Les ingénieurs en semi-conducteurs de Samsung ont collé du code source, des transcriptions de réunions et des données de rendement de puces dans ChatGPT en l'espace d'un seul mois. Seulement 37 pour cent des organisations disposent d'une politique de gouvernance digne de ce nom, alors qu'entre 78 et 86 pour cent des employés utilisent déjà des outils d'IA que leur employeur n'a jamais approuvés. Gartner a constaté que 69 pour cent des organisations soupçonnent ou ont confirmé l'utilisation non autorisée d'IA générative dans leurs murs.
Ce n'est pas un scénario de risque pour un futur conseil d'administration; c'est en train de se produire maintenant, dans votre organisation, probablement cette semaine.
L'instinct qui aggrave le problème
La plupart des dirigeants réagissent de la même façon : verrouiller, bannir ChatGPT, bloquer les URL et envoyer un courriel sévère du service juridique en espérant que le problème retourne sous terre.
Prenez l’exemple d’une entreprise de taille moyenne dont l’équipe d’approvisionnement commence à utiliser un outil gratuit de résumé par IA pour traiter des contrats fournisseurs. Personne ne l’a approuvé, personne n’a évalué où vont les données, et personne ne l’a remarqué jusqu’à ce qu’un examen de conformité révèle que des conditions tarifaires confidentielles et des ententes fournisseurs avaient été intégrées dans un modèle tiers sans politique de conservation des données. L’outil fonctionnait bien ; là n’était pas le problème. Le problème était qu’un raccourci de productivité avait créé un vide de gouvernance des données que personne ne pouvait voir, parce que l’équipe n’avait aucune alternative approuvée répondant à ses besoins réels.
L'interdiction sans habilitation produit du risque, pas de la conformité, et déplace ce risque là où vous ne pouvez plus le voir.
Pourquoi c'est de la gouvernance, pas de l'informatique
Quand un employé colle un dossier client dans un outil non approuvé, vous venez peut-être d'enfreindre la Loi 25 au Québec ou la LPRPDE au fédéral. Vous avez créé une piste décisionnelle non vérifiable. Vous avez perdu la trace de l'emplacement de ces données. Aucune règle de pare-feu ne corrige cela. Seul un changement structurel le peut.
Voici ce qui surprend la plupart des dirigeants : les organisations qui offrent des outils d'IA approuvés avec des lignes directrices claires voient l'utilisation non autorisée chuter de 89 pour cent. La grande majorité de l'IA fantôme n'est pas malveillante. Elle est pragmatique. Les gens utilisent l'outil qui fait le travail. Donnez-leur une option sanctionnée qui fonctionne réellement, et la majorité de l'ombre disparaît d'elle-même.
Ce qu'un système de gestion de l'IA vous apporte réellement
La norme ISO 42001 n'est pas une liste de vérification de conformité. C'est le système d'exploitation qui rend l'adoption de l'IA suffisamment sécuritaire pour passer à l'échelle. Un système de gestion de l'IA vous donne trois choses qui vous manquent actuellement :
- La visibilité sur les outils utilisés et comment ils le sont
- La responsabilisation pour les décisions assistées ou prises par l'IA
- Une piste documentée qui tient la route quand un régulateur, un vérificateur ou un client demande ce qui s'est passé
Vous n'avez pas besoin d'implémenter la norme entière dès le premier jour. Commencez par classer vos outils d'IA par niveaux selon l'accès aux données, cartographiez les rôles et processus qui touchent chaque niveau, enseignez à vos gens les limites dans un langage qu'ils comprennent (pas du jargon juridique), puis surveillez, ajustez et répétez.
Qui remporte la course à l'adoption
Pas l'organisation qui avance le plus vite. Celle qui construit l'échafaudage de gouvernance en premier, pour que lorsque les gens atteignent inévitablement des outils d'IA, un cadre soit déjà là pour les accueillir avec du soutien et de la structure plutôt qu'un avis de violation de politique.
L'alternative est ce que vivent la plupart des organisations en ce moment : une majorité de votre effectif utilisant des outils que vous ne voyez pas, traitant des données que vous ne pouvez pas suivre et prenant des décisions que vous ne pouvez pas auditer.
Si cela ressemble à un problème pour le prochain trimestre, revoyez le calendrier de Samsung. Il a fallu moins de trente jours à leurs ingénieurs pour exposer des secrets commerciaux. Votre horloge tourne peut-être déjà.
Pour les organisations canadiennes confrontées à un vide réglementaire après la mort de la LIAD, le cadre ISO 42001 est disponible maintenant. La seule question est de savoir si vous l'implémenterez avant ou après l'incident qui transformera la gouvernance en urgence plutôt qu'en stratégie.