Résumé

Le référentiel de risques liés à l'IA du MIT ("AI risk repository") constitue la première compilation systématique des risques associés à l'IA. Il recense plus de 1 700 risques extraits de 74 cadres de référence répartis dans 7 domaines et 2 taxonomies (causale et de domaine). Cet article traduit le cadre académique du MIT en une gestion des risques concrète pour les dirigeants du secteur financier qui accompagnent l'adoption de l'IA dans le contexte du RGPD, de la loi sur l'IA et des réglementations bancaires. Sans cartographie proactive des risques, le déploiement de l'IA dans des environnements réglementés accroît l'exposition aux risques de non-conformité et la fragilité opérationnelle.

Points clés

• Sept domaines de risques couvrent le paysage des menaces liées à l'IA.

  • La taxonomie de domaine du MIT classe les risques liés à l'IA en sept catégories, chacune comprenant 2 à 4 sous-domaines, soit un total de 24 domaines de risques spécifiques.

    • (1) Discrimination et toxicité (1.1 Traitement inéquitable, 1.2 Exposition à des contenus toxiques, 1.3 Performances inégales), (2) Confidentialité et sécurité (2.1 Compromission des données, 2.2 Vulnérabilités du système, 2.3 Accès non autorisé), (3) Désinformation (3.1 Production de fausses informations, 3.2 Érosion de la réalité consensuelle), (4) Acteurs malveillants (4.1 Campagnes de désinformation, 4.2 Fraude, 4.3 Cyberattaques, 4.4 Développement d'armes), (5) Interaction homme-machine (5.1 Dépendance excessive, 5.2 Perte d'autonomie et de capacité d'action humaine), (6) Facteurs socio-économiques et environnementaux (6.1 Centralisation du pouvoir, 6.2 Dégradation de la qualité de l'emploi, 6.3 Défaillance de la gouvernance), (7) Sécurité des systèmes d'IA (7.1 Inadéquation des objectifs, 7.2 Capacités dangereuses, 7.3 Manque de robustesse).

  • Dans le secteur des services financiers en particulier, les risques suivants présentent les plus fortes expositions réglementaires et opérationnelles : (1) Discrimination et toxicité, (2) Confidentialité et sécurité, (5) Interaction homme-machine et (6) Aspects socio-économiques et environnementaux. Ces risques recoupent directement les cadres de conformité existants (RGPD, loi sur l’IA, Bâle III/IV, MiFID II).

• Les 5 principaux risques pour les Services Financiers

  • L’analyse des plus de 1 700 risques identifiés par le MIT à travers le prisme des services financiers révèle cinq domaines prioritaires nécessitant une gouvernance immédiate :

    • Discrimination injuste (sous-domaine 1.1 : traitement injuste) : Les biais algorithmiques dans l’évaluation du crédit, l’octroi de prêts ou la tarification des assurances constituent des violations de l’article 22 du RGPD (prise de décision automatisée) et peuvent entraîner des sanctions réglementaires. Les données historiques reflétant des discriminations passées sont intégrées aux modèles d’IA.

    • Atteinte à la vie privée (sous-domaine 2.1 : compromission des données) : Les systèmes d’IA qui mémorisent et divulguent des données clients violent l’article 32 du RGPD (sécurité du traitement) et déclenchent l’obligation de notification des violations de données. Exemple : Des chatbots entraînés sur des conversations clients exposent involontairement des données personnelles dans leurs réponses.

    • Désinformation (sous-domaine 3.1 : Génération de fausses informations) : Les conseils financiers ou analyses de marché générés par l’IA et contenant des erreurs factuelles exposent les entreprises à des violations des règles d’adéquation de MiFID II et à des réclamations pour préjudice envers les clients.

    • Dépendance excessive et utilisation non sécurisée (sous-domaine 5.1 : Dépendance excessive) : Déléguer l’évaluation des risques à des modèles d’IA opaques sans supervision humaine contrevient aux exigences de la réglementation prudentielle en matière d’explicabilité et de responsabilité (principes du Comité de Bâle pour la résilience opérationnelle).

    • Défaillance de la gouvernance (sous-domaine 6.3 : Défaillance de la gouvernance) : Des cadres de gestion des risques liés à l’IA inadéquats ne répondent pas aux exigences de la loi sur l’IA en matière de gouvernance des systèmes à haut risque (article 9 : Systèmes de gestion des risques) et de pistes d’audit interne exigées par les autorités de régulation financière.

Cartographie de la conformité aux différents cadres réglementaires

• La taxonomie causale du MIT (Entité, Intention, Temporelle) permet une cartographie précise des risques liés à l'IA et de leurs obligations réglementaires :

  • Intersection avec le RGPD :

    • Risques pré-déploiement : Conception de la gouvernance des données (Article 25 : protection des données dès la conception)

    • Risques post-déploiement : Surveillance continue des risques de discrimination (Article 5 : principe d'équité)

  • Intersection avec la législation sur l'IA :

    • Systèmes à haut risque (Annexe III) : L'évaluation de la conformité aux normes de notation de crédit et d'assurance est soumise à une évaluation de la conformité

    • Obligations de transparence (Article 13) : Les utilisateurs doivent être informés lorsqu'ils interagissent avec des systèmes d'IA

  • Réglementation bancaire (Bâle, ABE) :

    • Résilience opérationnelle : La robustesse des systèmes d'IA est conforme aux exigences de la DORA

    • Gestion des risques liés aux modèles : Les fournisseurs tiers d'IA sont soumis à une obligation de vigilance renforcée

• Le fossé : de la taxonomie académique à l’outil opérationnel.

  • Le problème réside dans le fait que le MIT propose une classification, mais pas d’implémentation.

  • Les dirigeants du secteur financier doivent traduire ce cadre en protocoles d’audit, en systèmes d’évaluation des risques et en processus de conformité ; un travail qui reste à accomplir.

Mon analyse

Le référentiel du MIT est un point de départ, pas une solution. La question stratégique à se poser et donc la suivante: comment transposer 1 700 descriptions de risques académiques en un gouvernance de l’IA?

Pour faire passer le référentiel du MIT d'une taxonomie académique à un outil opérationnel, nous pourrions passer par l'intermédiaire de trois actions à prendre par les dirigeants du secteur financier :

• Réaliser un inventaire des risques liés à l'IA.

  • Auditer les systèmes d'IA existants et planifiés, au regard des 7 domaines et 24 sous-domaines du MIT.

  • Prioriser les applications à haut risque (décisions de crédit, détection des fraudes, systèmes en contact avec la clientèle) pour un examen de conformité immédiat.

• Cartographier les obligations réglementaires.

  • Croiser les risques liés à l'IA identifiés avec le RGPD, l'IA Act et les réglementations sectorielles.

  • Définir clairement les responsabilités internes : Juridique (exigences de conformité), Risques (stratégies d'atténuation), Technologie (contrôles de mise en œuvre).

• Mettre en place une gouvernance transversale de l'IA. C

  • Créer un comité des risques liés à l'IA, composé de représentants des équipes Produit, Juridique, Risques, Technologie et Conformité.

  • Utiliser la taxonomie causale du MIT (périodes pré-déploiement et post-déploiement) pour structurer les processus d'examen dès la phase de conception et pour assurer un suivi continu.

L'impératif stratégique : l'adoption de l'IA sans une gestion systématique des risques concentre les risques de non-conformité. Les dirigeants du secteur financier qui transposent le cadre théorique du MIT en gouvernance opérationnelle acquièrent un avantage concurrentiel grâce à un déploiement de l'IA plus rapide et moins risqué.

Rapport et Ensemble de données: Slattery, P., Saeri, A. K., Grundy, E. A. C., Graham, J., Noetel, M., Uuk, R., Dao, J., Pour, S., Casper, S., & Thompson, N. (2024). "The AI Risk Repository: A Comprehensive Meta-Review, Database, and Taxonomy of Risks from Artificial Intelligence".

• Rapport complet: The AI Risk Repository: A Comprehensive Meta-Review, Database, and Taxonomy of Risks from Artificial Intelligence - MIT AI Risk Initiative, 2024

• Base de données interactive: Explore MIT's AI Risk Database - 1,700+ risks, filterable by domain and causal factors