1. Objectif
La presente politique etablit comment [Nom de l'organisation] gouverne le developpement, l'acquisition, le deploiement et le retrait des systemes d'intelligence artificielle. Elle cree la structure de gouvernance, definit les droits decisionnels, fixe les jalons du cycle de vie et confirme que les systemes d'IA fonctionnent dans des limites de risque acceptables tout en respectant les obligations reglementaires.
2. Perimetre
La presente politique s'applique a :
Hors perimetre : Les logiciels metier standard qui n'utilisent pas d'apprentissage automatique ni de capacites d'IA generative (ex. : automatisation basee sur des regles, tableaux de bord analytiques traditionnels).
- Tous les systemes d'IA et d'apprentissage automatique developpes en interne ou acquis aupres de tiers.
- Tous les employes, sous-traitants et partenaires qui developpent, deploient, exploitent ou supervisent des systemes d'IA.
- Toutes les etapes du cycle de vie de l'IA : ideation, developpement, test, deploiement, surveillance et retrait.
- Les systemes d'IA a usage general et specifique, y compris les grands modeles de langage, les outils d'aide a la decision, l'analytique predictive et les systemes de traitement automatise.
3. Definitions
- Systeme d'IA : Un systeme qui utilise des techniques d'apprentissage automatique, d'apprentissage profond ou d'IA generative pour produire des resultats tels que des predictions, des recommandations, des decisions ou du contenu.
- Systeme d'IA a haut risque : Un systeme d'IA qui prend ou influence de maniere significative des decisions affectant les droits, la sante, la securite, l'emploi, la situation financiere ou le statut juridique des individus. Inclut egalement les systemes classes a haut risque au titre de l'Annexe III du Reglement europeen sur l'IA.
- Cycle de vie de l'IA : Les etapes traversees par un systeme d'IA : ideation, collecte de donnees, developpement, validation, deploiement, surveillance et retrait.
- Proprietaire du modele : L'individu redevable des performances, de la conformite et de la posture de risque d'un systeme d'IA tout au long de son cycle de vie.
- Comite de gouvernance de l'IA : L'organe transversal qui examine les cas d'usage d'IA a haut risque, approuve les derogations et definit les normes de gouvernance.
4. Structure de gouvernance
Texte de remplacement. Complétez avec le langage de votre organisation pour 4. Structure de gouvernance.
4.1 Comite de gouvernance de l'IA
L'organisation etablit un Comite de gouvernance de l'IA compose de representants de :
Le Comite se reunit mensuellement (ou selon les besoins pour les escalades) et est charge de :
- Direction executive (sponsor)
- Juridique et conformite
- Securite de l'information
- Protection des donnees
- Ingenierie / science des donnees
- Operations metier
- Gestion des risques
- Approuver ou rejeter les cas d'usage d'IA a haut risque.
- Definir et mettre a jour les normes et seuils de gouvernance de l'IA.
- Examiner la posture globale de risque IA et les tendances des incidents.
- Conseiller sur les evolutions reglementaires affectant les operations d'IA.
4.2 Responsable de la gouvernance IA
Un Responsable de la gouvernance IA designe coordonne les activites quotidiennes de gouvernance, maintient l'inventaire IA, assure le suivi de la conformite et constitue le principal point d'escalade pour les preoccupations liees a l'IA.
4.3 Proprietaires de modeles
Chaque systeme d'IA doit disposer d'un proprietaire de modele designe, redevable de :
- Maintenir la documentation (fiche du modele, fiche de donnees, evaluation des risques).
- Confirmer que le systeme satisfait aux validations requises avant le deploiement.
- Surveiller le systeme en production et repondre aux incidents.
- Initier le retrait lorsque le systeme n'est plus adapte a son usage.
4.4 Tous les employes
Chaque employe est tenu de :
- Respecter la presente politique et les procedures d'IA associees.
- Signaler l'utilisation non autorisee ou non validee d'outils d'IA.
- Suivre la formation obligatoire de sensibilisation a l'IA.
- Escalader les preoccupations relatives au comportement des systemes d'IA par les canaux etablis.
5. Classification des risques IA
Tous les systemes d'IA doivent etre classes avant le debut du developpement ou de l'acquisition.
| Niveau de risque | Criteres | Exigences de gouvernance |
|---|---|---|
| Eleve | Affecte les droits, la sante, la securite, l'emploi, la situation financiere ou le statut juridique. Opere dans un domaine reglemente. Releve de l'Annexe III du Reglement europeen sur l'IA. | Revue complete par le Comite, AIPD des droits fondamentaux, tests obligatoires, surveillance post-deploiement, plan de reponse aux incidents. |
| Moyen | Influence les decisions metier ou l'experience client mais n'affecte pas directement les droits individuels. | Revue par le proprietaire du modele, evaluation documentee des risques, surveillance periodique. |
| Faible | Outils de productivite interne, assistance a la redaction ou analytique avec examen humain. | Inscription dans l'inventaire IA, documentation de base. |
Les systemes peuvent etre reclasses au fil de l'evolution de leur usage. Tout changement de classification des risques declenche une nouvelle revue.
6. Jalons du cycle de vie de l'IA
Les systemes d'IA doivent franchir les jalons suivants. Chaque jalon necessite des preuves documentees avant de poursuivre.
Jalon 1 : Enregistrement et classification
- Justification metier documentee.
- Classification des risques attribuee.
- Exigences en donnees et impact sur la vie privee identifies.
- Proprietaire du modele designe.
Jalon 2 : Developpement et validation
- Donnees d'entrainement sourcees, documentees et examinees pour les biais.
- Modele valide par rapport aux criteres d'acceptation.
- Revue de securite terminee.
- Tests de biais et d'equite realises pour les systemes a haut risque.
Jalon 3 : Approbation pre-deploiement
- Validation independante realisee (systemes a haut risque).
- Evaluation des risques finalisee et inscrite au registre des risques.
- Revue de conformite realisee (cartographie reglementaire).
- Approbation du proprietaire du modele et, pour les systemes a haut risque, du Comite de gouvernance de l'IA.
Jalon 4 : Deploiement
- Surveillance configuree (performance, derive, securite).
- Plan de reponse aux incidents documente.
- Exigences de notification et de transparence envers les utilisateurs satisfaites.
- Procedure de retour en arriere testee.
Jalon 5 : Surveillance continue
- Revues de performance regulieres par rapport aux indicateurs convenus.
- Reevaluation periodique des biais et de l'equite.
- Evaluation de l'impact des changements reglementaires.
- Revalidation declenchee par des changements significatifs du modele, des donnees ou du contexte operationnel.
Jalon 6 : Retrait
- Parties prenantes notifiees.
- Donnees conservees ou eliminees conformement a la politique de conservation.
- Systeme mis hors service et retire de l'inventaire.
- Retour d'experience documente.
7. Alignement reglementaire
La presente politique est concue pour soutenir la conformite avec :
| Cadre reglementaire | Obligations cles |
|---|---|
| Reglement europeen sur l'IA | Classification des risques, evaluation de conformite, obligations de transparence, evaluation de l'impact sur les droits fondamentaux, surveillance post-deploiement, enregistrement des systemes a haut risque. |
| ISO/IEC 42001 | Systeme de management de l'IA, traitement des risques, engagement de la direction, controles operationnels, evaluation des performances, amelioration continue. |
| NIST AI RMF | Fonctions Govern, Map, Measure, Manage tout au long du cycle de vie de l'IA. |
| ISO/IEC 27001 | Controles de securite de l'information appliques aux donnees et systemes d'IA. |
Le Responsable de la gouvernance IA maintient une correspondance entre les exigences de la presente politique et les obligations reglementaires applicables, mise a jour lors de l'evolution des reglementations.
8. Derogations
Toute demande de deviation par rapport a la presente politique doit etre soumise au Responsable de la gouvernance IA avec :
Les derogations a haut risque requierent l'approbation du Comite de gouvernance de l'IA. Toutes les derogations sont enregistrees et revues au minimum trimestriellement.
- Une description de la derogation et sa justification.
- Une evaluation du risque supplementaire introduit.
- Des controles compensatoires proposes.
- Une date d'expiration definie (les derogations ne sont pas permanentes).
9. Application
Le non-respect de la presente politique peut entrainer :
L'organisation se reserve le droit de suspendre immediatement tout systeme d'IA presentant un risque inacceptable pour les individus, l'organisation ou la situation reglementaire.
- La suspension du systeme d'IA dans l'attente d'un examen.
- Une remediation obligatoire avec un calendrier defini.
- Une escalade a la direction executive.
- Des mesures disciplinaires proportionnelles au risque introduit.
10. Revue et mise a jour
La presente politique est revue au moins annuellement, ou plus tot lorsque declenchee par :
Le Responsable de la gouvernance IA est charge d'initier la revue. Les mises a jour requierent l'approbation du Comite de gouvernance de l'IA.
- Des changements reglementaires significatifs (ex. : entree en vigueur de nouvelles dispositions du Reglement europeen sur l'IA).
- Des incidents significatifs lies a l'IA au sein de l'organisation.
- Des modifications de la strategie IA ou de l'appetence au risque de l'organisation.
- Des constatations issues d'audits internes ou externes.
Controle du document
| Champ | Valeur |
|---|---|
| Proprietaire de la politique | [Responsable de la gouvernance IA] |
| Approuve par | [Comite de gouvernance de l'IA] |
| Date d'entree en vigueur | [Date] |
| Prochaine date de revue | [Date + 12 mois] |
| Version | 1.0 |
| Classification | Interne |