L'adoption devance la réglementation : pourquoi votre organisation a besoin d'un cadre pour l'IA | Axis Insurance

Pourquoi chaque organisation a besoin d'un cadre de référence pour l'utilisation de l'IA en interne


Les outils d'intelligence artificielle tels que ChatGPT, Google Gemini et Microsoft Copilot ont été adoptés à une vitesse fulgurante dans tous les secteurs. Les employés les utilisent pour rédiger des communications, synthétiser des données, écrire du code ou trouver des idées, souvent sans se rendre compte que les informations qu'ils saisissent peuvent être stockées, analysées ou réutilisées par le fournisseur de l'outil.

Des enquêtes récentes montrent que les enjeux sont considérables. L’enquête annuelle « Cyber Survey » de Moody’s Ratings a révélé que, si 73 % des organisations imposent certaines restrictions à l’utilisation de données propriétaires avec des outils d’IA publics, près d’une sur quatre n’applique aucune règle en la matière. L’exposition est encore plus importante dans le secteur public, puisque moins de la moitié des collectivités locales appliquent des politiques relatives à l’utilisation de l’IA. Comme l’a souligné Moody’s, « la soumission d’informations propriétaires à des outils d’IA publics pourrait exposer des données sensibles, enfreignant potentiellement des accords de confidentialité ou des règles internes de traitement des données ». Les risques vont de la perte de propriété intellectuelle à la fuite de données, en passant par l’atteinte à la réputation.

Télécharger cet article sous forme de livre blanc

Les assureurs surveillent la situation et adaptent leurs tarifs en conséquence

Le marché de l’assurance intègre déjà cette exposition dans la souscription des assurances cyber et responsabilité civile professionnelle. L’Association de Genève a récemment indiqué que neuf entreprises sur dix souhaitent souscrire une assurance couvrant les risques liés à l’IA générative, et que deux tiers d’entre elles seraient prêtes à payer jusqu’à 10 % de plus en primes pour bénéficier de cette protection. Les assureurs restent toutefois prudents. L’IA introduit de « nouveaux niveaux de complexité » dans l’estimation de la fréquence et de la gravité des sinistres, en particulier lorsque les incidents impliquent une utilisation abusive des données, la désinformation ou des biais algorithmiques. Il en résulte un écart croissant entre la demande de couverture IA et la clarté quant à ce qui est réellement assuré. Cet écart met en évidence une réalité de plus en plus évidente : les organisations dépourvues de gouvernance interne en matière d’IA seront soumises à un examen plus rigoureux lors de la souscription, à des primes plus élevées et à d’éventuelles exclusions de couverture.

Pourquoi un cadre d'utilisation de l'IA est-il important ?

Un cadre interne d'utilisation de l'IA définit des règles claires concernant les utilisations autorisées et interdites des outils d'IA par les collaborateurs. Il permet d'aligner les comportements sur les obligations de l'entreprise en matière de sécurité, de droit et de conformité. Surtout, il atteste de la mise en place d'une gouvernance auprès des autorités de régulation, des clients et des assureurs. Sans ce cadre, les organisations s'exposent à trois risques majeurs :

1. Fuites de données et atteintes à la confidentialité

Les données sensibles relatives à l'entreprise ou aux clients saisies dans des outils d'IA accessibles au public peuvent être conservées ou réutilisées d'une manière que l'utilisateur ne peut pas contrôler. Cela peut constituer une violation de données, même en l'absence d'acteur malveillant.

2. Propriété intellectuelle et violation du droit d'auteur

Les textes, codes et images générés par l'IA peuvent porter atteinte aux droits de tiers, tandis que la question de la propriété des résultats obtenus à l'aide de l'IA reste juridiquement incertaine.

3. Risque de réputation et risque opérationnel

Les résultats générés par l'IA sans avoir été vérifiés, qu'il s'agisse de descriptions de produits inexactes ou d'annonces de recrutement biaisées, peuvent susciter des réactions négatives de la part du public, entraîner des litiges contractuels et donner lieu à des enquêtes réglementaires.

Un cadre formel permet d'atténuer ces risques en définissant les conditions d'utilisation acceptables et en attribuant les responsabilités.

Éléments fondamentaux d'un cadre d'utilisation pratique de l'IA

Un bon cadre n'a pas besoin d'être complexe ; il doit être clair, applicable et mis en œuvre de manière cohérente. Ses éléments essentiels comprennent généralement :

1. Formation et reconnaissance des salariés

Veillez à ce que l'ensemble du personnel comprenne ce cadre et vérifiez chaque année qu'il est bien respecté.

2. Objet et champ d'application

Définissez quels outils d'IA sont autorisés, qui peut les utiliser et pour quels types de tâches.

3. Classification et confidentialité des données

Interdire la saisie de données non publiques, relatives aux clients ou à caractère personnel dans des systèmes externes ; exiger leur anonymisation dans la mesure du possible.

4. Propriété intellectuelle et vérification du contenu

Exiger une vérification humaine des résultats générés par l'IA avant leur publication ou leur utilisation par les clients ; clarifier la propriété des contenus créés à l'aide de l'IA.

5. Contrôles de précision et de biais

Mettre en place des étapes de contrôle qualité visant à garantir l'exactitude des faits, à détecter les biais et à assurer la cohérence avec l'image de marque.

6. Sécurité et vérification des fournisseurs

S'assurer que les fournisseurs d'IA respectent les normes de l'entreprise en matière de sécurité et de protection de la vie privée.

Les cadres les plus efficaces sont élaborés en collaboration avec les services juridiques, les assurances, la conformité, la sécurité de l'information et les ressources humaines, ce qui garantit à la fois leur applicabilité et leur adhésion par la culture d'entreprise.

De la maîtrise des risques à l'avantage stratégique

Les assureurs commencent à considérer une gouvernance rigoureuse de l’IA comme un facteur positif en matière de souscription, à l’instar des certifications ISO 27001 ou SOC 2. Les entreprises capables de démontrer qu’elles maîtrisent l’utilisation de l’IA sont perçues comme présentant moins de risques et obtiennent souvent de meilleures conditions et tarifications sur leurs polices d’assurance cyber, E&O et D&O. Au-delà du domaine de l’assurance, un cadre interne dédié à l’IA permet :

  1. Préparation réglementaire, car les nouvelles lois en matière de protection de la vie privée et d'intelligence artificielle exigent une gouvernance démontrable.
  2. La confiance des investisseurs et des clients, qui témoigne d'une approche mûre de l'innovation.
  3. La résilience opérationnelle, qui permet de réduire les erreurs coûteuses ou les pertes de données dues à une mauvaise utilisation.

    Comme l’a souligné l’Association de Genève, « peu de technologies dans l’histoire se sont répandues aussi rapidement que l’IA générale, mais ses risques sont complexes et mal compris ». Les entreprises ne peuvent pas attendre d’avoir une vision parfaitement claire de la situation ou une réglementation ; la gouvernance doit évoluer parallèlement à l’adoption de cette technologie. Les organisations qui mettent en place dès aujourd’hui des politiques internes claires en matière d’IA réduiront non seulement leur exposition aux risques, mais se positionneront également comme des innovateurs fiables et responsables.

    À emporter

    L'IA est là pour rester, tout comme les risques qu'elle comporte. La mise en place d'un cadre interne d'utilisation de l'IA n'est plus une simple question de conformité ; il s'agit d'une nécessité stratégique qui permet de protéger les données, de préserver la confiance et d'améliorer l'assurabilité. Élaborez un cadre de gouvernance solide en matière d'IA et alignez vos contrôles sur les attentes du marché de l'assurance. Contactez-nous dès aujourd'hui pour bénéficier des conseils d'experts.

    Mettez en place un cadre de gouvernance solide en matière d'IA et adaptez vos dispositifs de contrôle aux attentes du marché de l'assurance. Contactez-nous dès aujourd'hui pour bénéficier des conseils d'experts.


    Chris Jones

    Chargé de clientèle, Sciences de la vie et technologie

    Je suis Chris Jones, chargé de clientèle spécialisé dans les sciences de la vie et la technologie chez Axis Insurance. Avec plus de 17 ans d'expérience dans le secteur de l'assurance, j'ai rejoint Axis en 2011, apportant une richesse d'expérience et de connaissances. Mon expertise réside dans la gestion des risques techniques, en particulier dans des secteurs tels que la technologie, la propriété intellectuelle, la fabrication et d'autres risques complexes. Tout au long de ma carrière, j'ai perfectionné mes compétences pour fournir des solutions d'assurance sur mesure qui répondent aux besoins uniques des clients dans ces domaines.

    BIOGRAPHIE DE L'AUTEUR

    Clive Bird

    Premier vice-président, mines et technologie

    Clive est un spécialiste des risques d'assurance, un investisseur, un entrepreneur et un développeur de produits pour les risques d'assurance difficiles à placer. Pendant plus de 15 ans, Axis Insurance a joui d'une réputation de qualité, d'innovation, de créativité et d'établissement de relations. Depuis qu'il a vendu la société à une société de courtage de l'Ouest canadien, Clive a continué à soutenir la clientèle d'Axis en développant des produits, en s'engageant à fournir des services et en adoptant une approche imaginative pour trouver des solutions de couverture.

    BIOGRAPHIE DE L'AUTEUR