Pourquoi la plupart des stratégies de gouvernance de l’IA échouent déjà

La plupart des stratégies actuelles de gouvernance de l’IA créent un faux sentiment de sécurité

De nombreuses organisations pensent qu’elles sont protégées parce que l’équipe juridique a vérifié les cases, que les contrats ont été signés, que les indemnités sont en place et que les documents de conformité ont été archivés. Sur le papier, tout cela semble hermétique. En pratique, ce n’est pas le cas. Ces actions créent un instantané de la conformité à un moment donné, mais les systèmes d’IA évoluent constamment. Ce qui semble « fait » aujourd’hui peut devenir une responsabilité demain si le système se comporte de manière imprévisible ou si les réglementations évoluent plus vite que la réponse de l’entreprise.

La véritable gouvernance est un processus actif. Les dirigeants devraient insister pour que chaque système d’IA qui influence les décisions critiques pour l’entreprise ou liées aux personnes fasse l’objet d’un examen régulier. Cela signifie qu’il faut comprendre comment le système apprend, comment il est contrôlé et comment les résultats sont vérifiés. De nombreuses entreprises s’appuient encore sur des rapports statiques plutôt que sur une surveillance continue, ce qui laisse des risques cachés qui ne deviennent évidents qu’en cas de litige ou d’audit.

Pour les dirigeants, le véritable message est le suivant : ne confondez pas l’accomplissement des procédures avec la sécurité. La conformité doit être dynamique. La gouvernance de l’IA doit être intégrée à l’ADN de l’entreprise, constamment évaluée, testée et mise à jour au fur et à mesure de l’évolution de la technologie et de ses implications.

Le contexte réglementaire actuel est dépourvu d’une législation complète sur l’IA

Il est facile pour les dirigeants de penser que, puisque le gouvernement américain n’a pas adopté de loi sur l’IA, ils ont le temps de planifier. C’est une erreur. Les systèmes d’IA utilisés pour l’embauche, la rémunération ou l’évaluation des performances sont déjà couverts par des lois existantes. Le plan stratégique 2024-2028 de l’Equal Employment Opportunity Commission (EEOC) cible spécifiquement les systèmes automatisés qui semblent neutres mais produisent des résultats discriminatoires. En bref, le régulateur a déjà bougé.

Cet environnement fragmenté, au niveau fédéral, des États et même des villes, crée un paysage complexe en matière de conformité. Ajoutez à cela la loi sur l’IA de l’Union européenne, qui s’applique à toute entreprise opérant ou employant au sein de l’UE, et vous obtenez un réseau réglementaire déjà actif. L’absence d’une loi unique n’est pas synonyme d’absence de risque ; elle signifie que les entreprises doivent opérer avec une plus grande conscience de la situation.

Le recours collectif contre Workday, qui allègue une discrimination algorithmique à l’embauche, montre que l’application de la législation et les litiges sont en bonne voie. Les entreprises n’ont pas besoin d’attendre de nouvelles lois pour être sanctionnées, elles le sont déjà. Pour les organisations internationales ou numériques, le défi consiste à trouver un équilibre entre la rapidité de l’innovation et la responsabilité réelle dans de multiples juridictions.

Les dirigeants devraient axer leur stratégie non pas sur la prédiction de ce que le Congrès fera, mais sur ce que les régulateurs font déjà. Déployez des équipes qui comprennent les chevauchements juridictionnels, construisez des structures de conformité adaptables et assurez des audits externes réguliers. Le risque juridique et le risque de réputation augmentent lorsque les dirigeants supposent que les lois futures leur donneront le temps de rectifier le tir, ce qui n’est pas le cas.

La conservation des documents et la possibilité d’accéder aux enregistrements des décisions en matière d’IA exposent les organisations

L’IA ne fonctionne pas de manière isolée. Chaque invite, configuration de modèle et résultat de décision fait partie d’une empreinte juridique et opérationnelle. Si votre entreprise utilise l’IA dans les décisions relatives aux ressources humaines, à la finance ou à la chaîne d’approvisionnement, ces traces de données peuvent être citées à comparaître. Les tribunaux peuvent exiger des dossiers montrant comment un système d’IA a fait des choix en matière d’emploi ou de rémunération, et les autorités de réglementation peuvent demander ces mêmes dossiers lors d’examens. Les entreprises qui ne peuvent pas produire ces dossiers, qui remontent parfois à plusieurs années, s’exposent à de graves risques juridiques et de réputation.

Cette question devient de plus en plus pressante à mesure que les systèmes d’IA assument des fonctions plus autonomes. Lorsqu’un système d’apprentissage automatique prend une décision qui affecte un employé ou un candidat, la responsabilité incombe à l’employeur, et non au fournisseur. La loi fait peser la responsabilité sur l’entreprise, qu’elle comprenne ou non comment l’IA a pris sa décision. Cela signifie que la documentation n’est pas seulement une discipline technique, c’est un mécanisme de défense juridique.

Les dirigeants devraient accorder la même priorité à l’archivage des systèmes d’IA qu’à l’information financière. Les systèmes de gouvernance doivent garantir une traçabilité complète des mises à jour des modèles, des modifications des données d’entrée et des résultats des décisions. Les entreprises qui ne disposent pas de cadres pour l’enregistrement d’audits détaillés ou qui ne parviennent pas à conserver des historiques consultables risquent d’être prises au dépourvu lorsque des questions se posent. Dans cet environnement, la transparence est une force.

Il n’y a pas de raccourci possible. Une documentation appropriée sur l’IA exige de la discipline et des investissements, mais elle s’avère payante lorsque des questions de responsabilité se posent. La direction doit exiger des tests réguliers des processus de documentation et s’assurer que les politiques de conservation sont conformes aux obligations légales et au profil de risque de l’entreprise.

Les erreurs des fournisseurs et les données internes historiques sont à l’origine des biais de l’IA.

Les dirigeants supposent souvent que les problèmes de partialité commencent et se terminent avec les vendeurs. C’est une erreur. Les biais sont souvent enfouis dans les données d’une organisation, dans les dossiers des personnes promues, de celles qui ont reçu de bonnes évaluations ou de celles qui ont été embauchées dans le passé. Lorsque ces schémas reflètent des préjugés humains antérieurs, le système d’IA les apprend et les répète à grande échelle. Cela transforme un modèle historique en une responsabilité systémique.

Les préjugés n’ont pas besoin d’être intentionnels pour donner lieu à une action en justice. La réglementation américaine reconnaît le concept d' »impact disparate », selon lequel les résultats sont considérés comme discriminatoires si un groupe protégé est confronté à des résultats inégaux, mesurés par la règle des quatre cinquièmes, qui signale tout taux de sélection inférieur à 80 % du taux du groupe le plus performant. Les outils d’IA qui automatisent les décisions d’embauche ou de performance peuvent franchir ce seuil rapidement, même avec de grands ensembles de données. Ce risque s’aggrave lorsque les dirigeants supposent que les algorithmes « neutres » ne sont pas soumis à un examen minutieux.

Au cours de la conférence, une étude de l’université de Washington a été citée, montrant que lorsque les systèmes de sélection par IA comparaient des candidats masculins blancs et noirs, les noms noirs étaient préférés dans zéro pour cent des cas. Ce chiffre ne montre pas seulement les préjugés, mais aussi la facilité avec laquelle ils peuvent se multiplier grâce à l’automatisation. Les dirigeants doivent être conscients de cette réalité et insister pour que des audits des biais soient réalisés au niveau du système, et pas seulement des auto-évaluations des fournisseurs.

La gouvernance interne doit s’étendre au-delà des équipes d’approvisionnement. Les scientifiques des données, les responsables des RH et les responsables de la conformité doivent collaborer pour surveiller les entrées, mettre à jour les mesures de réussite et tester régulièrement les résultats. L’objectif est d’empêcher les modèles de décision de l’organisation de polluer les modèles d’IA. La transparence autour des tests et des mesures correctives protège à la fois l’équité et la crédibilité de l’entreprise auprès des régulateurs et du public.

La confiance dans les certifications des fournisseurs ne suffit pas à exonérer les organisations de leurs responsabilités juridiques en matière de gouvernance de l’IA.

La confiance dans les assurances données par les fournisseurs est devenue un échec courant en matière de gouvernance. Les dirigeants supposent souvent que si un fournisseur fournit un rapport d’audit ou un label de certification, leur organisation est automatiquement conforme. Cette hypothèse n’est plus défendable. La loi place la responsabilité des actions basées sur l’IA sur l’organisation qui utilise la technologie, et non sur le fournisseur qui la fournit. Les contrats n’absorberont pas les dommages en termes de réputation ou de réglementation lorsque les décisions prises par les systèmes automatisés portent préjudice aux employés ou aux candidats.

Bon nombre des plates-formes technologiques RH les plus utilisées fonctionnent encore sans certification indépendante complète. Greenhouse, l’un des principaux systèmes de suivi des candidatures, n’a obtenu la certification ISO/IEC 42001 que récemment, en février de cette année, bien qu’il soit utilisé intensivement dans de grandes organisations depuis plusieurs années. Ce détail est important car il met en évidence un problème de calendrier plus large : l’évolution de la technologie est toujours plus rapide que l’adaptation des politiques. Les entreprises qui adoptent rapidement les technologies sans intégrer de solides processus d’examen interne augmentent leur exposition juridique.

Les dirigeants doivent passer d’un état d’esprit de dépendance vis-à-vis des fournisseurs à un état d’esprit d’appropriation interne. Les certifications des fournisseurs peuvent confirmer une base de référence, mais elles ne reflètent pas la manière dont le système se comporte dans le contexte opérationnel unique de chaque entreprise. La conformité doit donc être vérifiée en interne par le biais d’évaluations des risques, de simulations et d’un contrôle de l’utilisation. Les équipes juridiques, de conformité, des ressources humaines et des technologies de l’information doivent se coordonner pour valider les performances et l’équité de chaque outil d’IA dans le monde réel.

Traiter la gestion des risques liés à l’IA comme un élément des cadres de conformité existants (protection de la vie privée, sécurité des données, droit du travail) renforce le contrôle. L’infrastructure nécessaire à l’analyse des risques existe déjà dans de nombreuses organisations ; il suffit de l’étendre. Les décideurs devraient attendre de la transparence de la part des fournisseurs, mettre à jour les politiques de gouvernance internes avant le déploiement, et s’assurer que toutes les nouvelles intégrations technologiques passent par une approbation documentée. La gouvernance de l’IA n’est pas une fonction du produit, c’est une responsabilité opérationnelle.

Une supervision au plus haut niveau est essentielle pour une gouvernance efficace de l’IA et une gestion durable des risques.

La gouvernance de l’IA échoue lorsqu’il n’y a pas de propriétaire clair. Si la plupart des entreprises comprennent la nécessité de contrôles techniques, tels que la surveillance des résultats, le suivi des versions et les journaux d’audit, ces mécanismes sont insuffisants en l’absence d’une personne responsable au niveau de la direction. La gouvernance menée par les seules équipes devient incohérente, fragmentée et facilement contournée lorsque de nouveaux outils sont introduits sans approbation centrale.

Les dirigeants doivent donner le ton. Les systèmes d’IA influencent le recrutement, la rémunération et les évaluations de performance, des domaines très sensibles sur le plan réglementaire. En l’absence de contrôle exécutif, les mises à jour de modèles non examinées et les changements de fournisseurs non testés peuvent introduire des biais cachés ou des lacunes en matière de conformité. Au fil du temps, de petites déviations s’accumulent pour devenir une exposition sérieuse. Les dirigeants ont besoin de savoir où l’IA est utilisée, comment elle est évaluée et qui est chargé d’approuver ou d’interrompre son fonctionnement en cas de problème.

La dérive des modèles ajoute une autre dimension au risque. Les algorithmes évoluent au fur et à mesure que les données ou les systèmes des fournisseurs changent. Un modèle qui a passé avec succès un audit de partialité l’année dernière peut échouer aujourd’hui. Il ne s’agit pas seulement d’un défi technique ; c’est une question de gouvernance qui nécessite une revalidation programmée et une responsabilisation de la première ligne. Les employés qui travaillent directement avec les outils d’IA doivent être encouragés à signaler rapidement les anomalies de performance, et la direction doit réagir rapidement lorsque ces signaux apparaissent.

Une gouvernance durable commence par la responsabilisation des dirigeants. Les chefs d’entreprise devraient officiellement attribuer la responsabilité de la conformité à l’IA, assurer la coordination entre les services et fournir des ressources pour la formation continue et l’audit. Une gouvernance efficace exige une autorité claire, des processus définis et une transparence dans toute l’organisation. L’engagement total de la direction garantit que l’entreprise ne se contente pas d’être conforme, mais qu’elle est également résiliente et adaptable dans un paysage réglementaire en constante évolution.

En l’absence de contrôle fédéral obligatoire, il est essentiel que les systèmes d’IA fassent l’objet de tests internes continus sous le sceau du secret professionnel.

À l’heure actuelle, il n’existe pas de cadre fédéral complet régissant la manière dont les entreprises doivent tester ou gérer les systèmes d’IA. Cette lacune réglementaire laisse aux entreprises l’entière responsabilité de concevoir leurs propres processus de contrôle. Pour les dirigeants, cette réalité exige de la proactivité, l’attente d’une réglementation uniforme n’étant plus une option viable. Les tests internes doivent être effectués de manière cohérente et indépendante, en particulier dans des fonctions telles que l’embauche, l’évaluation des performances et la rémunération, où les enjeux juridiques et éthiques sont les plus élevés.

Les tests continus ne sont pas seulement une question de conformité, mais aussi de préparation. Les systèmes d’IA évoluent à mesure que les fournisseurs mettent à jour leurs modèles, que les données changent et que de nouvelles fonctionnalités s’intègrent aux flux de travail existants. En l’absence de vérifications fréquentes des biais et des performances, des écarts mineurs peuvent devenir des problèmes systémiques. Les entreprises qui effectuent ces tests sous le secret professionnel peuvent diagnostiquer et résoudre les problèmes sans s’exposer immédiatement à un risque juridique. Cette approche permet aux équipes juridiques et techniques de collaborer de manière transparente tout en préservant la confidentialité le cas échéant.

Pour les dirigeants, la clé est la structure. Les tests ne doivent pas être un exercice ad hoc réalisé après le déploiement, ils doivent être intégrés dans les routines opérationnelles. Une boucle bien définie d’évaluation, de documentation et de remédiation garantit que les biais sont suivis dans le temps et que les actions correctives sont enregistrées. Les dirigeants devraient allouer des ressources et de l’autorité aux équipes chargées de ce travail et exiger des rapports réguliers pour maintenir l’alignement sur les objectifs en matière de risque et de conformité.

Les entreprises qui prennent de l’avance en matière de gouvernance de l’IA ne sont pas celles qui ont le plus de paperasse, mais celles qui intègrent les tests dans leur culture opérationnelle. L’audit des biais, la validation des systèmes et l’alignement des politiques deviennent des indicateurs essentiels de la maturité organisationnelle. Les dirigeants qui font preuve de transparence et de responsabilité interne bénéficient d’un avantage concurrentiel mesurable : réduction des risques, confiance accrue et plus grande résilience du marché.

Réflexions finales

La gouvernance de l’IA n’est pas un exercice de conformité. Il s’agit d’une discipline opérationnelle qui définit la manière dont votre organisation déploie la technologie de manière responsable et efficace. Le risque n’est pas théorique, il existe déjà dans les systèmes qui façonnent l’embauche, la rémunération et la prise de décision au quotidien.

Les dirigeants qui continuent à considérer la surveillance de l’IA comme une fonction externe ou juridique seront de plus en plus exposés. La véritable gouvernance commence en interne, avec des dirigeants qui s’approprient la gestion des risques du haut en bas de l’échelle. Cela signifie une responsabilité claire, une documentation transparente et des tests continus sous protection juridique.

Les entreprises qui prospèrent dans cet environnement sont celles qui intègrent la responsabilité de l’IA dans leurs activités de base. Elles agissent rapidement mais restent réfléchies, avec des cadres de gouvernance conçus pour l’adaptabilité, et non pour l’apparence. L’avenir du leadership en matière d’IA appartient aux organisations qui comprennent cette simple vérité : vous ne pouvez pas externaliser la responsabilité.