Gestion des risques
Public concerné
La présente ligne directrice est destinée aux hauts fonctionnaires parlementaires et au personnel parlementaire chargés du développement et de la mise en œuvre des systèmes basé sur l'IA. Elle propose également une réflexion technique approfondie pour les personnes impliquées dans le développement et la mise en œuvre de projets liés à l'IA.
À propos de cette ligne directrice
Cette ligne directrice donne des conseils pour la maîtrise des risques liés à l'IA dans les parlements. Elle souligne l'importance d'une évaluation continue des risques tout au long du cycle de vie d'un système d'IA, depuis la proposition de projet jusqu'à la mise hors service, en mettant l'accent sur trois étapes : l'autorisation initiale du projet, la phase de développement et la phase opérationnelle. La sous-ligne directrice associée comprend des questionnaires destinés à faciliter l'identification, l'analyse et l'atténuation des risques liés à l'IA.
Pertinence de la maîtrise des risques pour la gouvernance de l'IA dans les parlements
L'usage et le développement de systèmes d'IA dans un cadre parlementaire impliquent certains risques. Les lignes directrices Risques et biais génériques et Risques et difficultés pour les parlements traitent plus en détail de ces risques.
La gestion de ces risques est essentielle pour garantir que les systèmes d'IA sont sûrs, éthiques, équitables, confidentiels, dignes de confiance, transparents et conformes aux réglementations, ainsi que pour assurer le respect de l'autonomie humaine et des droits de propriété intellectuelle. En résumé, des pratiques efficaces de maîtrise des risques liés à l'IA aident les parlements à :
- protéger leurs données et systèmes d'IA,
- assurer la continuité des activités,
- préserver leur réputation,
- éviter de coûteuses erreurs,
- stimuler une innovation responsable.
Planifier la mise en œuvre d'un processus de maîtrise des risques liés à l'IA
Le processus de maîtrise des risques liés à l'IA doit être en adéquation avec la culture et la structure du parlement. Les parties prenantes se situant à différents niveaux hiérarchiques, il convient d'utiliser un langage approprié dans les questionnaires d'évaluation et les rapports périodiques afin d'éviter tout retard ou interprétation erronée.
En phase de développement, l'adaptation des processus classiques de maîtrise des risques, intégrés à la gestion de projet, peut simplifier et accélérer la mise en œuvre de la maîtrise des risques liés à l'IA. Dans ce cas, le processus impliquera non seulement les chefs de projets d'IA, mais aussi les commissions informatiques, les commissions en charge de l'institution et les décideurs de haut niveau.
En phase opérationnelle, un partenariat entre les équipes informatiques et celles chargées des activités permet de faciliter l'intégration des pratiques de contrôle et la collecte des retours des utilisateurs afin de contribuer à la maîtrise des risques liés à l'IA. Dans ce cas, il est essentiel d'impliquer une équipe de maîtrise des risques composée de personnes ayant des compétences en matière d'IA et d'un personnel opérationnel chargé des services numériques basés sur l'IA.
Appliquer les processus de maîtrise des risques au cycle de vie de l'IA
La maîtrise des risques est un cycle continu qui s'étend à toutes les phases du cycle de vie d'un système d'IA, garantissant que les risques sont systématiquement identifiés, évalués et maîtrisés ou atténués, de la conception au déploiement et au-delà.
Un processus type de maîtrise des risques liés à l'IA comprend les phases suivantes :
- Évaluation des risques liés à l'IA.
- Analyse des risques liés à l'IA.
- Traitement des risques liés à l'IA.
- Communication des risques liés à l'IA.
- Suivi et réexamen des risques liés à l'IA.
Ces phases sont abordées tour-à-tour ci-dessous.
Évaluation des risques liés à l'IA
L'objectif de cette première étape est d'identifier les risques existants, de comprendre leurs implications opérationnelles et autres, et de décider de la manière dont ils doivent être maîtrisés ou atténués.
Cet exercice d'évaluation sera généralement réalisé à l'aide de questionnaires destinés aux principales parties prenantes – ce qui, en soi, peut constituer une méthode utile d'atténuation, car elle révèle les risques potentiels et les fait mieux connaître.
Ces questionnaires peuvent être utilisés dans les phases suivantes :
⦁ Autorisation initiale du projet.
⦁ Phase de développement (avant la mise en service).
⦁ Phase opérationnelle (jusqu'à la mise hors service).
Évaluation des risques pour l'autorisation initiale du projet
Le cycle de vie du système d'IA commence par la présentation d'une proposition de projet à l'organe de gouvernance compétent (conseil, commission ou unité), accompagnée d'un questionnaire d'évaluation des risques de l'IA (Q1) dûment rempli, lequel sert à recueillir des informations sur l'objectif du projet, les parties prenantes, la conformité, les données, les accords, les biais potentiels et d'autres facteurs.
Le personnel chargé de la gouvernance utilise les réponses au questionnaire pour estimer les risques et les avantages du projet, et pour déterminer, sur cette base, s'il convient d'autoriser l'ajout du projet d'IA au portefeuille du parlement.
Évaluation des risques en phase de développement
Au cours de la phase de développement, le questionnaire Q2 alimentera le processus de maîtrise des risques, dans le but de réduire et d'atténuer les risques liés à l'IA, de sorte que le système d'IA résultant soit considéré comme digne de confiance pour le déploiement. Des risques inacceptables liés à l'IA peuvent toutefois entraîner l'interruption du projet à ce stade.
Évaluation des risques en phase opérationnelle
Une fois le système d'IA déployé, il faut continuer à surveiller son comportement ainsi que l'évolution des variables prises en compte dans le cycle de vie du système d'IA, par exemple les caractéristiques des données, les règles opérationnelles et les considérations sociales.
Le troisième questionnaire d'évaluation des risques (Q3) peut être utilisé au cours de cette phase. Comme pour le questionnaire Q2, le score de risque résultant de ce troisième questionnaire servira de base au processus de maîtrise des risques qui, à ce stade, vise à réduire et à atténuer les risques liés à l'IA afin de garantir que le système reste digne de confiance.
Analyse des risques liés à l'IA
Une fois les risques identifiés et évalués, l'étape suivante consiste à les analyser à la lumière de la politique du parlement en matière d'IA et du niveau de risque que ce dernier souhaite prendre – lequel est souvent basé sur ses exigences réglementaires et ses objectifs stratégiques – afin de déterminer quel(s) risque(s) nécessite(nt) d'être traité(s). Tous les risques identifiés doivent ensuite être classés afin de déterminer ceux qui requièrent une attention immédiate et ceux qui doivent faire l'objet d'un suivi dans le temps. Toutes ces décisions doivent être prises en étroite collaboration avec les parties prenantes concernées.
Les compromis entre les différentes options de traitement des risques doivent également être évalués à ce stade. Par exemple, s'il élimine un risque identifié, le parlement pourrait ne pas atteindre d'autres objectifs stratégiques en se privant également de la possibilité d'utiliser le système d'IA d'une autre manière.
Traitement des risques liés à l'IA
Une fois que les risques identifiés ont été analysés et classés par ordre de priorité, le parlement doit élaborer et mettre en œuvre des plans pour les maîtriser, en recourant éventuellement à une ou plusieurs des stratégies suivantes :
⦁ Éviter : éliminer l'activité à l'origine du risque. Par exemple, le parlement peut décider de ne pas mettre en œuvre un système d'IA, voire d'abandonner un projet d'IA, si les risques associés sont jugés trop élevés.
⦁ Réduire : prendre des mesures pour réduire la probabilité que le risque se produise ou pour atténuer son impact s'il se produit.
⦁ Transférer : transférer le risque à un tiers, par exemple par le biais d'une assurance ou en externalisant certains services à une entreprise mieux équipée pour gérer le risque.
⦁ Accepter : accepter le risque sans prendre de mesure pour en modifier la probabilité ou l'impact. Cela se fait généralement lorsque le coût de l'atténuation du risque dépasse le préjudice potentiel et que le risque est considéré comme suffisamment faible pour être acceptable.
Communication des risques liés à l'IA
Les risques identifiés de l'IA et les mesures de maîtrise associées doivent être communiqués aux parties prenantes concernées tout au long du cycle de vie du système d'IA. En phase de développement, les chefs de projet et le personnel du bureau de gestion du projet fourniront, dans le cadre de leurs attributions normales, des mises à jour régulières sur le statut des risques et l'efficacité du traitement. La communication est tout aussi importante en phase opérationnelle.
Suivi et réexamen des risques liés à l'IA
Pendant la phase opérationnelle, il est essentiel de suivre et de réexaminer en permanence les risques liés à l'IA.
Des mécanismes de suivi et de retour d'information, associés à des programmes de formation, contribuent à instaurer une culture de sensibilisation aux risques et à tenir les parties prenantes informées.
Des audits et des réexamens périodiques doivent également être effectués pour garantir le respect de la politique et de la réglementation en matière d'IA. Tous les incidents et quasi-incidents recensés doivent être analysés afin d'en identifier les causes profondes et d'améliorer les pratiques de maîtrise des risques, les enseignements tirés étant documentés et les politiques mises à jour en conséquence.
En cas de risques inacceptables liés à l'IA, il peut s'avérer nécessaire de mettre le système d'IA hors service.
Pour en savoir plus
Cheatham, B., Javanmardian, K., et Saman, H. (sans date). Confronting the risks of artificial intelligence, disponible à [Confronting AI risks | McKinsey]
National Institute of Standards and Technology (NIST), publication spéciale 800-30, Guide for Conducting Risk Assessments, disponible à [NIST SP 800-30 | NIST]
Online Browsing Platform (OBP), ISO/IEC 27005:2022(fr) Sécurité de l'information, cybersécurité et protection de la vie privée — Préconisations pour la gestion des risques liés à la sécurité de l'information, disponible à [ISO/IEC 27005:2022(fr) Sécurité de l'information, cybersécurité et protection de la vie privée — Préconisations pour la gestion des risques liés à la sécurité de l'information]
Tucker, B.A. (sans date). Carnegie Mellon University, Advancing Risk Management Capability Using the OCTAVE FORTE Process, disponible à [Advancing Risk Management Capability Using the OCTAVE FORTE Process (cmu.edu)]
Les Lignes directrices pour l’IA dans les parlements ont été produites par l’UIP en collaboration avec le Pôle parlementaire sur la science des données du Centre pour l'innovation au parlement de l'UIP. Ce document est soumis à une licence Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International. Il peut être librement partagé et réutilisé en mentionnant l'UIP. Pour plus d'informations sur les travaux de l'UIP en matière d'intelligence artificielle, veuillez consulter le site www.ipu.org/fr/impact/democratie-et-parlements-forts/lintelligence-artificielle ou contacter [email protected].
Contenu Connexe
À propos des Lignes directrices | Rôle de l'IA au sein des parlements | Présentation des applications d'IA | Coopération interparlementaire pour l'IA | Actions stratégiques pour la gouvernance de l'IA | Risques et difficultés pour les parlements | Risques et biais génériques | Principes éthiques | Gestion des risques | Adéquation par rapport aux normes et cadres nationaux et internationaux en matière d'IA | Gestion du portefeuille de projets | Gouvernance des données | Développement de systèmes | Gestion de la sécurité | Formation à la maîtrise des données et à la maîtrise l'IA | Glossaire terminologique