1. Objectif
La presente politique definit les responsables et les redevables des activites de gouvernance de l'IA au sein de [Nom de l'organisation]. Elle etablit les organes de gouvernance, les roles individuels, les droits decisionnels et les voies d'escalade afin que chaque systeme d'IA dispose d'un proprietaire designe et que chaque decision de gouvernance soit attribuee a un decideur clairement identifie.
2. Perimetre
La presente politique couvre :
- Tous les organes de gouvernance impliques dans la supervision de l'IA (comites, conseils, groupes de travail).
- Tous les roles individuels ayant des responsabilites en matiere de gouvernance de l'IA.
- Tous les systemes d'IA, quel que soit leur niveau de classification des risques.
- Toutes les etapes du cycle de vie de l'IA.
3. Organes de gouvernance
Texte de remplacement. Complétez avec le langage de votre organisation pour 3. Organes de gouvernance.
3.1 Comite de gouvernance de l'IA
Le Comite de gouvernance de l'IA est l'organe decisionnel principal en matiere de gouvernance de l'IA. Il fonctionne comme un comite de pilotage transversal avec le mandat suivant :
Composition : Sponsor executif (President), Responsable juridique/conformite, RSSI ou Responsable securite, Delegue a la protection des donnees, Directeur de l'ingenierie/science des donnees, Directeur de la gestion des risques, Representant des operations metier.
Quorum : Les decisions requierent la presence d'au moins 5 membres, dont le President ou son delegue. Les decisions sont consignees dans les comptes rendus de reunion et conservees dans le portail de gouvernance.
Cadence : Reunion mensuelle permanente, avec des sessions ponctuelles pour les escalades urgentes.
- Approuver ou rejeter les cas d'usage d'IA a haut risque.
- Definir les normes de gouvernance, les seuils de risque et les orientations politiques.
- Resoudre les escalades et arbitrer les differends entre les equipes.
- Examiner la posture globale de risque IA de l'organisation chaque trimestre.
- Commander des revues internes ou des audits lorsque cela est justifie.
- Superviser la detection et la remediation de l'IA non autorisee (shadow AI).
3.2 Groupe consultatif en ethique de l'IA (optionnel)
Les organisations ayant un deploiement significatif de l'IA peuvent etablir un groupe consultatif compose d'experts internes et externes pour fournir des orientations non contraignantes sur les considerations ethiques, les risques emergents et les preoccupations des parties prenantes.
4. Roles individuels
Texte de remplacement. Complétez avec le langage de votre organisation pour 4. Roles individuels.
4.1 Sponsor executif
- Preside le Comite de gouvernance de l'IA.
- Detient le budget et l'orientation strategique de la gouvernance de l'IA.
- Redevable devant le conseil d'administration pour la posture de risque IA.
- Approuve la Politique de gouvernance de l'IA et ses mises a jour significatives.
4.2 Responsable de la gouvernance IA
- Coordonne les operations quotidiennes de gouvernance.
- Maintient l'inventaire des systemes d'IA et le suivi de la conformite.
- Prepare les documents pour les reunions du Comite et assure le suivi des actions.
- Constitue le premier point d'escalade pour les preoccupations liees a l'IA.
- Gere les demandes de derogation et suit leur expiration.
- Coordonne la detection et le signalement de l'IA non autorisee.
4.3 Proprietaire du modele
Chaque systeme d'IA doit avoir un Proprietaire du modele designe, redevable de :
Les Proprietaires de modele sont generalement des ingenieurs seniors, des data scientists ou des chefs de produit ayant une connaissance directe du systeme.
- La documentation du systeme (fiche du modele, fiche de donnees, evaluation des risques).
- La reussite des revues de jalons du cycle de vie avant le deploiement.
- Le suivi continu et les performances en production.
- La reponse aux incidents impliquant leur systeme.
- Le declenchement d'une revalidation lorsque le systeme ou son contexte change.
- Le declenchement du retrait lorsque le systeme n'est plus adapte a son usage.
4.4 Proprietaire des donnees / Intendant des donnees
- Redevable de la qualite, de la provenance et de la conformite des donnees utilisees dans les systemes d'IA.
- Approuve les demandes d'acces aux donnees et s'assure que l'utilisation des donnees est conforme au consentement et a la base juridique.
- Documente la lignee des donnees et maintient les registres de classification des donnees.
- Examine les donnees d'entrainement pour detecter les biais, la representativite et la conformite des licences.
- S'assure que la conservation et la suppression des donnees sont conformes a la politique organisationnelle et aux reglementations.
4.5 Juridique et conformite
- Examine les cas d'usage de l'IA au regard des obligations reglementaires.
- Conseille sur les termes contractuels avec les fournisseurs d'IA.
- Surveille les evolutions reglementaires et communique leur impact au Comite.
- Participe aux evaluations de conformite et aux evaluations d'impact sur les droits fondamentaux.
4.6 Securite de l'information
- Realise les revues de securite des systemes et infrastructures d'IA.
- Gere la detection des menaces liees a l'IA et la reponse aux incidents.
- Evalue la posture de securite des fournisseurs pour l'IA tierce.
- Assure la securite de la chaine d'approvisionnement de l'IA (modeles, bibliotheques, dependances).
4.7 Tous les employes
- Respecter la presente politique et les procedures d'IA associees.
- Signaler l'utilisation non autorisee d'outils d'IA (shadow AI) au Responsable de la gouvernance IA.
- Suivre la formation obligatoire de sensibilisation a l'IA correspondant a leur role.
- Escalader les preoccupations relatives au comportement de l'IA par les canaux etablis.
5. Matrice RACI
La matrice RACI suivante definit l'imputabilite pour les activites cles de gouvernance de l'IA. R = Responsable (effectue le travail), A = Approbateur (decision finale), C = Consulte (avis requis), I = Informe (tenu au courant).
| Activite | Sponsor executif | Resp. gouv. IA | Proprio. modele | Proprio. donnees | Juridique | Securite |
|---|---|---|---|---|---|---|
| Strategie et approbation des politiques IA | A | R | I | I | C | C |
| Classification des risques | I | C | R | C | C | C |
| Approbation des cas d'usage a haut risque | A | R | C | C | C | C |
| Approvisionnement et revue de la qualite des donnees | I | I | C | A/R | C | I |
| Validation et test du modele | I | I | A/R | C | I | C |
| Approbation du deploiement | I | A | R | I | C | C |
| Surveillance en production | I | I | A/R | I | I | I |
| Reponse aux incidents | I | C | A/R | C | C | R |
| Revue de conformite reglementaire | I | R | C | C | A | C |
| Evaluation des risques fournisseurs | I | C | C | C | C | A/R |
| Detection et signalement de l'IA non autorisee | I | A/R | I | I | C | R |
| Maintenance de l'inventaire IA | I | A/R | C | C | I | I |
| Formation et sensibilisation a l'IA | I | A/R | C | C | C | C |
Cette matrice est revue trimestriellement et mise a jour lors de changements organisationnels.
6. Exigences de formation par role
| Role | Formation requise | Frequence |
|---|---|---|
| Sponsor executif | Vue d'ensemble de la gouvernance IA, environnement reglementaire, appetence au risque | Annuelle |
| Responsable de la gouvernance IA | Cadre complet de gouvernance, approfondissement reglementaire, maitrise des outils | Annuelle + lors de changement reglementaire |
| Proprietaire du modele | Gestion du cycle de vie, evaluation des risques, surveillance, reponse aux incidents | Annuelle + lors de changement du systeme |
| Proprietaire des donnees | Gouvernance des donnees, detection des biais, exigences de confidentialite, qualite des donnees | Annuelle |
| Juridique / Conformite | Reglementations IA, mises a jour des cadres, evaluation de conformite | Annuelle + lors de changement reglementaire |
| Securite | Environnement des menaces IA, securite de la chaine d'approvisionnement, tests adversariaux | Annuelle |
| Tous les employes | Sensibilisation a l'IA, utilisation acceptable, signalement de l'IA non autorisee | A l'embauche + annuelle |
7. Succession et delegation
- Chaque role de gouvernance doit disposer d'un delegue designe pouvant agir en l'absence du titulaire.
- Les delegues doivent etre documentes dans le portail de gouvernance avec les dates d'effet.
- Les vacances de poste excedant 30 jours necessitent que le Responsable de la gouvernance IA escalade au Sponsor executif pour des dispositions provisoires.
- Des notes de passation doivent etre documentees lors du transfert de la responsabilite principale.
8. Voies d'escalade
- Problemes operationnels (performance du modele, derive) : Proprietaire du modele → Responsable de la gouvernance IA.
- Preoccupations relatives a la qualite des donnees : Toute equipe → Proprietaire des donnees → Responsable de la gouvernance IA.
- Preoccupations relatives aux risques et a la conformite : Tout employe → Responsable de la gouvernance IA → Juridique/Conformite → Comite de gouvernance de l'IA.
- Incidents de securite : Tout employe → Equipe securite → Responsable de la gouvernance IA → Sponsor executif.
- Signalements d'IA non autorisee : Tout employe → Responsable de la gouvernance IA → Securite (pour evaluation) → Comite de gouvernance de l'IA (si systemique).
- Preoccupations ethiques : Tout employe → Responsable de la gouvernance IA → Comite de gouvernance de l'IA.
- Derogations a la politique : Demandeur → Responsable de la gouvernance IA → Comite de gouvernance de l'IA (pour les cas a haut risque).
9. Mesure de l'efficacite
Le Comite de gouvernance de l'IA suit les indicateurs suivants pour evaluer si les roles et processus de gouvernance fonctionnent correctement :
- Pourcentage de systemes d'IA disposant d'un Proprietaire du modele designe et d'une documentation a jour.
- Delai moyen entre l'enregistrement d'un cas d'usage et l'approbation du deploiement.
- Nombre d'escalades de gouvernance et leur delai de resolution.
- Taux de detection et de remediation de l'IA non autorisee.
- Taux de completion des formations par role.
- Constatations d'audit relatives aux lacunes de roles ou aux defaillances d'imputabilite.
10. Alignement reglementaire
- Reglement europeen sur l'IA : Article 4a (culture de l'IA), Article 9 (responsabilites en matiere de gestion des risques), Article 26 (obligations des deployers).
- ISO/IEC 42001 : Clause 5.3 (Roles, responsabilites et autorites organisationnels).
- NIST AI RMF : Fonction GOVERN (GV-1 : structures de gouvernance, GV-2 : roles et responsabilites).
11. Revue
La presente politique est revue trimestriellement en phase avec les reunions du Comite de gouvernance de l'IA, ou plus tot en cas de restructuration organisationnelle, de changements significatifs de roles ou de constatations d'audit.
Controle du document
| Champ | Valeur |
|---|---|
| Proprietaire de la politique | [Responsable de la gouvernance IA] |
| Approuve par | [Comite de gouvernance de l'IA] |
| Date d'entree en vigueur | [Date] |
| Prochaine date de revue | [Date + 3 mois] |
| Version | 1.0 |
| Classification | Interne |