Prévenir, traiter et réparer : l’OCDE publie un guide sur le devoir de vigilance à l’appui d’une IA responsable

Écrit par Marine Landau | Publié le
Prévenir, traiter et réparer : l’OCDE publie un guide sur le devoir de vigilance à l’appui d’une IA responsable
Au niveau d’une multinationale, comment se saisir du potentiel de l’IA tout en limitant ses externalités négatives ? C’est à cette vaste interrogation que tente de répondre un guide publié sous l’égide de l’OCDE qui en appelle à la responsabilité des entreprises.

En février, l’OCDE publiait un guide structurant pour accompagner le devoir de vigilance que les grandes entreprises sont tenues de mener vis-à-vis de l’IA. Ce document, révisé en mai se veut une traduction concrète des principes directeurs sur la conduite responsable des entreprises (CRE). Il s’appuie également sur la recommandation OCDE sur l’IA (2024).

Comme beaucoup de rapports, de thèses ou de guides, il s’agit de limiter les externalités négatives ou effets néfastes liés à l’utilisation de l’IA sans étouffer la recherche ou l’innovation. La difficulté, dans le cadre de principes édictés par une organisation internationale est de mettre en cohérence les cadres réglementaires des différents pays, mais aussi de promouvoir ces référentiels sans véritable pouvoir supranational.

L’intérêt de ce document tient dans la façon dont il en appelle aux entreprises plutôt qu’aux décideurs publics. Il adresse ainsi toute la chaîne de valeur des acteurs opérant dans l’IA : les entreprises directement intéressées aux cycles de production de l’IA, qui planifient et conçoivent, collectent, exécutent et traitent des données. Mais aussi celles qui fournissent des capacités nécessaires à leur développement (socle de données, code, algorithmes, recherche jusqu’aux capacités de financement). Et enfin celles qui font appel à l’IA dans leurs process et opérations, sans être directement responsables de leur conception ou de leur développement. Le guide leur propose des recommandations, assorties d’exercices concrets d’applications. Pour les PME, le guide reconnaît que le devoir de vigilance (due diligence) peut être plus difficilement atteignable, aussi il recommande d’adopter lorsque possible des approches collaboratives ou sectorielles.

Que recommande, de manière pratique le guide ?

En premier lieu, les entreprises doivent s’engager à « élaborer, adopter et diffuser un ensemble de politiques » sur des questions de conduite responsable (CRE) dans leurs politiques, process et modes de gestion. Elles sont aussi incitées à examiner et réviser les politiques de gestion des risques déjà mises en place, en lien avec les employés, les représentants, et autres parties prenantes. Les entreprises sont aussi tenues d’impliquer leurs relations d’affaires (fournisseurs, partenaires commerciaux, etc.). Cela peut aller jusqu’à appliquer aux processus de présélection des fournisseurs la prise en compte du devoir de diligence en matière de CRE.

Une autre section du rapport vise à aider à élaborer la cartographie des risques.  L’approche du guide est celle d’une évaluation graduée, avec une matrice fondée sur la gravité du risque et la probabilité de sa survenue. Les évaluations d’impact sur la protection des données sont prévues par de nombreuses juridictions, elles sont un minimum.

L’entreprise peut aussi être impliquée à différents niveaux dans la survenue de risques négatifs. Elle peut directement causer l’impact, y contribuer ou avoir un lien direct avec celui-ci. En cas d’impact négatif directement causé par l’entreprise, il lui est demandé de prévenir ou de cesser toute contribution provoquant cet impact négatif. Pour atténuer ou prévenir la survenue de risques, différents leviers sont à sa main: s’engager dans un sourcing responsable des données, assurer la transparence des modèles, mettre en place des politiques de cybersécurité et de sûreté robustes et aussi s’engager dans un déploiement responsable à chaque étape d’utilisation de l’IA.

Si l’entreprise se retrouve directement ou partiellement responsable d’impacts négatifs, le guide met en avant un principe de réparation en lui demande «d’accorder des réparations proportionnées à l’importance et à l’ampleur dudit impact négatif ». Les entreprises sont également invitées à faire preuve de transparence, à encourager l’explicabilité de leur modèle, mais aussi à rendre communicable les risques identifiés et les actions de remédiation mises en place.

A noter que les entreprises ne sont pas tenues d’éliminer immédiatement tous les risques. Le guide prône une approche rationnelle, basée sur une logique de priorisation. On retrouve ainsi l’approche fondée sur la matrice de gravité et de probabilité de survenue des risques.

Au-delà du cadre, reste la question de la mise en œuvre opérationnelle. Comment accompagner, contrôler, éventuellement sanctionner l’inaction? Pour les entreprises opérant sur le sol communautaire, la directive CS3D européenne peut servir de cadre. Mais si cette directive oblige les entreprises à opérer un plan de vigilance couvrant les risques sociaux et environnementaux associés à leurs activités,  l’IA n’est pas dans cette directive explicitement considérée comme un domaine de risque spécifique.

Découvrez l’IA juridique Lamy Liaisons

Marine Landau
Journaliste