Connaissez vos obligations légales

Le NIST AI Risk Management Framework (AI RMF) est conçu comme un cadre volontaire applicable à toute organisation impliquée dans la conception, le développement, le déploiement ou l’utilisation de systèmes d’intelligence artificielle. Il ne s’agit pas d’une exigence de conformité obligatoire de la même manière que certaines réglementations (par exemple, l’EU AI Act). Cependant, il offre des lignes directrices très utiles - considérez-le comme un guide pour aider votre organisation à garantir que les avantages de l’IA sont réalisés de manière responsable.

Cet article ouvre une série de publications discutant du NIST AI RMF - point par point.

Govern 1.1

Govern 1.1 concerne les exigences légales et réglementaires. Elles doivent être comprises, gérées et documentées, mais qu’est-ce que cela implique exactement ?

1. Identifier et comprendre les lois et réglementations locales et internationales relatives au développement, au déploiement et à l’utilisation de l’IA

Définir et documenter toutes les exigences minimales des lois et réglementations : GDPR (UE), lois sur la non-discrimination (vos systèmes d’IA peuvent prendre des décisions concernant des individus !), lois sur la propriété intellectuelle, cybersécurité, et réglementations spécifiques à l’industrie et à l’application (par exemple, HIPAA et FDA imposeront certaines exigences aux systèmes d’IA utilisés dans les soins de santé - liées à la protection des informations de santé des patients et à la garantie de la sécurité et de l’efficacité des dispositifs médicaux alimentés par l’IA, respectivement).

2. Surveiller tous les changements et mises à jour - vous voulez être au courant de l’évolution du paysage réglementaire

• Abonnez-vous aux blogs ou newsletters publiant des mises à jour régulières

• Configurez des alertes par mots-clés Google (ou autres) pour recevoir des notifications sur les nouvelles publications

• Rejoignez des associations professionnelles pour vous connecter avec des pairs de l’industrie

• Participez à des conférences et des webinaires

• Utilisez les médias sociaux ! Suivez les influenceurs clés : experts en réglementation, leaders de l’industrie et agences gouvernementales

3. Aligner les efforts de gestion des risques avec les normes légales applicables.

Vous avez déjà un cadre de gestion des risques en place ? Cartographiez les risques par rapport aux exigences légales, identifiez les lacunes - toutes vos pratiques de gestion des risques répondent-elles adéquatement aux exigences légales ?

4. Créer et maintenir des politiques de formation et de recyclage du personnel sur les aspects légaux et réglementaires ayant un impact sur la conception, le développement, le déploiement et l’utilisation de l’IA

Une telle formation peut inclure : les lois sur la confidentialité des données, l’équité de l’IA, les droits de propriété intellectuelle, la cybersécurité et la sécurité des données, les réglementations spécifiques à l’industrie, ainsi qu’une formation basée sur les rôles pour les data scientists, les ingénieurs et les chefs de projet.

Rendez-la pertinente et intéressante : utilisez des études de cas réels et des scénarios hypothétiques, organisez des ateliers interactifs et des simulations, des exercices de jeux de rôle, invitez des experts externes et encouragez le personnel à participer à des conférences, webinaires et cours en ligne pertinents.

5. Assurez-vous que le système d’IA a été examiné pour sa conformité aux lois, réglementations, normes et directives applicables

• Mener des audits internes

• Engager des auditeurs ou consultants externes pour fournir une évaluation indépendante de la conformité de votre système d’IA

• Utiliser des listes de contrôle

• Maintenir une documentation détaillée sur les conclusions d’audit et les actions correctives

• Mener des évaluations d’équité du système d’IA (parité démographique, égalité des chances, impact disparate, tests contrefactuels - restez à l’écoute pour plus d’informations sur ces métriques et d’autres)

La prochaine étape ?

Comme nous l’avons exploré, Govern 1.1 du NIST AI RMF fournit une directive claire : connaissez vos obligations légales. La prochaine étape cruciale consiste à traduire cette compréhension en actions concrètes. Nous vous encourageons à évaluer les processus actuels de votre organisation et à explorer nos autres articles sur la norme et comment s’y conformer pour garantir la fiabilité des systèmes d’IA que vous développez, déployez ou utilisez.