Pourquoi le conseil doit poser des questions

La supervision de l'IA est désormais une attente de gouvernance d'entreprise, pas une politesse technique. Des cadres internationaux comme les Principes de l'OCDE sur l'IA, la clause leadership d'ISO/IEC 42001 et la fonction Govern du NIST AI RMF placent la responsabilité de la direction au centre. Et la Loi IA de l'UE ajoute des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les infractions les plus graves. Quand un système d'IA cause un préjudice, la question du régulateur sera : quelle supervision l'organe de gouvernance a-t-il exercée ?

1. Inventaire et usages

Disposons-nous d'un inventaire complet des systèmes d'IA en usage, y compris l'IA fantôme utilisée sans approbation par les salariés et celle intégrée aux produits des fournisseurs ? Qui le maintient et à quelle fréquence est-il mis à jour ? Sans inventaire, aucune supervision n'est possible : c'est la première question parce que toutes les autres en dépendent.

2. Responsabilité nommée

Quel dirigeant est responsable du risque lié à l'IA pour l'ensemble de l'organisation ? Cette responsabilité figure-t-elle dans sa fiche de poste et ses objectifs ? Une responsabilité diffuse (« tout le monde est responsable ») équivaut en pratique à l'absence de responsable.

3. Appétence au risque et classification

Avons-nous défini quels usages de l'IA sont à haut risque pour notre activité (décisions sur des personnes, santé, crédit, sécurité) ? Cette classification est-elle cohérente avec des cadres externes comme les catégories de la Loi IA de l'UE ? Quels usages avons-nous décidé d'interdire ?

4. Contrôles et assurance

Pour les systèmes les plus risqués : quelle supervision humaine existe, et est-elle réelle ou nominale ? Comment ont-ils été testés avant déploiement (exactitude, biais, robustesse) et comment sont-ils surveillés en production ? Qui fournit une assurance indépendante : audit interne, tiers ?

5. Incidents

Avons-nous un plan de réponse aux incidents propre à l'IA, et a-t-il été testé ? Saurions-nous aujourd'hui qu'un modèle défaille silencieusement ? Connaissons-nous nos obligations de notification, dont l'article 73 de la Loi IA de l'UE pour les fournisseurs à haut risque ?

6. Compétences du conseil

L'organe de gouvernance dispose-t-il d'une culture IA suffisante pour challenger efficacement la direction ? Faut-il une formation, un conseiller externe ou l'intégration de cette compétence ? Superviser ce que l'on ne comprend pas, ce n'est pas superviser.

7. Fournisseurs et tiers

Quelle diligence appliquons-nous à l'IA des tiers avant de la contracter ? Nos contrats répartissent-ils les responsabilités sur la performance, les données et les incidents ? Une grande partie du risque d'IA d'une organisation entre aujourd'hui par la chaîne de fournisseurs.

Le minimum à exiger

Trois actions concrètes : inscrire l'IA comme catégorie à part entière au registre des risques, exiger un rapport trimestriel d'une page (inventaire, incidents, évolutions réglementaires, indicateurs clés) et confier la supervision de l'IA à un comité doté d'un mandat écrit. Ce qui est mesuré et rapporté est gouverné.

Sources

Principes de l'OCDE sur l'IA · ISO/IEC 42001:2023 · NIST AI Risk Management Framework · Règlement (UE) 2024/1689 (EUR-Lex). Informations générales, et non un conseil juridique ; vérifiez toujours auprès des sources officielles.