Guide de l’OCDE sur le devoir de diligence à l’appui d’une IA responsable

Terme tel qu'il est employé dans les normes et les rapports de l’OCDE mentionnés dans le présent guide

La définition d’un système d’IA est tirée de la Recommandation de l’OCDE sur l’IA qui a été mise à jour en 2023 (OCDE, 2024[6]). D’après la recommandation, un système d’intelligence artificielle est un système automatisé qui, pour des objectifs explicites ou implicites, déduit, à partir d’entrées reçues, comment générer des résultats en sortie tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels. Différents systèmes d’IA présentent des degrés variables d’autonomie et d’adaptabilité après déploiement.

Le raisonnement qui sous-tend cette définition est expliqué en détail dans un exposé des motifs publié par l’OCDE (2024[2]).

Terme tel qu’il est employé dans d’autres cadres de gestion des risques

La loi européenne sur l’IA, le cadre de gestion des risques du NIST américain, le guide de l’ASEAN et la Convention du Conseil de l’Europe soit adoptent directement la définition de la Recommandation de l’OCDE sur l’IA, soit y font référence, soit ne s’en écartent que légèrement.

Différences terminologiques et application aux fins du présent guide

Aux fins du présent guide, on entend par système d’IA la définition utilisée dans la Recommandation de l’OCDE sur l’IA.

Terme tel qu'il est employé dans les normes et les rapports de l’OCDE mentionnés dans le présent guide

Le cadre d’interopérabilité décrit cette étape du processus comme la découverte de risques, l’analyse des mécanismes par lesquels ces risques sont susceptibles de se produire ainsi que l’évaluation de leur gravité et de la probabilité qu'ils surviennent.

Le Guide de l’OCDE sur le devoir de diligence utilise ces mêmes termes de façon très similaire, mais recommande aussi aux entreprises d’évaluer comment elles sont liées ou comment elles contribuent aux impacts causés par leurs relations d’affaires. Cette étape comprend aussi le processus de hiérarchisation des risques, dans lequel les entreprises définissent leurs priorités d’action face aux risques et aux impacts les plus importants, en fonction de leur gravité et de la probabilité qu’ils surviennent.

Terme tel qu’il est employé dans d’autres cadres de gestion des risques

D’autres cadres de gestion des risques, comme celui du NIST, les normes ISO 31000, IEEE 7000-21 et le Guide ISO/CEI 51, désignent cette étape du processus par les actions consistant soit à mesurer, soit à évaluer. Aux termes du cadre de gestion des risques du NIST, mesurer les risques passe notamment par l’utilisation d’indicateurs pour les caractéristiques fiables et l’impact social, ce qui permet de suivre leur évolution.

Les Principes directeurs des Nations Unies sont en phase avec les Principes directeurs EMN et le Guide de l’OCDE sur le devoir de diligence (voir les Principes 17 et 24).

Différences terminologiques et application aux fins du présent guide

Ces instruments emploient les termes de façon similaire, mais avec des champs d’application légèrement différents. Par exemple, l’évaluation peut porter sur des objectifs de fiabilité, sur la nature du lien avec l’impact (par exemple, l’entreprise en est la cause, y contribue ou y est directement associée), ou sur les risques pour l’entreprise. Aux fins du présent guide, le terme « ÉVALUER » peut englober toutes ces dimensions.

Terme tel qu'il est employé dans les normes et les rapports de l’OCDE mentionnés dans le présent guide

Le cadre d’interopérabilité* recommande de « Définir » le périmètre et le contexte d’un système d’IA ainsi que les critères d’évaluation des risques, par exemple au niveau de la gouvernance, au niveau des processus et/ou au niveau technique.

Le terme équivalent utilisé dans le Guide de l’OCDE sur le devoir de diligence est « Identifier » ; il correspond en substance à un vaste exercice de cadrage visant à recenser tous les domaines de l’entreprise, pour l’ensemble de ses activités, de ses produits et de ses services, ainsi que les relations dans lesquelles les risques sont le plus susceptibles de se présenter et d’être importants.

Termes tels qu’ils sont employés dans d’autres cadres de gestion des risques

D’autres cadres de gestion des risques, comme celui du NIST et la norme ISO 31000, désignent ce processus par les termes « cartographie » et « cadrage ».

De même que le cadre d’interopérabilité, le cadre de gestion des risques du NIST propose des recommandations spéciales sur les éléments à cartographier, par exemple, la finalité et les utilisations du système d’IA, les risques liés aux composantes du système d’IA, notamment son logiciel et les données qu’il utilise, ainsi que ses impacts sur les individus, les groupes et la société.

Les Principes directeurs des Nations Unies sont en phase avec les Principes directeurs EMN et le Guide de l’OCDE sur le devoir de diligence (voir le Principe 15).

Différences terminologiques et application aux fins du présent guide

Différents instruments utilisent les termes « définir », « identifier » et « cartographier » pour désigner de façon générale le même ensemble d’actions. Il semble que la fonction « CARTOGRAPHIER » du cadre de gestion des risques du NIST soit la plus explicite et la plus applicable aux systèmes d’IA. De même, tous les cadres de gestion des risques décrivent le processus consistant à « Définir » (ou « Identifier » / « Cartographier ») comme une étape distincte du processus de gestion des risques qui constitue une base essentielle pour évaluer les risques et les impacts. Aux fins du présent guide, on considère que le terme « DÉFINIR » englobe toutes ces dimensions.

Terme tel qu'il est employé dans les normes et les rapports de l’OCDE mentionnés dans le présent guide

Dans les Principes directeurs EMN, on entend par devoir de diligence le processus qui, en tant que partie intégrante de leurs systèmes de prise de décisions et de gestion des risques, permet aux entreprises d’identifier, de prévenir et d’atténuer les impacts négatifs, réels ou potentiels, de leurs activités, ainsi que de rendre compte de la manière dont elles abordent cette question. Les Principes directeurs EMN prévoient les mesures suivantes dans le cadre d’un processus de devoir de diligence : 1) intégrer la conduite responsable des entreprises dans les politiques et les systèmes de gestion ; 2) identifier et évaluer les impacts négatifs réels et potentiels des activités, produits ou services des entreprises ; 3) faire cesser, prévenir et atténuer les impacts négatifs ; 4) assurer le suivi de la mise en œuvre et des résultats des actions déployées ; 5) rendre compte de la manière dont ces incidences sont gérées ; et 6) remédier aux effets négatifs ou participer aux efforts pour y remédier.

Terme tel qu’il est employé dans d’autres cadres de gestion des risques

Les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme, élaborés parallèlement à la mise à jour de 2011 des Principes directeurs EMN, sont en phase avec ces derniers en ce qui concerne le devoir de diligence. Ils définissent en effet le devoir de diligence comme un processus consistant « à évaluer les incidences effectives et potentielles sur les droits de l’homme, à regrouper les constatations et à leur donner une suite, à suivre les mesures prises et à faire savoir comment il est remédié à ces incidences » (OCDE, 2023[17]). De même, les Principes directeurs des Nations unies étendent aussi les exigences requises en matière de diligence raisonnable aux incidences dont les entreprises sont à l’origine ou auxquelles elles contribuent ou elles sont directement liées par le biais de leurs relations d’affaires.

D’autres cadres de gestion des risques mentionnent ou adaptent le plus souvent la définition de la « gestion des risques » de la norme ISO 31000 pour désigner des processus similaires ou en lien avec les exigences requises en matière de diligence raisonnable qui sont énoncées dans les Principes directeurs EMN. La norme ISO 31000 définit la gestion des risques comme les « activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque ».

Différences terminologiques et application aux fins du présent guide

Les notions relatives au devoir de diligence sont en général concordantes dans les différents cadres. La principale différence entre les termes employés est la référence explicite, dans les Principes directeurs EMN et les Principes directeurs des Nations unies, au devoir de diligence au regard des relations d’affaires des entreprises, celui-ci n’étant pas limité à leurs activités, produits et services. Aux fins du présent guide, le devoir de diligence peut être compris dans son acception la plus large utilisée dans les Principes directeurs EMN / le Guide de l’OCDE sur le devoir de diligence et les Principes directeurs des Nations unies, laquelle englobe la gestion des risques liés aux activités, produits et services d’une entreprise, ainsi qu’à ses relations d’affaires.

Terme tel qu'il est employé dans les normes et les rapports de l’OCDE mentionnés dans le présent guide

On entend par « surveillance et examen » une activité continue visant à vérifier les risques et les mesures prises pour les traiter.

Le terme équivalent employé dans le Guide de l’OCDE sur le devoir de diligence est « suivi ». Plus précisément, « assurer le suivi » de la mise en œuvre, de l’efficacité et des résultats des activités de diligence raisonnable (c’est-à-dire les mesures visant à identifier, prévenir et atténuer les impacts négatifs et à y remédier), y compris dans le cadre de relations d’affaires. Le suivi est effectué à intervalles réguliers et peut prendre la forme d’audits indépendants réalisés par un organisme tiers.

Terme tel qu’il est employé dans d’autres cadres de gestion des risques

D’autres cadres font référence de façons similaires aux actions de surveiller et d’examiner. Dans certains cas, il s’agit d’une étape distincte du processus de diligence raisonnable (par exemple, dans la norme ISO 31000) et, dans d’autres, il s’agit d’une partie d'une étape plus vaste axée sur la gouvernance interne (par exemple, dans le cadre de gestion des risques du NIST).

Les Principes directeurs des Nations Unies sont en phase avec les Principes directeurs EMN et le Guide de l’OCDE sur le devoir de diligence (voir les Principes 17 et 20).

Différences terminologiques et application aux fins du présent guide

En règle générale, les concepts sont équivalents dans les différents cadres.

Terme tel qu'il est employé dans les normes et les rapports de l’OCDE mentionnés dans le présent guide

Les instruments de l’OCDE relatifs à la conduite responsable des entreprises (CRE) décrivent les impacts négatifs ou les impacts négatifs potentiels (c’est-à-dire les risques) au regard des thèmes couverts dans les chapitres des Principes directeurs EMN : les droits humains, y compris les travailleurs et les relations professionnelles, l’environnement, la corruption sous toutes ses formes, la publication d’informations et les intérêts des consommateurs. Les Principes directeurs EMN évoquent le risque comme la probabilité que les entreprises aient des impacts négatifs sur les personnes, l’environnement et la société, y contribuent ou y soient directement associées. En d’autres termes, il s’agit d’une approche du risque tournée vers l’extérieur.

La probabilité des impacts négatifs augmente dans les situations où le comportement d’une entreprise ou les circonstances associées à ses chaînes d’approvisionnement ou à ses relations d’affaires ne sont pas conformes aux recommandations des Principes directeurs EMN. Cette probabilité existe aussi quand un comportement potentiel n’est pas conforme à ces recommandations du fait qu’il risque d’avoir des effets négatifs à l’avenir.

Dans le cadre d’un axe de travail distinct, mais connexe, sur la surveillance des incidents liés à l’IA, le Réseau d’experts de l’OCDE s’emploie à élaborer une définition des incidents et des dangers liés à l’IA (OCDE, 2024[34]), lesquels sont définis comme suit :

Un incident lié à l’IA désigne un événement, une circonstance ou une série d’événements où le développement, l’utilisation ou le dysfonctionnement d’un ou de plusieurs systèmes d’IA entraîne, de manière directe ou indirecte, l’un des préjudices suivants : (a) blessure ou atteinte à la santé d’une personne ou d’un groupe de personnes ; (b) perturbation de la gestion et du fonctionnement d’infrastructures critiques ; (c) violations des droits humains ou inexécution d’obligations en vertu de la législation applicable visant à protéger les droits des travailleurs et les droits de propriété intellectuelle ; (d) dommages aux biens, à la collectivité ou à l’environnement.

Un danger lié à l’IA désigne un événement, une circonstance ou une série d’événements où le développement, l’utilisation ou le dysfonctionnement d’un ou de plusieurs systèmes d’IA pourrait vraisemblablement conduire à un incident lié à l’IA, c’est-à-dire à l’un des préjudices suivants : a) blessure ou atteinte à la santé d’une personne ou d’un groupe de personnes ; b) perturbation de la gestion et du fonctionnement d’infrastructures critiques ; c) violations des droits humains ou inexécution d’obligations en vertu de la législation applicable visant à protéger les droits des travailleurs et les droits de propriété intellectuelle ; ou d) dommages causés aux biens, à la collectivité ou à l’environnement.

Termes tels qu’ils sont employés dans d’autres cadres de gestion des risques

Aux fins de la loi européenne sur l’IA, le risque est défini comme « la combinaison de la probabilité d’un préjudice et de la sévérité de celui-ci » (Union européenne, 2024[14]), le terme « préjudice » étant entendu comme une atteinte aux intérêts publics et aux droits fondamentaux protégés par le droit de l’Union européenne (UE). Le préjudice causé peut être matériel ou immatériel, y compris physique, psychologique, sociétal ou économique.

Le cadre de gestion des risques du NIST américain adopte la même approche que la norme ISO 31000 et définit le risque comme pouvant être à la fois positif et négatif (US National Institute of Standards and Technology, 2023[35]) (ISO, 2018[36]). Il désigne en effet le risque comme la mesure composite de la probabilité qu’un événement se produise et de l’ampleur ou du degré de ses conséquences. Les impacts, ou les conséquences, des systèmes d’IA peuvent être positifs, négatifs, ou les deux, et peuvent donner lieu à des opportunités ou des menaces.

Différences terminologiques et application aux fins du présent guide

La définition du risque dans les Principes directeurs EMN est plus large en ce qu’elle inclut les impacts que les entreprises peuvent causer ou auxquels elles contribuent ou sont directement liées. En substance, cette définition des risques et des impacts s’étend au-delà des activités propres aux entreprises pour inclure les risques et les impacts associés à leurs relations d’affaires dans la chaîne de valeur. Le périmètre des risques couverts varie également selon les cadres.

Aux fins du présent guide, le risque correspond à la définition qui figure dans les Principes directeurs EMN puisqu’elle inclut les incidents et les dangers liés à l’IA, mais elle est plus large aux fins du devoir de diligence dans la chaîne de valeur. S'il y a lieu, par souci de précision, le guide fait référence aux incidents et aux dangers.

Terme tel qu'il est employé dans les normes et les rapports de l’OCDE mentionnés dans le présent guide

La Recommandation de l’OCDE sur l’IA définit les parties prenantes comme l’ensemble des organisations et des individus intervenant dans les systèmes d’IA ou concernés par ces systèmes, que ce soit directement ou indirectement.

Aux termes des Principes directeurs EMN, les parties prenantes concernées sont les personnes ou les groupes, ou leurs représentants mandatés, dont les droits ou les intérêts en lien avec les domaines visés par les Principes directeurs EMN sont ou peuvent être lésés par des impacts négatifs liés aux activités, produits ou services de l’entreprise.

Terme tel qu’il est employé dans d’autres cadres de gestion des risques

D’autres cadres emploient l’expression « parties prenantes » pour désigner de façon générale des organisations ou des individus. Dans différents contextes, les « parties prenantes concernées » désignent le plus souvent les utilisateurs du système d’IA, la société civile, les représentants des travailleurs, les PME ou d’autres entreprises.

Différences terminologiques et application aux fins du présent guide

Aux fins du présent guide, les parties prenantes devraient être comprises dans leur acception la plus large, c’est-à-dire comme les personnes, groupes ou organisations participant à des systèmes d’IA ou en subissant les répercussions, ainsi que les entreprises associées à leur développement et leur utilisation.

Terme tel qu'il est employé dans les normes et les rapports de l’OCDE mentionnés dans le présent guide

Le cadre d’interopérabilité définit le « traitement du risque » comme le recours à des techniques destinées à prévenir, atténuer ou stopper les risques, en fonction de leur probabilité et de leur impact.

Les recommandations de l’OCDE en matière de devoir de diligence adoptent une approche similaire du traitement du risque, mais précisent les types de mesures à prendre, en fonction de la responsabilité de l’entreprise (c’est-à-dire si elle en est à l’origine, si elle y a contribué ou si elle y a été directement liée). Il est attendu des entreprises qu’elles fassent cesser les risques et impacts identifiés, qu’elles les préviennent et/ou qu’elles les atténuent.

Lorsqu’une entreprise contribue à un impact ou y est directement liée dans le cadre d’une relation d’affaires, elle devrait s’efforcer, dans la mesure du possible, d’user de son influence, seule ou en collaborant avec d’autres, pour opérer un changement.

Lorsqu’une entreprise est à l’origine d’effets négatifs ou y a contribué, elle est censée y remédier ou participer aux efforts pour y remédier (voir plus loin l’analyse plus approfondie).

Terme tel qu’il est employé dans d’autres cadres de gestion des risques

Le cadre de gestion des risques du NIST fait référence au traitement du risque dans sa fonction GÉRER comme les plans pour intervenir et redresser la situation en cas d’incidents ou d’événements, et pour rendre compte de la façon dont ils sont gérés. Bien qu’il emploie une terminologie différente, l’ensemble des actions relevant de cette fonction correspond de façon générale aux recommandations de l’OCDE en matière de devoir de diligence. Parmi les actions requises figurent la hiérarchisation des risques et l’affectation de ressources à la gestion des risques, la collaboration avec les parties prenantes concernées, ainsi que le suivi et la documentation en continu des initiatives de gestion des risques. Le cadre de gestion des risques du NIST précise en outre que, pour faire face aux risques, les actions possibles peuvent notamment consister à les atténuer, les transférer, les éviter ou les accepter.

Différences terminologiques et application aux fins du présent guide

Aux fins du présent guide, le terme « traiter » peut être compris comme le fait de stopper, de prévenir ou d’atténuer les risques dont les entreprises sont à l’origine, auxquels elles contribuent ou auxquels elles sont directement liées dans le cadre de leurs relations d’affaires.