles présentent. Elles doivent notamment s'assurer que les informations sensibles sont protégées, en particulier lorsqu'elles utilisent des outils tiers ou des solutions basées sur le cloud. Sans cette base, même le système d'IA le plus sophistiqué est susceptible de produire des résultats biaisés ou peu fiables. 

Relever ensemble les défis de l'IA 

Pour les entreprises qui mettent en œuvre l'IA, il existe deux cas d'utilisation courants : le développement de solutions d'IA en interne ou l'intégration d'outils tiers. Ces deux approches nécessitent une surveillance attentive. L'assurance des tiers, par exemple, consiste à évaluer les fournisseurs d'IA externes afin de valider leurs contrôles et leurs systèmes, ce qui permet aux entreprises d'avoir confiance dans les outils qu'elles utilisent. Les évaluations de l'état de préparation, autre pierre angulaire de l'assurance de l'IA, aident les organisations à identifier les lacunes dans leurs pratiques actuelles en matière d'IA, à définir des plans d'action et à donner la priorité à l'amélioration des compétences et à la formation afin de renforcer l'expertise interne. 

D'un point de vue personnel, la curiosité et l'apprentissage continu sont au cœur d'une assurance IA efficace. Le domaine évolue si rapidement qu'il n'est plus possible de s'appuyer sur des approches dépassées. Les organisations doivent constamment remettre en question les résultats de l'IA, vérifier leur exactitude et conserver leur jugement professionnel. La confiance aveugle dans l'IA est un risque en soi ; la surveillance humaine reste essentielle pour garantir une utilisation éthique et précise. Pour les praticiens, il est essentiel de poser les bonnes questions et de regarder au-delà des tâches immédiates pour naviguer dans ce paysage dynamique. 

En interne, nous reconnaissons que nous travaillons tous pour la même entreprise et sur le même sujet. Le partage des connaissances, la promotion d'un échange constant et le travail en commun ont toujours été au cœur de notre approche. Avec le rythme rapide des changements et la complexité croissante du paysage de l'IA, cet état d'esprit collaboratif est plus important que jamais. 

Répondre à l'urgence et instaurer la confiance 

Sur le plan externe, l'urgence d'agir constitue un défi de taille. De nombreux clients ne voient pas encore l'importance de la mise en œuvre de cadres de contrôle, et s'interrogent souvent sur leur nécessité en l'absence de réglementation. Cependant, il est essentiel de sensibiliser les clients aux risques et à la nécessité de mettre en place des cadres solides. En tant que conseillers de confiance, nous les guidons à travers ces défis et veillons à ce qu'ils soient préparés aux futures exigences réglementaires et opérationnelles.   

L'IA a un énorme potentiel pour rationaliser les processus et débloquer l'innovation, mais elle présente également des risques qui ne peuvent être ignorés. L'utilisation responsable de l'IA nécessite un équilibre entre l'exploitation de ses capacités et le maintien de contrôles solides. Bien qu'il n'existe pas encore de réglementation spécifique à la Suisse, elle devrait bientôt prendre forme, et les entreprises qui agissent dès maintenant pour établir des cadres d'assurance de l'IA seront mieux positionnées pour relever les défis à venir. En fin de compte, l'IA n'est pas seulement une question d'automatisation - il s'agit d'instaurer la confiance, de garantir la responsabilité et de permettre un avenir où l'innovation, la responsabilité et l'obligation de rendre des comptes vont de pair.