Le rôle du Chief AI Officer. Leçons apprises pour la gouvernance de l’IA

Écrit par Pere Simón Castellano | Publié le
Le rôle du Chief AI Officer. Leçons apprises pour la gouvernance de l’IA
L’article traite du Chief AI Officer (CAIO) en tant que rôle fondamentalement nouveau dans la gouvernance de l’IA, en mettant en évidence ses fonctions stratégiques, telles que la supervision des systèmes d’IA, la gestion des autorisations d’utilisation et l’évaluation des risques. Le CAIO nécessite une approche holistique, non linéaire, orientée vers les systèmes et profondément intégrée à l’écosystème commercial. Leur rôle ne se limite pas à la gestion des données ou des infrastructures, mais consiste à orchestrer une vision transformatrice qui impacte tous les niveaux de l’organisation, en alignant l’innovation technologique avec la stratégie d’entreprise et les principes éthiques. Sur la base des enseignements tirés du DPO et du responsable de la conformité pénale, la nécessité pour le CAIO d’être une figure interne, dotée d’une autonomie suffisante, d’un statut juridique renforcé et d’une intégration complète dans la structure organisationnelle est défendue

La gouvernance de l’intelligence artificielle (IA) est l’un des plus grands défis auxquels les organisations sont confrontées aujourd’hui. Dans ce contexte, le Chief AI Officer (CAIO) apparaît comme une figure cruciale pour superviser l’adoption responsable des technologies de rupture.

L’intelligence artificielle (IA) s’est imposée comme un vecteur de transformation technologique et économique d’une grande pertinence, confrontant les organisations à des défis sans précédent dans la mesure où, aujourd’hui, les travailleurs, les clients, les fournisseurs, entre autres acteurs, ont déjà commencé à utiliser des outils basés sur l’IA. Le principal défi des organisations est précisément la conception et la gestion des structures de gouvernance des systèmes d’IA. Ainsi, la figure du Chief AI Officer (CAIO) s’impose comme un élément essentiel pour superviser le développement et la mise en œuvre des technologies de rupture, notamment dans des environnements où l’adoption de l’IA doit être compatible avec des principes éthiques, réglementaires et stratégiques.

1. Les organisations ont-elles vraiment besoin ou l’obligation de nommer un directeur de l’IA ?

Il n’existe pas d’obligation ex lege de désigner un responsable du traitement en tant que tel, pas même dans le règlement étendu (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des normes harmonisées dans le domaine de l’intelligence artificielle (LOI 16665/2024) (ci-après, RIA). Cependant, le marché a commencé à s’autoréguler, car il est largement impossible de gouverner l’IA sans que les personnes ne remplissent des rôles et des responsabilités en ce qui concerne le système de gestion de la technologie (1). Selon une enquête menée en août 2023 auprès de 965 responsables de départements IT (technologies de l’information) de moyennes et grandes entreprises dans le monde, 11 % avaient déjà intégré un CAIO et 21 % supplémentaires étaient en train de pourvoir ce poste (2). En plus de la tendance du marché mondial, il convient également d’ajouter l’impact attendu de la RIA (LOI 16665/2024), qui, bien qu’elle n’exige pas la désignation d’une partie responsable en tant que telle, envisage un large éventail d’obligations basées sur une approche par le risque. Des obligations et des contrôles qui doivent être mis en œuvre et supervisés par des personnes, au-delà des obligations spécifiques pour les systèmes à haut risque de l’article 14 de la RIA (LOI 16665/2024), qui exige une surveillance humaine. Tout semble donc indiquer que nous sommes face à une position ou à un chiffre qui devrait finir par se consolider tôt ou tard dans les organisations européennes à court ou moyen terme.

2. Leçons tirées de l’expérience du DPO

Sur la base des leçons apprises du délégué à la protection des données (DPO), nous analyserons les défis et les opportunités auxquels le CAIO est confronté dans son travail de supervision de la conception, de la mise en œuvre et de l’évaluation des systèmes d’IA.

Qu’est-ce que le CAIO apporte aux organisations ? Quelles sont ses fonctions ?

La trajectoire du DPO, depuis sa configuration en tant que figure partiellement obligatoire dans le cadre du RGPD et de la LOPDGDD (LOI 19303/2018), montre que les rôles de supervision et de conformité nécessitent non seulement des connaissances techniques et réglementaires, mais aussi une solide insertion dans la structure organisationnelle. L’expérience du DPD se distingue par le fait qu’elle a agi comme un catalyseur pour les processus internes de conformité, en promouvant l’adoption de politiques et de mesures qui se traduisent par une plus grande protection des droits fondamentaux dans le domaine du traitement des données personnelles.

Les principales fonctions du DPO comprennent le contrôle de la conformité, la fourniture de conseils d’experts aux organes de décision, la réalisation d’analyses d’impact et la communication avec les autorités de contrôle et les autres parties prenantes. Cet ensemble de compétences fournit un cadre opérationnel qui, avec des adaptations appropriées, peut inspirer la conception de l’IAC dans le domaine de la gouvernance de l’IA.

Le CAIO, comme le DPO, est configuré comme une figure avec des responsabilités transversales qui couvrent à la fois les dimensions techniques et réglementaires. Cependant, son champ d’action présente des particularités qui l’élargissent, en incluant non seulement la surveillance de la conformité, mais aussi des orientations stratégiques dans l’adoption et l’utilisation des systèmes d’IA.

Le CAIO doit être le garant de la conception et de la mise en œuvre des politiques internes en matière d’IA dans le respect des principes de transparence, de redevabilité et de respect des droits fondamentaux. De plus, leur intervention dans l’évaluation des risques associés à l’IA est essentielle pour anticiper et atténuer d’éventuels conflits éthiques, juridiques ou de réputation pouvant découler de l’utilisation de ces technologies.

Parmi les fonctions spécifiques du CAIO, il y a la gestion des autorisations d’utilisation des systèmes d’IA, en s’assurant que seules les technologies et les applications qui répondent aux exigences établies dans la politique d’utilisation de l’organisation sont utilisées. Ce rôle nécessite une veille constante des évolutions technologiques et une capacité à communiquer efficacement avec les différents départements de l’organisation.

Devrait-il s’agir d’un rôle permanent ?

Le fait que le CAIO doive être un rôle permanent ou temporaire dépend, dans une large mesure, de la nature de l’organisation et du rôle qu’elle joue dans l’écosystème de l’IA. Pour les entreprises de développement d’IA, dont l’activité principale consiste à concevoir et commercialiser des systèmes algorithmiques, la permanence de ce chiffre semble nécessaire, au moins le temps qu’un cadre de gouvernance suffisamment robuste soit consolidé.

D’autre part, pour les organisations qui se limitent à utiliser des systèmes d’IA développés par des tiers, le CAIO pourrait prendre un caractère transitoire, en assumant des fonctions spécifiques liées à la définition et à la supervision des politiques internes d’utilisation de l’IA. Cette flexibilité permet d’adapter la structure organisationnelle aux besoins changeants de l’environnement réglementaire et technologique.

Indépendance ou autonomie ? Reporting et relations avec la direction générale

L’indépendance du CAIO ne peut pas être interprétée comme un détachement de la structure organisationnelle, mais comme une garantie que son action sera exempte d’ingérence indue. Dans le même temps, une relation fluide avec la direction doit être assurée, afin que le CAIO puisse rendre compte régulièrement des progrès, des risques et des mesures prises dans le domaine de l’IA. Ce reporting, aligné sur le principe du ton au sommet, est essentiel pour consolider un engagement stratégique en faveur d’une gouvernance éthique et responsable de l’IA.

Composition. Organisme unipersonnel ou collégial

L’expérience du DPO soulève également le débat sur la question de savoir si ce type de fonction doit être attribué à une personne seule ou à un corps collégial. Bien que la concentration des responsabilités entre les mains d’une seule personne facilite la clarté dans la prise de décision, elle peut également générer une surcharge de travail qui limite leur efficacité. D’autre part, un modèle collégial permet d’intégrer des perspectives diverses, mais risque de ralentir les processus décisionnels.

Un modèle hybride, où le CAIO joue le rôle de coordonnateur au sein d’un comité de gouvernance de l’IA, pourrait offrir le bon équilibre entre agilité opérationnelle et pluralité des approches.

Un statut juridique renforcé. Protéger les responsables de la conformité et les responsables des systèmes de gestion

Pour assurer l’efficacité de la CAIO, il est essentiel de lui doter un statut juridique renforcé qui protège son indépendance fonctionnelle et lui donne les ressources nécessaires à l’exercice de ses responsabilités. Ce statut doit comporter des garanties contre d’éventuelles représailles internes, ainsi que des mécanismes garantissant leur accès à l’information et leur participation aux processus décisionnels les plus pertinents.

Une figure interne face à l’absurdité de l’externalisation du DPO

L’expérience accumulée avec la figure du DPO a mis en évidence les défis importants liés à l’externalisation de fonctions essentielles pour la gouvernance organisationnelle. Bien qu’il ait été admis dans la pratique que le DPO puisse être un consultant externe, cela s’est avéré, dans de nombreux cas, contre-productif et son utilité limitée. Ces mêmes leçons s’appliquent au débat sur le CAIO, car l’externalisation des rôles clés de la conformité introduit une déconnexion structurelle entre le responsable de la conformité et le fonctionnement interne de l’organisation. Une figure extérieure manque, de par sa nature, de l’immersion quotidienne nécessaire pour comprendre les dynamiques, les risques et les particularités de chaque domaine organisationnel. Raisons qui sous-tendent la décision du Bureau du Procureur général en Espagne dans sa circulaire 1/2016, relative à la responsabilité pénale des personnes morales, dans laquelle il est interprété que la figure du responsable de la conformité doit être interne, en raison de la nécessité pour cette personne d’avoir une connaissance exhaustive des processus internes et d’être en interaction constante avec les différents départements de l’organisation. Le Bureau du Procureur souligne que la nomination d’un responsable interne de la conformité favorise une supervision plus efficace et une véritable intégration du système de conformité dans la structure et la culture de l’entreprise.

3. Les conclusions

Le CAIO se positionne comme une figure clé pour s’assurer que les organisations font face aux défis de l’IA avec une approche éthique et stratégique alignée sur les standards internationaux. Les enseignements tirés de DPO constituent une base solide pour conceptualiser ce rôle, mais ils doivent être adaptés aux particularités de l’IA, une technologie dont la complexité et le potentiel de transformation nécessitent de nouvelles approches de gouvernance.

La figure du CAIO répond non seulement à un besoin réglementaire, mais représente également une opportunité pour les organisations de mener la transition vers un modèle d’innovation technologique responsable et durable.

(1)
Voir, par exemple, la section 5.3 de la norme ISO/IEC 42001:2023.
Voir le texte
(2)
Voir Wade, M., Lagodny, A., Andersen, A., Avelines, C., et Plueckebaum, A. (2024). Avez-vous vraiment besoin d’un directeur de l’IA ? MIT Sloan Management Review, 66(1), p. 62-66. Disponible en https://www.proquest.com/scholarly-journals/do-you-really-need-chief-ai-officer/docview/3102529056/se-2
Voir le texte
Pere Simón Castellano
Professeur de droit constitutionnel à l’Université internationale de La Rioja (UNIR)
Associé chez Font Advocats