Comment trouver un équilibre entre les possibilités et les risques associés à l’adoption de technologies disruptives

L’adoption fructueuse de technologies disruptives repose nécessairement sur l’obtention d’un équilibre entre les tentatives d’exploitation des possibilités et la gestion des risques.

En bref

• Puisqu’il arrive souvent que les lois et les lignes directrices aient du mal à suivre l’évolution rapide des technologies, il est essentiel que les entreprises se montrent proactives.
• Les investissements dans les technologies de soutien à la conformité vont en augmentant, mais ils pourraient ne pas être suffisants.
• Les entreprises doivent privilégier l’exploitation éthique des technologies et intégrer l’innovation à leur stratégie de conformité globale.

L’intelligence artificielle (IA), l’automatisation et d’autres avancées technologiques induisent une transformation des entreprises et de leur fonction conformité, tandis que celles‑ci procèdent à l’optimisation de leurs activités et tirent de nouvelles informations des données à leur disposition. Toutefois, ces technologies amplifient les risques existants, tels que les risques de violation de données et d’atteinte à la réputation, tout en générant de nouvelles menaces. Utilisée avec d’autres avancées technologiques, l’IA générative peut permettre aux fonctions conformité et contentieux de gérer plus facilement les risques, dans la mesure où les investissements requis sont engagés. En revanche, au même titre que d’autres technologies disruptives, elle peut aussi générer de grands défis opérationnels, notamment ceux qui sont associés à la création de contenus tendancieux ou factices, à la violation des lois sur les droits d’auteur et à l’exploitation des données à caractère personnel.

En matière de protection de la vie privée, l’un des plus grands défis organisationnels consiste à suivre le rythme de l’évolution des cadres de réglementation de nombreux pays et territoires, mais, pour ce qui est de la vitesse d’évolution de l’IA, elle dépasse largement le rythme auquel sont adoptées de nouvelles mesures législatives. Cet écart a mené les parties prenantes à exiger des entreprises qu’elles prennent des mesures proactives en vue d’établir un cadre d’exploitation éthique de l’IA et d’autres technologies émergentes.

Comment les entreprises peuvent-elles favoriser l’essor d’une culture de la conformité tout en restant concurrentielles?

Les entreprises doivent se doter d’une stratégie cohérente axée sur l’exploitation responsable des technologies et des données, dans une grande mesure de la même façon qu’elles accordent la priorité à leur programme de durabilité. Elles peuvent adopter un grand nombre de mesures axées sur l’établissement de cibles de gestion d’initiatives et de production de rapports connexes, notamment en contribuant à la protection de l’environnement ainsi qu’à l’amélioration du bien‑être de leurs parties prenantes et des collectivités où elles mènent leurs activités. Au lieu d’être tributaire de l’évolution perpétuelle de cadres de réglementation variant selon le pays et le territoire, cette stratégie doit être harmonisée avec les valeurs organisationnelles fondamentales. L’adoption de progrès technologiques joue un rôle essentiel dans le développement des entreprises, mais celles qui ne privilégient pas une exploitation éthique des technologies pourraient être exposées à des risques juridiques et des risques d’atteinte à la réputation en surpassant les bénéfices.

Pourquoi il ne suffit pas de s’appuyer sur le cadre
législatif

Les systèmes d’IA recueillent et analysent d’énormes volumes de données, engendrant ainsi une augmentation des risques de cyberattaque et de violation de données. Exploitée à des fins de surveillance, l’IA peut également porter atteinte au droit à la protection de la vie privée. Par ailleurs, les images et les vidéos générées par l’IA peuvent duper le public et violer les lois sur la protection des droits d’auteur. La génération de contenus factices (hallucinations) et le manque de transparence dans la prise de décisions axées sur des données figurent parmi les autres types de risques à envisager. Les systèmes d’IA peuvent aussi amplifier des partis pris sociétaux, de sorte que des clients d’une banque souhaitant obtenir du crédit ou des demandeurs d’emploi seraient ainsi susceptibles d’être victimes de discrimination.

Ces risques dépassent largement la capacité des législateurs et des autorités de réglementation d’en encadrer l’exploitation. Aux quatre coins du monde, près de 40 lois sur l’IA ont été adoptées en 2022¹, soit avant la prolifération de l’utilisation de l’IA générative, et de nouvelles mesures de réglementation de l’exploitation de cette technologie sont en voie d’être adoptées dans de nombreux pays et territoires clés, dont l’Union européenne, où la loi sur l’IA est destinée à servir de modèle mondial, dans une large mesure au même titre que le Règlement général sur la protection des données (RGPD).

Selon un sondage EY réalisé en 2023 par EI Studios, une division d’Economist Impact, l’évolution des exigences réglementaires figure au premier rang des défis auxquels font face les grandes entreprises qui envisagent d’adopter une technologie pouvant prendre en charge la gouvernance des données, l’exploitation responsable de l’IA et la cybersécurité.

De nombreuses entreprises multinationales aimeraient appliquer globalement les cadres de protection des données les plus strictes, mais elles peuvent se heurter à des conflits de juridiction. Les entreprises doivent opter pour la position la plus défensive, tout en réduisant au minimum les échanges de données transfrontaliers.

Une étude qu’EY a réalisée dans huit pays faisant figure de leaders dans la mise au point de cadres de réglementation de l’IA indique que les approches utilisées diffèrent, mais que les objectifs sont les mêmes, à savoir réduire les éventuelles répercussions négatives de l’IA, tout en en facilitant l’exploitation au bénéfice des citoyens. Ces pays appliquent tous une approche fondée sur les risques dans l’élaboration de règlements qui visent à protéger les droits de la personne, la vie privée et la sécurité des données, dans un contexte de transparence et de durabilité. Par exemple, en vertu de la loi européenne sur l’intelligence artificielle, les exploitants d’un système d’IA générative doivent divulguer les contenus qu’il génère et publier un résumé des données dont les droits d’auteur sont protégés et qui sont utilisées aux fins de son entraînement².

Néanmoins, les entreprises sont de plus en plus exposées aux risques d’atteinte à la réputation, même là où aucune loi sur l’IA n’est en vigueur. Les craintes grandissantes en matière d’IA amènent les parties prenantes à formuler de nouvelles exigences. Tout en exerçant des pressions sur les autorités de réglementation pour qu’elles interviennent plus rapidement, les sociétés d’investissement, les employés, les partenaires et les consommateurs en appellent aux entreprises pour que, de façon proactive, elles fassent une utilisation responsable de l’IA et d’autres technologies.

Les leaders mondiaux font aussi pression sur les entreprises pour qu’elles se dotent d’un cadre d’exploitation éthique de l’IA. Faisant figure de précurseur sur la scène nationale américaine en matière de réglementation de l’IA, l’administration Biden a demandé aux entreprises de s’engager délibérément à développer cette technologie de façon responsable³.Antonio Guterres, le secrétaire général de l’ONU, a exhorté les pays membres du Conseil de sécurité à entrer dans une course au développement bienveillant de l’IA⁴.Vu l’intensification des exigences de ce genre, les entreprises ne peuvent pas se permettre d’attendre que les autorités de réglementation aient rattrapé leur retard pour définir leur stratégie d’IA.

Bien que les investissements dans les technologies de soutien à la conformité augmentent, sont‑ils suffisants et stratégiques?

De plus en plus, les autorités de réglementation s’attendent à ce que les entreprises s’appuient sur des technologies évoluées pour démontrer objectivement leur conformité. Par exemple, le département de la Justice des États‑Unis incite les entreprises à recourir à l’analytique dans l’évaluation périodique de leur conformité⁵.Les procureurs prennent en compte les réticences de certaines entreprises à l’égard de l’utilisation de cette technologie.

L’analytique, l’IA et l’automatisation permettent d’améliorer considérablement la capacité de détecter les risques juridiques et les risques d’atteinte à la réputation, de les décrire (généralement de façon quantitative) et de générer des informations exploitables. Pour la plupart des entreprises, il n’est tout simplement pas envisageable de s’en remettre à des systèmes manuels.

Cela tient au fait que le volume des données sur les clients – lesquelles représentent le nerf de la guerre dans la plupart des secteurs – n’a jamais été aussi considérable et que le rythme auquel il augmente va en s’accélérant. Selon les professionnels des données que Matillion et IDG Research ont sondés en 2022, le taux moyen de croissance mensuelle du volume des données de leur entreprise s’établissait à 63 %, et celles ci provenaient de quelque 400 sources distinctes⁶.La gouvernance efficace de ces données est une exigence de base qui ne fait généralement pas l’objet d’investissements suffisants.

Près de la moitié des chefs des données sondés en 2022 ont déclaré qu’une gouvernance des données transparente et efficace faisait partie de leurs principales préoccupations⁷. Avant de procéder à des investissements technologiques, les entreprises doivent évaluer la façon dont elles gèrent les informations. Qui a accès aux données et de quel type de données s’agit‑il? Quels sont les moyens appliqués pour réduire au minimum la quantité de données utilisée, ainsi que pour en faire le suivi, les valider et les transférer? Comment les données sont‑elles protégées? Avant d’investir dans l’IA, bien des entreprises devraient sans doute consacrer plus de fonds à la gouvernance des données.

La plupart des entreprises augmentent leurs dépenses d’investissement dans des technologies de soutien au traitement des affaires juridiques et à la conformité, le sondage EI Studios qu’EY a commandé en 2023 indiquant que 87 % des entreprises investissent dans l’IA et l’apprentissage automatique. Néanmoins, la plupart des entreprises sondées consacrent moins de 10 % de leur budget informatique dans des technologies d’identification et de gestion des risques juridiques et des risques de non conformité.

Tous les investissements dans des technologies de soutien à la conformité doivent comporter un volet axé sur l’application de mesures de sauvegarde permettant d’en assurer le fonctionnement adéquat et efficace. Par exemple, l’apprentissage automatique peut aider une entreprise à détecter les tendances en matière de fraude dans ses transactions de vente ou à repérer les fournisseurs susceptibles de lui occasionner des problèmes, mais l’exploitation de données tendancieuses ou insuffisantes peut se traduire par l’obtention de faux positifs.

Les criminels tirent également parti de l’IA. Les systèmes d’IA peuvent servir à mettre au point des logiciels malveillants sophistiqués, à mettre à profit les leçons à tirer de cyberattaques infructueuses et à mettre au point des campagnes d’hameçonnage plus crédibles. Les entreprises qui ont recours à l’IA et à l’automatisation pour détecter ces cyberattaques et y répondre sont plus à même que les autres de repérer beaucoup plus rapidement les tentatives de violation de données dont elles sont victimes, ce qui, selon une étude réalisée par IBM, leur permet de réduire de près de 2 M$ US les coûts engendrés par de telles violations⁸.Malgré cela, moins de la moitié des entreprises sondées prévoyaient accroître leurs dépenses d’investissement en cybersécurité après avoir été victimes d’une intrusion dans leurs systèmes.

Les entreprises doivent aussi envisager de dépenser davantage pour leurs contrôles internes, lesquels permettent de restreindre l’accès aux données et d’assurer la conformité aux obligations de reddition de comptes. L’application de contrôles inadéquats constitue la principale menace interne signalée dans le cadre du sondage EI Studios qu’EY a commandé en 2023. L’intégration des flux de travail à des contrôles intégrés permet de réduire les erreurs et la fraude, ainsi que d’établir des tableaux de bord numériques de la performance en matière de conformité qui présentent des informations détaillées sur les principaux secteurs de risque.

Grâce à l’analytique avancée, une entreprise peut aussi intégrer la gestion des risques à la gestion de sa stratégie et de sa performance. Par exemple, suivant ce qui ressort du sondage sur les risques qu’EY a réalisé en 2023 auprès d’administrateurs des quatre coins du monde, les conseils d’administration qui s’appuient sur une analyse exhaustive de l’exposition aux risques liés à de nouveaux scénarios peuvent plus facilement déterminer si les stratégies et les modèles d’affaires de leur entreprise sont viables ou non, ce sondage ayant également révélé que ceux qui s’avèrent particulièrement résilients tirent parti efficacement des données et des technologies aux fins de la détection rapide des risques et de l’amélioration du processus décisionnel.

Établissement d’une stratégie de gestion durable des données et des technologies cadrant avec les valeurs organisationnelles fondamentales

Bien des entreprises peuvent considérer que l’exploitation responsable des technologies ne constitue pas toujours une priorité stratégique. Près de la moitié des répondants au sondage EI Studios qu’EY a commandé en 2023 ont indiqué que leur entreprise ne disposait pas d’une stratégie de protection de la confidentialité des données, s’agissant pourtant d’un domaine qui, dans la plupart des pays et territoires, fait l’objet d’une réglementation adéquate en vertu de laquelle une saine gouvernance des données doit être appliquée.

Les entreprises doivent se doter d’une stratégie et d’une vision globales de gestion éthique des technologies et des données, tout comme elles ont été nombreuses à le faire à l’égard de leur programme de durabilité. La lenteur des progrès accomplis dans ce domaine est toutefois alarmante. Selon le sondage sur les risques qu’EY a réalisé en 2023 auprès d’administrateurs du monde entier, moins du tiers des administrateurs considèrent que le conseil d’administration de leur entreprise effectue une surveillance très efficace des risques liés à la transformation numérique.

Les entreprises doivent absolument se doter d’un énoncé de mission leur permettant d’évaluer la mesure dans laquelle elles assurent une gestion efficace et défensive des technologies et des données, dans une optique cadrant avec leurs valeurs fondamentales. Par exemple, Adobe a communiqué clairement son engagement à faire progresser l’exploitation responsable des technologies axée sur la promotion des intérêts sociétaux. Dans son énoncé de principe sur l’exploitation éthique de l’IA, le fabricant de logiciels présente les mesures qu’il met de l’avant pour éviter que l’IA génère des informations tendancieuses préjudiciables et s’assurer que ses travaux cadrent avec ses valeurs⁹.

Pour sa part, Microsoft s’appuie sur une approche de création de solutions d’IA responsables et fiables qui reposent aussi bien sur des considérations d’ordre éthique que sur des perspectives de reddition de comptes¹⁰. L’entreprise exhorte les développeurs de technologies à se doter d’un organe d’examen interne ayant la responsabilité de transmettre des lignes directrices et d’assurer la surveillance des systèmes d’IA, de sorte qu’ils répondent aux exigences en matière d’inclusivité, de fiabilité, d’équité, de reddition de comptes, de transparence, de protection de la vie privée et de sécurité.

L’exploitation éthique des technologies est impossible sans la promotion d’une culture organisationnelle accordant autant d’importance à l’intégrité qu’à la génération de profits. Par exemple, le groupe Volkswagen soutient que, d’un point de vue stratégique et opérationnel, l’intégrité et la conformité sont tout aussi prioritaires que les revenus tirés des ventes, les profits, la qualité des produits et la capacité d’attraction en tant qu’employeur¹¹.

Selon une étude réalisée par IBM, le coût moyen lié aux violations de données a augmenté en 2023, s’élevant à près de 4,5 M$ US¹². Le montant des sanctions réglementaires a également augmenté, la société Meta ayant dû payer 1,2 milliard d’euros en pénalités après avoir enfreint le RGPD¹³.

Les entreprises qui aspirent à se doter d’une stratégie d’exploitation éthique et durable des technologies et des données peuvent adapter des mesures ayant déjà été appliquées dans le cadre d’autres initiatives de durabilité, notamment des mesures axées sur la protection de l’environnement et la bonne gouvernance. L’établissement de cibles et de budgets, l’évaluation de la performance et la publication de rapports sur les progrès réalisés figurent au nombre de ces mesures. La mise en œuvre d’excellentes initiatives de durabilité peut contribuer grandement à répondre aux préoccupations des parties prenantes, permettant même d’attirer des demandeurs d’emploi. 

D’ores et déjà, certaines activités de promotion de la durabilité, dont les mesures de lutte contre les changements climatiques, font partie des obligations d’information prescrites par les autorités de réglementation pour les sociétés ouvertes, qui ne peuvent plus se limiter à prendre des engagements sur une base volontaire¹⁴. Là où ce n’est pas déjà le cas, les stratégies et principes organisationnels visant l’exploitation éthique des technologies devraient se voir accorder le même niveau d’importance que celui qui est attribué aux programmes de durabilité.

Le renforcement de la confiance dans l’IA, grâce à l’application d’une approche efficace en matière de gouvernance, fait partie des cinq initiatives stratégiques que les équipes d’EY recommandent aux entreprises, de sorte qu’elles puissent maximiser le potentiel de l’IA, tout en surmontant les défis qui s’y rattachent. Voici les composantes de cette approche :

• Mise en place d’un conseil ou d’un comité responsable de l’IA, de même que des principes éthiques définissant les orientations en matière de politiques et de procédures
• Suivi de toutes les dispositions réglementaires pertinentes en vigueur et adoption de mesures visant à assurer la conformité de tous les nouveaux cas d’utilisation
• Définition des contrôles permettant de répondre aux risques émergents
• Préparation en vue de l’entrée en vigueur des mesures législatives prévues

Les leaders qui entendent privilégier l’exploitation éthique de l’IA et des autres technologies émergentes doivent veiller à ne pas tomber dans le piège de prendre des engagements en la matière auxquels ils pourraient ne pas donner suite. Ce piège a été clairement évoqué dans le sondage mondial sur l’intégrité qu’EY a réalisé en 2022 et dont il ressort que 58 % des administrateurs seraient très ou passablement inquiets si leurs décisions devaient être rendues publiques, tandis que 42 % ont signalé que leur entreprise serait disposée à tolérer des comportements contraires à l’éthique de la part de hauts dirigeants ou de cadres supérieurs affichant un bon rendement.

Nouvelles possibilités et nouveaux risques associés à l’essor de l’IA générative

Imaginez que vous avez devant vous deux portes sur lesquelles figure un écriteau différent : « Possibilité technologique » et « Risque technologique ». Quelle porte allez‑vous ouvrir d’abord? Qu’est‑ce qui compte le plus pour votre entreprise? Qu’est‑ce qui entrave votre parcours et qui ralentit votre progression?

L’IA générative rend plus difficile que jamais l’obtention d’un équilibre entre les possibilités et les risques dans la mise en œuvre d’une technologie. Son adoption généralisée en 2023 a eu pour effet d’accroître le niveau de sensibilisation au potentiel associé à tous les types d’IA, de même qu’aux lacunes qui s’y rattachent. Le public veut savoir comment il est possible d’empêcher que l’IA génère de fausses informations et des résultats tendancieux et qu’elle entraîne la suppression d’emplois.

Les grands modèles de langage, tels que ChatGPT, sont en voie de changer la donne pour les fonctions contentieux et conformité, du fait qu’ils permettent d’analyser et de synthétiser d’énormes quantités de documents. Toutefois, les professionnels hautement compétents en gestion des risques d’atteinte à la vie privée et des cyberrisques pourraient bien avoir du mal à évaluer les nouvelles menaces associées à l’exploitation de l’IA. Des avocats ont déjà fait état de causes inventées par l’IA, ce qui explique pourquoi les extrants générés doivent absolument être validés par d’autres outils intelligents et/ou par des êtres humains.

Les entreprises qui cherchent à réduire les risques liés à l’IA générative en en interdisant l’utilisation pourraient voir cette stratégie se retourner contre elles. Plus du quart des employés ayant répondu à un sondage en ligne Reuters‑Ipsos en 2023 ont affirmé utiliser régulièrement l’application ChatGPT d’OpenAI au travail, même si seulement 22 % d’entre eux sont au service d’un employeur qui en autorise explicitement l’utilisation¹⁵. Comme les entreprises qui imposent à leurs employés de n’utiliser que des solutions d’IA générative qu’elles approuvent, cela peut favoriser l’adoption de solutions de contournement. Elles doivent absolument se doter de politiques, de normes et de procédures à cet égard, quelles que soient les modalités d’accès à l’IA appliquées à l’échelle organisationnelle.

Même les entreprises qui autorisent l’utilisation de l’IA générative peuvent ne pas avoir une vue d’ensemble des modalités de son déploiement et des risques qui s’y rattachent. Une étude réalisée par le Massachussetts Institute of Technology (MIT) révèle que plus de la moitié des ratés de l’IA sont attribuables à des outils d’IA qui sont factices ou qui proviennent de tiers, de tels outils étant utilisés par 78 % des entreprises à l’échelle mondiale¹⁶.

Les entreprises qui souhaitent investir dans l’IA générative doivent se concentrer sur les problèmes qu’elles aspirent à régler et sur le rôle que les données sont appelées à jouer pour elles. L’entreprise dispose‑t‑elle des données nécessaires? Sait‑elle comment les données à sa disposition ont été générées, en connaît‑elle les limites et comprend‑elle ce qu’elles représentent? S’agit‑il de données pouvant servir à la mise au point de grands modèles de langage? L’absence d’un cadre de gouvernance des données adéquat peut engendrer une foule de risques, allant de la génération de résultats tendancieux à la perpétration de violations de données. Même dans les entreprises qui agissent selon les règles de l’art, il y a souvent une rupture dans la communication des mesures à prendre sous une forme que les dirigeants, les investisseurs, les employés et les autres parties prenantes peuvent comprendre.

En réalité, peu importe la porte que vous décidiez d’ouvrir d’abord, elle donne sur la même pièce. Les technologies émergentes qui sont susceptibles de modifier les règles du jeu seront toujours étroitement liées à une multitude de risques juridiques et de risques d’atteinte à la réputation auxquels il faudra répondre de façon stratégique.