L’IFACI vient de publier, en collaboration avec le Cercle d’Éthique des Affaires (CEA)¹, le « Guide de l’intelligence artificielle : éthique, risques et contrôle »². Louis Colin, Délégué général du CEA, nous présente les travaux qui ont conduit à son élaboration et les outils qu’il contient.

Louis Colin est Délégué Général du Cercle d’Éthique des Affaires, association qui promeut l’éthique et la conformité dans le management et la gouvernance des entreprises françaises. Louis Colin accompagne ou participe par ailleurs à plusieurs cercles de réflexion sur ces enjeux et intervient régulièrement auprès de laboratoires, d’écoles d’ingénieurs et d’universités pour donner à réfléchir sur ces sujets.

Pourriez-vous nous dire ce qui a mené à l’élaboration du guide « Intelligence artificielle : éthique, risques et contrôle » ?

Louis Colin : L’idée du Cercle d’Éthique des Affaires et de l’IFACI était d’accompagner, dans un contexte où l’éthique du numérique s’institutionnalise (avec le RGPD³ en 2017 et les règlements spécifiques DSA, DMA⁴), et avec la perspective de l’entrée en vigueur du RIA (Règlement européen sur l’IA, ou AI Act), les entreprises sur les problématiques liées aux questions éthiques : comment pourraient-elles les appréhender, les identifier pour leur apporter ensuite des réponses. Les membres de nos deux associations respectives sont des professionnels dont la mission est de couvrir les risques qui font face au défi d’une transformation numérique rapide et massive. Nous avons donc essayé d’inventorier ces risques, notamment les plus importants, afin de permettre aux entreprises et aux opérationnels que nous représentons d’avoir des outils pour les identifier et les maîtriser.

Comment avez-vous travaillé ?

L.C. : Nous avons réuni des membres de l’IFACI, auditeurs et contrôleurs internes ainsi que des membres du CEA, Compliance Officers et Ethics Officers, au cours de cinq réunions de travail. Le but était dans un premier temps de définir les outils les plus pertinents puis, dans un second temps, nous les avons développés. Nous sommes ainsi arrivés aux quatre outils qui composent le guide final.

Quels sont ces outils ?

L.C. : D’une part, une cartographie des risques éthiques qui permet d’identifier les principaux risques auxquels les entreprises pourraient être confrontées dans les phases de conception, de déploiement, d’utilisation ou de commercialisation de systèmes d’intelligence artificielle. Avec une difficulté liée au fait que toutes les entreprises ne sont pas dans la même situation, bien sûr. C’est-à-dire que certaines entreprises vont être simplement utilisatrices de systèmes d’intelligence artificielle quand d’autres vont concevoir ces systèmes. Nécessairement les questions ne sont pas tout à fait les mêmes. Dans cette cartographie, nous avons essayé de les résumer toutes, en intégrant toutes les postures d’entreprise possibles.

« Nous voulions des outils vraiment pratiques, qui soient le plus directement opérationnels possible »

En restant dans une dimension avant tout pratique ?

L.C. : Oui, c’était un critère important dans l’élaboration de ce guide. Pour servir de base de travail, j’essayais par exemple d’amener de la documentation aux membres du groupe. Nous avions par exemple une cartographie du MIT qui recense 777 risques. C’est très bien d’un point de vue théorique, un peu moins d’un point de vue pratique : c’est quasiment impossible à utiliser en entreprise.

Nous voulions des outils vraiment pratiques pour les professionnels, qui soient le plus directement opérationnels possible.

Et les autres outils ?

L.C. : Nous avons aussi ce que l’on appelle des formulaires ou questionnaires de qualification des risques. Nous en avons imaginé de deux niveaux. Un premier que nous avons qualifié de « pré-filtrage », qui doit servir aux opérationnels qui déploient, utilisent, et sont en charge de la conception de systèmes d’IA pour eux-mêmes, de manière autonome et indépendante. Puis un second questionnaire, appelé questionnaire renforcé, qui est, lui, à destination des professionnels du risque, contrôleurs et auditeurs internes, compliance officers, risk managers, qui leur permet de revoir, avec des arguments juridiques, dans quel cas chacun se situe.

L’idée est que les deux aspects se répondent, tout en gardant de la souplesse pour les cas où l’on n’a pas besoin de mettre en place un questionnaire renforcé. Je prends un exemple : si l’on parle du déploiement d’une intelligence artificielle pour faire de l’agrégation de news, pour permettre à des équipes d’avoir une actualité agrégée, ce n’est peut-être pas obligatoire de déployer un questionnaire renforcé à destination des professionels du risque. Là, il est possible de se dire que le formulaire de pré-filtrage suffira sans doute, et qu’il n’est pas nécessaire de lancer une analyse de risque plus en avant.

Pouvez-vous nous en dire plus concernant le dernier outil ?

L.C. : Il s’agit d’une liste des contrôles internes qui pourraient être requis ou au moins recommandés, avec différentes priorités. Nous avons considéré que certains étaient requis, d’autres plutôt recommandés, quand une dernière catégorie relèvent de la bonne pratique, en fonction de l’organisation de chaque entreprise. Nous avons ainsi identifié 30 contrôles que les équipes internes pourront mettre en place afin de s’assurer qu’il y a bien une politique d’éthique du numérique.

« Ce guide va permettre à nos membres d’anticiper »

Quels ont été les premiers retours des utilisateurs du guide ?

L.C. : Au sein du cercle d’éthique des affaires, nous avons fait un lancement en présentiel pour ce guide en décembre, et nous avons remis une version papier aux personnes qui étaient présentes. Depuis, nous avons eu beaucoup de retours de nos membres qui se sont déjà servis du document pour commencer à bâtir une politique dédiée en préparation de l’entrée en vigueur du RIA. Le guide a été bien accueilli et semble avoir fait gagner du temps à des opérationnels. J’ai eu aussi des retours de juristes, je pense notamment à un magistrat spécialiste de ces enjeux, qui nous a dit qu’aujourd’hui, il s’agissait selon lui d’un des documents les plus avancés qu’il ait pu consulter sur le sujet. C’est évidemment quelque chose de positif.

Mais bien entendu, c’est une première version, puisque nous avons fait ce choix de faire un guide qui paraisse avant l’entrée en vigueur de l’AI Act.

Pourquoi ce choix ?

L.C. : L’avantage, c’est que cela permet à nos membres d’anticiper et de ne pas se retrouver en février ou même plus encore en 2026 débordés et sans outils pour les aider. En revanche, l’inconvénient, dont nous sommes bien conscients, c’est que le guide devra forcément être mis à jour. Les pratiques vont se préciser, les besoins et les attentes aussi. Et il n’est pas exclu non plus que la réglementation elle-même soit revue par l’Europe.

Lors de la conférence de l’IFACI, Guillaume Champeau, Directeur juridique et DPO d’Olympe Legal, estimait que l’AI Act ne couvrait pas encore tous les risques…

L.C. : Nous verrons comment la réglementation évolue, mais je pense qu’en l’état, l’AI Act permet d’enclencher une démarche bienvenue. Si le travail d’analyse des risques est fait méthodiquement, alors les équipes ne s’arrêteront pas à la lettre de l’AI Act et embrasseront, dans le même exercice, d’autres risques. Par exemple l’impact environnemental des systèmes. Une des grosses critiques qui avait été formulée au RIA c’est le fait qu’à aucun moment, nulle part, il n’est question d’impact environnemental de l’intelligence artificielle, alors qu’on sait très bien que cela va être un des sujets majeurs. Pour autant, rappelons-nous que l’AI Act est déjà le texte le plus exigeant au monde et qu’il me semble être un très bon point de départ pour inciter les entreprises à se poser la question des risques éthiques et d’adopter une démarche 360° sur le sujet.

Membres du groupe de travail : Zineb Boustil, Edwige Cendres, Cécile Cogez, Arnaud Douville, Céline Decaen, Arnaud Lagrange, Iohann Le Frapper, Pascal Mahier, Benoît Mercier, Anne-Violaine Monnié, Stéphane Poitevin, Stéphanie Scouppe, Inna Touré.

 

¹ https://cercle-ethique.net/

² https://www.ifaci.com/wp-content/uploads/2024/12/IA_ethique_risques_controles.pdf

³ Règlement général sur la protection des données

⁴ Règlement sur les marchés numériques (DMA) et règlement sur les services numériques (DSA)