Guide de la gouvernance de l’IA pour les organisations canadiennes — cours gratuit
Qu'est-ce que la gouvernance de l'IA?
Qu'est-ce que la gouvernance de l'IA?
La gouvernance de l'IA est l'ensemble des politiques, des rôles, des processus et des contrôles qu'une organisation met en place pour s'assurer que les systèmes d'IA qu'elle conçoit, achète ou utilise sont sûrs, licites, équitables et conformes à ses propres valeurs et obligations. Elle répond à une question simple à laquelle la plupart des organisations sont aujourd'hui incapables de répondre : *quels systèmes d'IA utilisons-nous, qui en est responsable, qu'est-ce qui pourrait mal tourner, et qui est imputable lorsque cela arrive?*
La gouvernance n'est pas un simple document ni une case à cocher en matière de conformité. C'est la discipline opérationnelle qui se situe entre les personnes qui veulent déployer l'IA rapidement et les risques qui l'accompagnent — biais, exposition de la vie privée, résultats hallucinés, décisions opaques, dépendance envers les fournisseurs et responsabilité réglementaire. Bien menée, elle permet à une organisation d'avancer plus vite avec l'IA *parce que* les garde-fous sont clairs.
Gouvernance, protection de la vie privée et sécurité
Les équipes présument souvent que leurs programmes existants de protection de la vie privée et de sécurité couvrent déjà l'IA. Ils en couvrent une partie, mais l'IA introduit des risques que ces programmes n'ont jamais été conçus pour gérer.
| Discipline | Question centrale | Ce qu'elle omet à propos de l'IA |
|---|---|---|
| Gouvernance de la vie privée | Traitons-nous les renseignements personnels de façon licite? | Les risques d'IA sans lien avec les données personnelles — un agent de soutien qui hallucine, un modèle de classement biaisé entraîné sur des données non personnelles |
| Gouvernance de la sécurité | Nos données et notre infrastructure sont-elles protégées contre les attaquants? | Les risques liés au comportement du modèle — un modèle exact et sécurisé qui produit des décisions discriminatoires ou inexplicables |
| Gouvernance de l'IA | Nos systèmes d'IA sont-ils adaptés à leur usage, équitables, transparents, supervisés et imputables tout au long de leur cycle de vie? | Rien — mais elle dépend de la protection de la vie privée et de la sécurité comme intrants |
Les trois se recoupent largement. Un outil d'IA de recrutement soulève des questions de vie privée (données des candidats), des questions de sécurité (qui peut accéder au modèle) *et* des questions propres à la gouvernance (le modèle discrimine-t-il des groupes protégés, un candidat rejeté peut-il obtenir une révision humaine, pouvez-vous expliquer pourquoi il a mal noté une personne). Seul le troisième ensemble est propre à la gouvernance de l'IA, et ce sont généralement les questions dont personne n'assume la responsabilité.
Le cycle de vie de l'IA
La gouvernance de l'IA s'applique à l'ensemble du cycle de vie d'un système, et non seulement à son lancement. Le risque apparaît à chaque étape.
- 1Conception et design — définir le problème, décider si l'IA est même le bon outil, fixer les limites d'usage acceptable
- 2Collecte et préparation des données — se procurer les données d'entraînement ou d'ancrage, vérifier le consentement et la provenance, tester la représentativité
- 3Développement ou sélection du modèle — bâtir un modèle, en peaufiner un, ou choisir un fournisseur / modèle de fondation
- 4Validation et essais — exactitude, tests de biais et d'équité, mise à l'épreuve (red-teaming), examen de sécurité
- 5Déploiement — intégration dans un processus d'affaires, définition de la supervision humaine et de la divulgation aux personnes concernées
- 6Exploitation et surveillance — surveiller la dérive, la dégradation, les usages abusifs et les préjudices émergents en production
- 7Retrait — mettre un modèle hors service, gérer ses données et conserver les dossiers
Un modèle équitable et exact au lancement peut dériver discrètement à mesure que le monde évolue autour de lui. Une gouvernance qui s'arrête au déploiement passe à côté de la majeure partie du risque réel.
Pourquoi la gouvernance de l'IA existe maintenant
Trois choses se sont produites à peu près en même temps. L'IA générative a rendu des systèmes puissants accessibles à tout employé muni d'un navigateur : l'adoption de l'IA a donc cessé d'être un projet informatique encadré pour devenir une réalité présente simultanément dans chaque service. Les autorités réglementaires du monde entier ont commencé à rédiger des règles propres à l'IA. Et une série d'échecs très médiatisés — outils de recrutement biaisés, arrestations injustifiées découlant de la reconnaissance faciale, agents conversationnels inventant des faits avec aplomb — a rendu les enjeux de réputation concrets.
Résultat : les organisations assument désormais un risque d'IA important, qu'elles aient choisi ou non de le gérer. La gouvernance n'est rien d'autre que la décision de le gérer délibérément plutôt que de le découvrir au moment d'un incident.
Ce que produit réellement une bonne gouvernance
Un programme de gouvernance de l'IA opérationnel produit une poignée de livrables concrets : un inventaire vivant des systèmes d'IA, une cote de risque pour chacun d'eux, un ensemble de politiques que les gens suivent réellement, une responsabilité claire, des évaluations d'incidence documentées pour les systèmes à risque plus élevé et une routine de surveillance. Le reste de ce cours construit chacun de ces éléments à tour de rôle.
Quiz du module
1. Quelle est la meilleure description de la gouvernance de l'IA?
2. Quel risque est propre à la gouvernance de l'IA plutôt qu'aux programmes traditionnels de protection de la vie privée ou de sécurité?
3. Pourquoi la gouvernance de l'IA s'applique-t-elle à l'ensemble du cycle de vie plutôt qu'au seul lancement?
Tous les modules
Rédigé et tenu à jour par Vivek Chakravarthy, fondateur de Canuckt.
Articles connexes
Approfondissez avec ces analyses du blogue Canuckt.
La Loi européenne sur l'IA pour les PME canadiennes : quand elle s'applique vraiment à vous
La plupart des PME canadiennes voient la Loi européenne sur l'IA comme un problème européen. Voici précisément quand elle traverse l'Atlantique jusqu'à une entreprise de Halifax ou de Calgary — et quoi faire à ce sujet.
LireLe Règlement européen sur l'IA s'applique-t-il à mon entreprise canadienne ? Guide de décision 2026
Vous n'avez pas besoin d'un bureau en Europe pour que le Règlement européen sur l'IA vous atteigne. Si votre IA touche des personnes dans l'UE, ou si son résultat y aboutit, vous pourriez être visé. Voici un guide de décision conçu pour les entreprises canadiennes.
LireCe que la décision du CPVP sur ChatGPT signifie pour votre entreprise canadienne
Les autorités fédérale et provinciales de protection de la vie privée du Canada ont conclu qu'OpenAI a recueilli des renseignements personnels sans consentement valide et n'offrait aux personnes aucun moyen réel de les corriger ou de les supprimer. Voici ce que cette décision sur ChatGPT change réellement pour une entreprise qui utilise l'IA.
LirePourquoi les outils de détection à code source ouvert comme Presidio ne suffisent pas pour la conformité canadienne
Presidio est un outil à code source ouvert bien conçu. Il est aussi centré sur les États-Unis, exige une configuration importante pour les identifiants canadiens et fait reposer toute la charge de conformité sur votre équipe d'ingénierie.
Lire