Technologies

A Cannes, la gouvernance de l'IA reste en bas des marches

De gauche à droite, Nadia Filali, directrice innovation du groupe Caisse des dépôts, Laura Grassi, de l’Ecole polytechnique de Milan, et Prad Sharma, directeur des technologies émergentes de Citigroup, lors d’une table ronde au World AI Cannes Festival.

Les débats lors du World AI Cannes Festival, qui se tenaient la semaine dernière, soulignent le chemin qui reste à parcourir en matière de régulation des usages de l'IA en entreprise. La conformité à la législation étant loin de résumer les défis qui attendent DSI et Chief Data Officer.

PublicitéInventer la gouvernance de l'IA. C'est un des défis qui attend les entreprises, qui voient la technologie évoluer bien plus rapidement que leur capacité à en encadrer les usages, comme l'ont montré les débats lors du World AI Cannes Festival, qui se déroulait dans la ville balnéaire, les 12 et 13 février. Le tout dans un environnement réglementaire encore incertain et, surtout, fragmenté. « Les Etats-Unis, la Chine et l'Europe ont des philosophies très différentes en matière de régulation », explique Oliver Patel, responsable de la gouvernance de l'IA au sein du groupe pharmaceutique AstraZeneca. Ce dernier souligne encore que « rien d'aussi exhaustif et structuré que l'AI Act n'existe en dehors de l'Europe. » Et ce, même si les ambitions initiales du texte ont été récemment revues à la baisse.

« La France porte une vision unique d'une IA responsable, durable, au service du bien commun qui va devenir un atout compétitif », défend Anne Le Hénanff, ministre de l'IA et du numérique, qui s'exprimait en ouverture du salon cannois, à quelques jours du sommet international sur l'IA qui se tient cette semaine à New Delhi (Inde). Des visions politiques avec lesquelles se débattent les entreprises, en tout cas les multinationales. « Elles font face à des corpus réglementaires divergents », reprend Oliver Patel, qui souligne aussi que l'AI Act n'a pas créé d'effet domino dans d'autres parties du monde.

« Nous ne pouvons pas attendre la régulation »

Difficile dès lors de construire un cadre de gouvernance figé et unifié, d'autant que les frameworks publiés par des organismes comme l'OCDE ou l'Unesco ne descendent pas au niveau des règles opérationnelles. « Les multinationales ont besoin de politiques globales, associées à des mécanismes apportant de la flexibilité, pour tenir compte des besoins spécifiques à une entité. Nous devons décider des risques à prioriser tout en restant pragmatiques. Parfois le risque pris en n'adoptant pas l'IA est supérieur à celui qu'il nous fait courir », souligne Oliver Patel.

« Nous ne pouvons pas attendre une coordination et une régulation globales », abonde Lisa Bechtold, directrice de la gestion des risques de Nestlé, pour qui ces hésitations des régulateurs peuvent aussi se muer en atout, une organisation ayant ainsi une certaine marge de manoeuvre pour affirmer ses positions vis-à-vis du marché. « Si un million de labels de confiance existent, qui s'en souciera ? lance la responsable du groupe suisse. Mieux vaut dès lors se concentrer sur une standardisation globale à l'échelle de l'organisation, plutôt que sur les régulations elles-mêmes. La gouvernance de l'IA ne doit pas être vue comme un fardeau administratif, mais comme un investissement dans la sécurité. »

Gouverner des milliers d'agents ?

PublicitéSe saisir du sujet sans attendre est d'autant plus essentiel que l'arrivée des agents se traduit par une forme de délégation de l'autorité humaine à la machine sur certaines décisions. Posant de nouveaux défis en matière de gouvernance. « Tout part de la définition des risques associés à chaque agent, qui va permettre de préciser le rôle de l'humain dans sa supervision », dit Lisa Bechtold. Mais ce principe clef de la gouvernance se heurte à une question de volumes. « Certes, conserver un contrôle humain permet de prévenir les dérives des modèles et de mettre en place des validations dans des processus automatisés, dit Oliver Patel. Mais ce principe dit 'human in the loop' est bousculé avec l'IA agentique, car il ne s'applique plus pour des systèmes susceptibles de prendre des milliers de décisions par seconde. » Même préoccupation pour Lisa Bechtold, qui en plus d'une approche basée sur les risques, recommande d'investir dans la formation des collaborateurs et de mener un travail technique sur la cohérence des protocoles spécifiques aux agents. Car, pour l'heure, les praticiens en entreprises ne peuvent guère s'appuyer sur des normes ou standards internationaux, encore inexistants à l'exception d'un cadre de gouvernance tout juste publié par Singapour.

Encore une fois, les déploiements paraissent donc devancer les pratiques de gouvernance. « En 2026, si vous en êtes encore aux expérimentations, vous êtes en retard, assure Prad Sharma, le directeur des technologies émergentes de Citigroup. L'IA agentique va fonctionner 24 heures sur 24 au sein de vos systèmes ; vous devez trouver un moyen de la monitorer. » Pour cet expert, la gouvernance de cette technologie sera bien le défi de 2026. « Pour intégrer l'IA dans des usages à haut risque, vous devriez comprendre de quoi les modèles sont faits, donc comment ils sont entraînés, souligne-t-il. Et quand des modèles sont intégrés par les éditeurs dans vos outils standards, vous faites face à un autre risque. Et bientôt ce sera également le cas au coeur même des systèmes d'exploitation. Chacun de ces modèles est un point de défaillance potentiel. » Et de souligner que cette intégration des modèles d'IA - LLM en tête - par les éditeurs va soulever des questions de responsabilité, en cas de résultat inapproprié.

Tous les LLM sont biaisés

Tous ces algorithmes arrivant en entreprise pré entraînés comportent en effet, par définition, des biais. « Avec l'IA générative, vous n'êtes jamais sûr que les données d'entraînement soient représentatives, insiste Laura Grassi, professeure associée et responsable de l'observatoire Fintech & Insurtech de l'Ecole polytechnique de Milan. Le risque est d'autant plus grand que de nombreuses organisations utilisent les mêmes modèles concentrant les mêmes biais (une large majorité des données d'entraînement émanant de quelques pays). Avec des conséquences très concrètes, comme le souligne par exemple Ieshika Chandra, responsable Data Science de Walmart. Sur les sites e-commerce du distributeur, l'usage de l'IA dans la recherche a abouti à une surreprésentation des acteurs dominants (comme Nike dans les baskets) dans les résultats. Une dérive qui a poussé Walmart à se repencher sur sa data et à « intégrer davantage de fonctions d'explicabilité à la fois pour les consommateurs et les vendeurs utilisant notre plateforme, afin de renforcer la confiance en celle-ci », dit Ieshika Chandra.

Face à des modèles par nature opaques, la meilleure garantie pour les entreprises réside dans le contrôle de la data, la gouvernance de l'IA prolongeant celle de la data. « Si les données les moins sensibles peuvent être confiés à des LLM tiers, nous avons besoin de davantage de contrôle sur les informations en accès restreint, dit Prad Sharma, de Citigroup. Si vous n'avez pas classé vos données selon différents niveaux de sensibilité, vous n'êtes tout simplement pas prêts ! ». Une nécessité qui passe aussi par une sensibilisation des métiers à ces questions. C'est le pari que fait la Caisse des dépôts avec son programme Docuscore, inspiré du Nutriscore dans l'alimentaire. « L'objectif est de motiver les collaborateurs à mieux gérer les documents et l'information », résume Nadia Filali, directrice innovation du groupe public.

Des biais, mais vos biais

Les LLM sont par nature biaisés. L'enjeu n'est donc non pas d'en supprimer les biais, mais d'en ajouter. C'est en somme le message - « contrintuitif », comme il le reconnaît lui-même - de Luc Julia, ex-directeur de la stratégie scientifique de Renault parti monter une start-up (LucStunts) à l'ambition encore floue, lors du World AI Cannes Festival. « Les LLM sont majoritairement américains et répondent comme un bon étudiant américain », explique l'ingénieur, qui cite notamment le cas de l'invention de l'avion que les chatbots attribuent souvent aux frères Whright et non à Clément Ader.

Luc Julia, lors du World AI Cannes Festival, le 13 février. (Photo : R.F.)

« Espérer enlever les biais de milliards de données est illusoire. Il faut assumer au contraire d'introduire d'autres biais en injectant des données françaises, africaines, singapouriennes ou que sais-je ! » Selon lui, c'est même le contrôle de ces biais qui donne à une IA son efficacité. « Un agent, c'est justement une IA spécialisée faisant les choses correctement parce qu'elle est biaisée sur un domaine spécifique, avec des données dans lesquelles vous avez confiance », souligne Luc Julia.