Évaluation et gestion des risques liés à l'IA

État des lieux réglementaire et méthodologique

Source : Irigoyen, Javier, et al. (2026) Overview of Risk Assessment and Management for Intelligent Systems under the AI Act and BeyondarXiv.

Sommaire : L'IA Act de l'Union européenne marque le passage à une gouvernance structurée des systèmes d'IA, fondée sur trois principes : licéité, éthique et robustesse. Il impose des exigences de contrôle humain, transparence, gouvernance des données, sécurité, équité et responsabilité. Les obligations varient selon le niveau de risque, les systèmes à haut risque devant intégrer un système continu de gestion des risques, une documentation complète, une supervision humaine et des audits. À l'international, l'UE adopte une approche contraignante, tandis que le Canada, la Chine, les États-Unis, Singapour et le Royaume-Uni privilégient des modèles réglementaires différents. L'évaluation combine identification et analyse des risques techniques, éthiques, sociétaux et de cybersécurité, avec des méthodes comme l'analyse de scénarios et la méthode Delphi. Les référentiels NIST et ISO/IEC 42001-23894 fournissent un cadre opérationnel, complété par les approches AI TRiSM et ModelOps pour une surveillance continue.

L'intégration systémique de l'intelligence artificielle (IA) au sein des infrastructures de marché et des services financiers marque la fin d'une ère d'expérimentation opportuniste. L'autonomie croissante des systèmes impose une transition vers une gouvernance rigoureuse. Les défis opérationnels - qu'il s'agisse de biais algorithmiques, d'opacité décisionnelle ou de vulnérabilités cyber - exigent désormais des cadres d'évaluation robustes, portés par l'entrée en vigueur de l'IA Act de l'Union Européenne, véritable catalyseur de la conformité mondiale.

1. Les piliers de l'IA de confiance (Trustworthy AI)

La doctrine européenne, portée par le Groupe d'experts de haut niveau (AI HLEG), définit l'IA de confiance à travers trois piliers fondamentaux :

  • Licéité (Lawful) : Conformité stricte aux cadres juridiques et réglementaires nationaux et supranationaux.
  • Éthique (Ethical) : Respect des valeurs humaines et des droits fondamentaux, garantissant que la technologie sert le bien commun.
  • Robustesse (Robust) : Résilience technique et sécurité, minimisant les dommages collatéraux et les erreurs systémiques.

Pour opérationnaliser ces principes, sept exigences techniques et organisationnelles doivent être auditées tout au long du cycle de vie du système :

  1. Agence humaine et contrôle : Préservation de l'autonomie humaine via des mécanismes de « human-in-the-loop » (l'humain dans la boucle) ou « human-in-command » (le contrôle total de l'humain).
  2. Robustesse technique et sécurité : Fiabilité, reproductibilité et résilience face aux attaques adverses.
  3. Confidentialité et gouvernance des données : Intégrité des données et respect de la vie privée (alignement RGPD).
  4. Transparence : Traçabilité des processus et explicabilité des résultats ("Explainability").
  5. Diversité, non-discrimination et équité : Mitigation active des biais pour garantir l'accessibilité et l'équité.
  6. Bien-être sociétal et environnemental : Évaluation de l'impact écologique et sociétal à long terme.
  7. Responsabilité (Accountability) : Mise en œuvre de mécanismes de redevabilité et d'auditabilité des systèmes.

2. La classification des risques et obligations sous l'IA Act

L'approche européenne repose sur une hiérarchisation proportionnée du risque. Cette classification dicte le niveau de contrainte réglementaire :

  1. Risque inacceptable : Pratiques proscrites (ex: notation sociale, manipulation comportementale, identification biométrique à distance en temps réel dans l'espace public sauf exceptions).
  2. Haut risque : Systèmes impactant la sécurité ou les droits fondamentaux (recrutement, crédit, infrastructures critiques).
  3. Risque limité : Obligations de transparence (ex: chatbots, deepfakes).
  4. Risque minimal : Aucune obligation spécifique (ex: filtres anti-spam).

Obligations spécifiques pour les systèmes à "Haut Risque"

Pour un consultant en conformité, le cœur du sujet réside dans l'article 9 de l'IA Act. Les systèmes à haut risque doivent intégrer un Système de Gestion des Risques (RMS) itératif comprenant :

  • Gouvernance des données : Qualité des jeux de données d'entraînement et de test.
  • Documentation technique et archivage : Création de registres (logs) pour assurer la traçabilité.
  • Surveillance humaine : Interfaces permettant une intervention humaine efficace.
  • Évaluation de la conformité : Audits avant la mise sur le marché et surveillance post-déploiement.

3. Panorama comparatif des cadres réglementaires internationaux

Cadres Contraignants (Binding Regulations)

  • Union Européenne : L'IA Act impose des amendes massives et des évaluations de conformité strictes pour les systèmes à haut risque.
  • Canada : La Directive sur les décisions automatisées utilise l'Outil d'évaluation de l'incidence algorithmique (AIA). Ce cadre de 51 questions sur les risques et 34 sur la mitigation classe les systèmes du niveau I au IV. Le Niveau IV (ex: décisions d'immigration) exige une re-certification annuelle, un examen par les pairs externes et une transparence totale du code source.
  • Chine : Les "Interim Measures" sur l'IA générative (2023) imposent des évaluations de sécurité obligatoires et l'enregistrement des algorithmes ayant une capacité de « mobilisation sociale ».

Cadres Volontaires et Sectoriels

  • États-Unis : Le mémorandum OMB M-24-10 contraint les agences fédérales à une gestion des risques alignée sur le NIST. Pour le secteur privé, l'approche reste sectorielle (ex: la FDA pour les logiciels médicaux).
  • Singapour & Royaume-Uni : Privilégient des guides d'innovation et une approche décentralisée, encourageant les « regulatory sandboxes » (bacs à sable réglementaires).

4. Méthodologies d'évaluation : Identification et Analyse

L'évaluation se segmente en Identification (détection des dangers) et Analyse (évaluation de la probabilité et de la gravité).

Taxonomie étendue des risques (selon Slattery et al. et Uuk et al.)


Dimension 

Causale

Catégorie 

de Risque

Exemples et Impacts Systémiques

Entité / Intention

Technique

Opacité (Black Box), défaillance de robustesse, cyberattaques.

Temporalité

Discrimination

Biais historiques, toxicité, exclusion financière.

Impact Domaine

Vie privée

Fuites de données, surveillance de masse non autorisée.

Systémique

Sociétal

Érosion démocratique, concentration du pouvoir, conflits armés.

Focus Marchés Financiers : Le cadre KAIRI

Dans le contexte bancaire et financier, le cadre KAIRI (Key AI Risk Indicators) permet de traduire les exigences de l'IA Act en indicateurs quantifiables. Il lie la conformité à des mesures précises de Précision (Accuracy), d'Explicabilité et de Durabilité, essentielles pour le scoring de crédit ou la gestion d'actifs.

Techniques d'analyse avancées

Pour les systèmes critiques, le consultant doit adapter des méthodes issues des industries à haut risque (Koessler et al.) :

  • Analyse de scénarios (Scenario Analysis) : Simulation de cas limites et de mésusages.
  • Cartographie Causale (Causal Mapping) : Identification des interdépendances entre défaillances techniques et impacts sociaux.
  • Méthode Delphi : Consensus d'experts pour évaluer les risques émergents des modèles autonomes.

5. Normalisation et cadres opérationnels (ISO et NIST)

Les standards internationaux offrent les leviers d'audit nécessaires à la certification :

  • NIST AI RMF 1.0 : S'articule autour des fonctions GOVERN (culture de risque), MAP (contexte), MEASURE (métriques) et MANAGE (contrôles).
  • NIST Generative AI Profile (NIST.AI.600-1) : Indispensable pour les LLM, ce profil cible spécifiquement les risques de confabulation (hallucinations), la provenance des contenus et les protocoles de divulgation d'incidents.
  • ISO/IEC 42001 & 23894 : Références mondiales pour le management de l'IA et le traitement des risques, garantissant une interopérabilité réglementaire entre les juridictions.

6. Conclusion et perspectives de recherche

La maîtrise des risques liés à l'IA nécessite une approche interdisciplinaire fusionnant expertise technique, juridique et financière. Le déploiement de stratégies AI TRiSM (Trust, Risk and Security Management) via le ModelOps est la réponse opérationnelle à l'imprévisibilité des systèmes autonomes, permettant une surveillance continue plutôt qu'un audit statique.

Les domaines de vigilance prioritaires pour les prochaines années incluent :

  • La gestion des risques dans les modèles multimodaux (LLM/VLM).
  • La détection et la mitigation des manipulations synthétiques et deepfakes.
  • L'évaluation granulaire des biais dans des secteurs à fort impact comme la finance, la santé et l'e-learning.