Industrie
Gouvernance AI pour les ETI : la version allégée qui tient toujours la route
Vincent Wahidi
Un cadre de gouvernance AI léger pour une entreprise de taille moyenne comprend quatre éléments mobiles : un inventaire de chaque système AI que vous exécutez, un niveau de risque simple pour chacun, un humain nommé qui peut le contourner ou l'arrêter, et un journal de ce qu'il a fait. C'est toute la structure. Vous n’avez pas besoin d’un comité, d’une bibliothèque de politiques ou d’une embauche dédiée à la conformité. Vous devez savoir quel AI vous utilisez, à quel point cela pourrait blesser quelqu'un en cas de problème, qui est responsable en cas de problème et un enregistrement que vous pourrez vérifier par la suite. Une équipe d'une cinquantaine de personnes peut le monter en quelques après-midi et l'entretenir en une heure par mois. Il ne s’agit pas de ralentir l’activité. Il s'agit de s'assurer qu'aucun système AI ne prend discrètement des décisions conséquentes que personne ne possède et que personne ne peut reconstruire.
Que signifie réellement la gouvernance AI pour une petite entreprise ?
La gouvernance est la réponse à une question : lorsqu'un système AI fait quelque chose de mal, qui savait, qui pourrait l'arrêter, et pouvez-vous prouver ce qui s'est passé ? Pour une entreprise de taille intermédiaire, cela ne nécessite pas l’appareil dont une banque ou un hôpital a besoin. Cela nécessite que chaque système ait un propriétaire, une cote de risque et une piste.
Le piège est de supposer que la gouvernance signifie la version entreprise : un comité de pilotage, une politique de trente pages, un audit annuel. À votre échelle, ces machines sont soit construites et ignorées, soit ne sont jamais construites parce que cela semble impossible. Un cadre léger fait le même travail (visibilité, responsabilité, preuves) avec une fraction du poids. C'est également la base dont vous aurez besoin de toute façon une fois que la loi européenne AI pour les entreprises expédiant des AI commencera à imposer des amendes, car les quatre mêmes parties correspondent presque directement à ses obligations à haut risque.
Comment créer un cadre de gouvernance AI léger, étape par étape ?
- Inventaire de chaque système AI. Répertoriez chacun d'entre eux dans une feuille de calcul, y compris les fonctionnalités silencieusement alimentées par le modèle d'un fournisseur (le robot de support, le buteur principal, tout ce qui est « intelligent » dans un outil SaaS pour lequel vous payez). Vous ne pouvez pas gouverner ce que vous n’avez pas écrit, et la plupart des entreprises trouvent que la véritable liste est plus longue que celle qu’elles avaient en tête.
- Attribuez un niveau de risque à chacun. Utilisez trois niveaux, pas dix. Faible : cela suggère, un humain décide, les erreurs sont peu coûteuses et réversibles. Medium : il agit seul mais de manière limitée et récupérable. Élevé : il prend ou façonne fortement une décision conséquente concernant une personne (embauche, crédit, accès, tarification ciblant les individus). Triez la liste et arrêtez de diffuser l’attention de manière uniforme. Presque tout va au niveau supérieur.
- Nommez un propriétaire pour chaque système. Une personne réelle, pas un service. Le propriétaire peut expliquer ce que fait le système, décide quand il change et est celui qui répond en cas de mauvais comportement. La gouvernance sans propriétaire n’existe pas.
- Définissez la voie de surveillance humaine pour les systèmes de haut niveau. Décidez, par écrit, qui peut examiner, remplacer et éteindre le système, et à quelle vitesse. Intégrez ce contrôle au produit plutôt que de l’intégrer plus tard. Une personne qui techniquement peut intervenir mais qui n’a aucun bouton sur lequel appuyer n’est pas un oubli.
- Activez la journalisation. Enregistrez les entrées, les sorties et les décisions pour tout ce qui concerne les niveaux moyen et élevé. Lorsqu’un résultat est contesté, vous souhaitez reconstruire exactement ce que le système a vu et fait, et non deviner. Commencez cela lorsque les systèmes sont petits, car il est bien plus difficile de moderniser une bûche que d’en allumer une.
- Établissez une cadence de révision légère. Une fois par trimestre, parcourez l'inventaire : tout ce qui est nouveau, tout ce qui a changé de niveau, tout propriétaire qui est parti. Une heure avec la liste vaut mieux qu'un classeur que personne n'ouvre.
De quels systèmes AI dois-je réellement m'inquiéter ?
Pas ceux qui rédigent des textes marketing ou résument les réunions. Inquiétez-vous des systèmes dont les erreurs atterrissent sur une personne en particulier et sont difficiles à défaire. Le tableau ci-dessous représente le tri rapide dont la plupart des équipes du marché intermédiaire ont besoin.
| Si le système... | Niveau | De quelle gouvernance il a besoin |
|---|---|---|
| Suggère, un humain approuve, les erreurs sont bon marché | Faible | Inscrit à l'inventaire, un propriétaire, rien de plus |
| Agit automatiquement mais est limité et récupérable | Moyen | Propriétaire, journalisation, une manière définie de la mettre en pause |
| Décide ou façonne fortement un appel conséquent concernant une personne | Élevé | Propriétaire, journalisation complète, chemin écrit de remplacement humain, révision périodique |
La ligne de démarcation réside dans les conséquences et la réversibilité, et non dans l’intelligence du modèle. Un grand modèle de langage écrivant des notes internes présente un faible risque. Un simple mélange de règles et de modèles permettant de classer les candidats à un emploi présente un risque élevé, car un mauvais résultat coûte une opportunité à une personne réelle et vous devrez peut-être défendre votre décision. Niveau par impact, puis concentrez vos efforts là où se trouve l’impact.
À qui appartient la gouvernance de AI lorsqu'il n'y a pas d'équipe dédiée ?
Dans la plupart des entreprises de taille moyenne, il appartient à un responsable des opérations ou de la technologie qui gère l'inventaire, ainsi qu'à un propriétaire nommé par système qui est responsable de ce système dans la pratique. Cela suffit. Vous ne construisez pas de fonction ; vous attribuez la responsabilité et l’écrivez. L’erreur est de laisser le soin à « tout le monde », c’est-à-dire à personne, jusqu’à ce que quelque chose se brise et que l’autopsie découvre un système que personne n’a admis utiliser.
Si vous faites appel à une aide extérieure, le test est le même que celui qui s'applique à tout engagement de conseil AI. Demandez ce que vous possédez à la fin. Un projet de gouvernance doit vous laisser avec un inventaire maintenu, des propriétaires clairs, des journaux de travail et une surveillance intégrée aux produits, et non un document de politique qui vieillit sur un lecteur partagé.
Le point pratique à retenir
Commencez par l’inventaire cette semaine. Tant que vous n'avez pas noté chaque système AI que vous exécutez et que vous ne l'avez pas évalué en fonction des dommages qu'une panne pourrait causer, toute autre activité de gouvernance n'est que conjecture. Une fois que la liste existe, le reste est petit et évident : les propriétaires, les journaux, un chemin de remplacement pour les quelques personnes à haut risque et un aperçu trimestriel. Gardez-le aussi léger et il sera réellement utilisé, ce qui est la seule gouvernance qui vous protège.

Vincent Wahidi
Auteur
Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.
À lire ensuite
Intégration de systèmes existants : connexion de AI à des logiciels antérieurs au cloud
Un problème qui mérite d'être résolu ?
Dites-nous ce que vous construisez ou corrigez. Nous vous répondrons dans un délai d'un jour ouvré avec une prochaine étape claire.
