Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !
Si vous vous intéressez à la gouvernance des données, vous n’avez pas manqué son interconnexion évidente avec la gouvernance de l’intelligence artificielle (IA).
Gouvernance des données
Simplifions le cadre de travail réalisé par l’association Dama International ("Les frameworks de gestion de données", Medium, 2023) autour de six axes principaux, eux-mêmes décomposés en quelques sous-thèmes. Le DMBOK initial, rédigé par DAMA, rebute de nombreux candidats à la gouvernance des données, avec ses plus de six cents pages. Il est par ailleurs en cours de mise à jour et la version actuelle omet des concepts importants, tels que l’IA générative ou les données non structurées.
Dans la proposition de simplification suivante, il n’y a pas d’ordre à suivre : peu importe que vous la présentiez sous la forme d’une pyramide, d’une roue ou d’un hexagone. Il s’agit d’un sommaire dont il faut simplement avoir traité l’ensemble des sujets :
>Vision et stratégie
- l’économie des données
- potentiel et innovation
- tendances : ESG, Monétisation et partage, IA
- alignement
- budgétisation.
>Organisation et gouvernance
- organisations : centralisée, fédéralisée
- rôles et fonctions
- objectifs et livrables
- conformités et réglementations
>Gestion des données
- aligner les pratiques : gestion et de gouvernance
- qualité des données.
>Architecture et outils
- architectures
- outils de gestion des données
- outils de gouvernance.
>Compétences humaines
- métiers et compétences
- répartition des compétences dans l’organisation.
>Culture data
- définitions clés
- big data et algorithmes
- encadrement et suivi.
Gouvernance de l’IA
En matière de gouvernance de l’intelligence artificielle, le cadre à suivre est un peu plus complexe, car bidimensionnel. Il est décrit dans le schéma ci-contre.
Il y a trois sujets principaux à traiter : les données, les modèles et les usages. Chacun étant décliné sur trois axes : la réglementation, les risques, les bonnes pratiques et l’organisation. Bien sûr, la démarche devra être outillée par étape.
Lire aussi : Code de bonnes pratiques de l’IA : un outil concret pour mettre en place une gouvernance de vos projets
3 sujets et 3 axes pour couvrir le spectre d’une gouvernance alignée
Les données
Le sujet des données utilisées par les modèles d’IA est évidemment le plus connecté avec la gouvernance de ces mêmes données. C’est ici que l’alignement trouvera tout son sens. Chaque semaine, une nouvelle étude constate d’ailleurs que le principal échec d’un projet IA (et son facteur clé de succès) est lié aux données qui l’alimentent.
Le catalogue des données et des "data products" devra être partagé, mais également enrichi de métadonnées liées aux usages par les modèles d’intelligence artificielle. Du point de vue organisationnel, les équipes de développement/gouvernance de l’IA et les équipes de gestion/gouvernance des données travailleront ensemble.
Les modèles
Le sujet des modèles est plus nouveau, mais l’alignement doit être réalisé avec le registre des traitements (ROPA), obligatoire dans le cadre du RGPD. Un algorithme d’intelligence artificielle, un LLM ou encore un agent sont en effet des traitements au sens de la loi. Le registre des modèles se recoupera avec le registre des traitements pour tous les traitements utilisant des données personnelles. Du point de vue organisationnel, équipes de développement de l’IA et DPO devront travailler main dans la main.
Rappelons que le RGPD ne précise aucunement que certains traitements nouveaux seraient exemptés de ses effets. Par conséquent, ces nouveaux traitements que sont les modèles d’IA tombent logiquement sous la responsabilité du DPO lorsqu’ils manipulent des données personnelles. Il faudra cependant penser à nommer une personne qui sera chargée de la gouvernance des modèles qui ne relèveraient pas du DPO. Eux aussi doivent être gouvernés !
Les usages
Le sujet des usages est le plus complexe, même si, là aussi, le RGPD nous a appris à surveiller les pratiques et pas simplement le code des applications. C’est en effet en fonction des usages que l’AI Act européen classe les modèles d’IA, en imposant parfois une étude d’impact.
Quant à l’identification/évaluation des risques, elle sera réalisée de la même manière pour les risques IA que pour les autres, en s’appuyant, par exemple, sur les bonnes pratiques de la norme ISO 31000. Du point de vue organisationnel, équipes de développement de l’IA et équipes de conformité/équipes de gestion des risques devront associer leurs efforts. L’éthique et son comité auront également des idées à partager, car pas d’IA sans une éthique gouvernée.
En matière de réglementation, vous n’aurez que le choix de l’embarras ! L’incontournable AI Act européen et son code de mise en pratique deviendront vos livres de chevet. Mais ils devront être complétés par différentes réglementations sectorielles (banques et assurances, secteur public, militaire…), ainsi que par les décisions de vos éthiciens.
Lire aussi : Panorama récent du droit du numérique : évolutions et perspectives en matière de cybersécurité
Malgré l’épaisseur de ces nouvelles lois et règlements, des positions propres à votre organisation pourront être prises et devront être traduites dans les pratiques. Et ne parlons pas de l’aspect international, qui peut imposer des contraintes différentes en fonction des pays dans lesquels vous intervenez (et parfois même incompatibles entre les pays).
Qui fait quoi ? Identifier les rôles.
76 % des répondants français d’une étude Grant Thornton, publiée en mai 2024, sont convaincus que le champ de compétence du DPO sera amené à évoluer vers une fonction plus globale de "data compliance officer", qui intégrerait la conformité aux nouveaux textes législatifs portant sur la gestion de la donnée. La même étude montre qu’endosser la responsabilité de la gouvernance de l’IA intéresse ces DPO… Si les moyens leur en sont donnés !
DPO (ou DCO), comité de gouvernance, CIGO (chief information governance officer), responsable de la gouvernance… chaque entreprise devra s’organiser au mieux, mais cette notion d’alignement sera au cœur des formations et des projets de mise en place de gouvernance dans les prochains mois et années.
![photographie-femme-ordinateur-ecrit-carnet-cerveau-projection-numerique](https://www.archimag.com/sites/archimag.com/files/styles/vignette/public/web_articles/image/gestion-connaissances-knowledge-management-intelligence-artificielle-conference-webinaire-alfeo-archimag.jpg?itok=OxL1iOTX "Journée Archimag dédiée au Knowledge Management : rendez-vous le 3 février à 10h45 pour la conférence "Connaissances augmentées : l’alliance entre humains et IA" avec Alfeo. (Freepik/peshkovagalina)")
