Ce chapitre présente le concept du devoir de diligence pour une conduite responsable des entreprises (CRE) et fournit une vue d’ensemble des dispositifs de gestion des risques liés à l’IA. Il décrit également le public visé et comment ce guide doit être utilisé pour s’y naviguer parmi les différents cadres de gestion des risques existants.
Guide de l’OCDE sur le devoir de diligence à l’appui d’une IA responsable
Description
Le développement de l’IA présente le potentiel de transformer la société sous des formes comparables à la révolution industrielle ou à l’arrivée de l’internet. L’IA représente non seulement une source progressive de progrès, mais aussi une technologie porteuse de transformations, capable d’accroître la productivité, de créer de la valeur économique et de résoudre des problèmes complexes dans des secteurs variés comme la santé, l’industrie manufacturière, la logistique et l’administration publique. Pour pouvoir tirer parti de ces avantages potentiels, l’OCDE propose une approche équilibrée, celle d’une IA responsable qui amplifie les possibilités offertes par cette technologie et crée les conditions lui permettant de devenir plus rentable, innovante et compétitive, tout en limitant les risques d’impacts négatifs.
L’IA responsable dépend aussi bien des fournisseurs de données, des financements et des infrastructures matérielles que de l’innovation numérique. Les Principes directeurs à l’intention des entreprises multinationales sur la conduite responsable des entreprises (« Principes directeurs EMN ») (OCDE, 2023[1]) et la Recommandation sur l’intelligence artificielle (« Recommandation sur l’IA » ou « Principes sur l’IA », selon les cas) (OCDE, 2024[2]) de l’OCDE mettent également l’accent sur la responsabilité de l’ensemble des entreprises intervenant dans le développement et l’utilisation de systèmes d’IA. Cette approche globale conférera à la chaîne de valeur de l’IA une plus grande sécurité et résilience, ainsi qu’une résistance accrue face aux bouleversements et perturbations des chaînes d’approvisionnement.
Un aspect essentiel de l’IA responsable est que son développement et son utilisation devraient s’appuyer sur l’engagement des parties prenantes et placer les travailleurs au cœur des préoccupations. La technologie doit être envisagée comme un moyen d’améliorer les capacités humaines et non comme un substitut à la main-d’œuvre humaine. En s’appuyant sur l’engagement constructif des travailleurs et d’autres parties prenantes, les entreprises peuvent orienter l’IA vers des applications qui complètent le travail de l’être humain plutôt que de l’automatiser à ses dépens.
Le fait d’anticiper les effets néfastes pouvant être causés par les systèmes d’IA crée un climat de confiance qui peut considérablement accélérer la croissance du marché et l’investissement. Lorsque les entreprises prennent l’engagement de développer et d’utiliser une IA responsable – en appliquant les bonnes pratiques décrites dans ce guide et dans d’autres instruments de l’OCDE –, elles inspirent confiance aux investisseurs, aux clients, aux autorités de réglementation et aux décideurs publics. Cette confiance se traduit par un avantage concurrentiel. Les entreprises dont la réputation est d’avoir des pratiques responsables peuvent accéder plus rapidement aux marchés financiers, nouer des relations d’affaires de qualité supérieure et se repérer plus facilement dans la jungle réglementaire. Loin de freiner l’innovation, l’IA responsable peut en fait accélérer la croissance en réduisant les frictions et en prévenant les coûteux dommages sociétaux et atteintes à la réputation qui pourraient sinon se produire.
L’IA responsable et digne de confiance est en train de devenir de plus en plus importante pour accéder aux marchés mondiaux à mesure que les cadres réglementaires internationaux évoluent. Les entreprises qui intègrent de façon proactive la prévention des dommages dans leurs processus de développement et d’adoption de l’IA acquièrent ainsi une position avantageuse dans le contexte d’expansion transfrontière. Cela peut leur éviter les coûts élevés liés à l’ adaptation de leurs systèmes aux diverses exigences régionales. Cette approche tournée vers l’avenir peut transformer ce qui pourrait être perçu comme des coûts de mise en conformité en investissements stratégiques rentabilisés grâce à un accès étendu au marché.
La justification économique d’une IA responsable et digne de confiance devient particulièrement évidente lorsque l’on constate que les clients des entreprises intègrent de plus en plus la gestion des risques liés à l’IA dans leurs procédures d’achat, faisant ainsi de la fiabilité non seulement une considération éthique mais aussi une exigence commerciale. Par conséquent, la gestion des dommages causés par l’IA sert simultanément des impératifs éthiques et des intérêts commerciaux, créant un cercle vertueux où l’innovation responsable aboutit à la fois à des bienfaits sociétaux et à un succès commercial.
Ce guide a pour but d’aider les entreprises dans leur mise en œuvre des Principes directeurs EMN et des Principes sur l’IA1. Il est censé être utilisé par les entreprises multinationales2 intervenant dans la chaîne de valeur des systèmes d’IA (c’est-à-dire celles qui fournissent des intrants pour le développement de ces systèmes, qui jouent un rôle actif dans le cycle de vie de ces systèmes, ou qui utilisent des systèmes d’IA dans leurs activités, produits et services, tous secteurs confondus).
Les objectifs de ce guide sont les suivants :
Soutenir l’innovation, l’investissement et la croissance des entreprises de la chaîne de valeur de l’IA en indiquant clairement comment les intéressées peuvent identifier et gérer de façon proactive les impacts négatifs réels et potentiels (autrement dit les risques) qu’elles sont susceptibles de causer ou auxquels elles peuvent contribuer ou être directement liées, et tirer profit des bienfaits que l’IA peut procurer à la société sur les thèmes couverts dans les Principes directeurs EMN et les Principes sur l’IA.
Aider les entreprises à s’y retrouver parmi les cadres de gouvernance et de gestion des risques liés à l’IA existants, qu’ils soient multipartites ou sectoriels, nationaux ou internationaux.
Promouvoir la cohérence des politiques publiques et, lorsque c’est possible, l’interopérabilité entre les Principes directeurs EMN, les Principes sur l’IA et autres cadres de gouvernance et de gestion des risques liés à l’IA nationaux ou internationaux.
Servir de référence commune pour les différents cadres de gestion des risques liés à l’IA qui sont mis en place dans les différents pays et territoires.
Ce guide s’appuie sur le cadre du devoir de diligence décrit dans les Principes directeurs EMN et explicité dans le Guide OCDE sur le devoir de diligence pour une conduite responsable des entreprises (« Guide sur la CRE ») (OCDE, 2018[3]) . Les Principes directeurs EMN et les normes connexes de l’OCDE sur la CRE fournissent des principes volontaires pour la conduite responsable des entreprises. Les sujets abordés dans les Principes directeurs peuvent faire l’objet de législations nationales et d’engagements internationaux. Il est important de préciser que les normes de l’OCDE sur la CRE sont conformes et complémentaires aux Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme (Haut-Commissariat des Nations Unies aux droits de l'homme, 2012[4]) et à la Déclaration de principes tripartite de l’OIT concernant les entreprises multinationales et la politique sociale (OIT, 2023[5]). Le but du présent guide est de traduire le cadre général figurant dans le Guide sur la CRE en actions concrètes et pratiques que les entreprises peuvent mettre en œuvre pour identifier, prévenir, atténuer et faire cesser les impacts négatifs – réels ou potentiels – liés au développement et à l’utilisation des systèmes d’IA.
Pour favoriser la coopération internationale et l’homogénéité des actions publiques en faveur d’une IA digne de confiance – et contribuer le cas échéant à l’interopérabilité –, ce guide s’appuie sur les cadres de gestion des risques spécifiques à l’IA, les réglementations et autres initiatives existant aux niveaux national et international, de manière à fournir des exemples pratiques pour l’application du Guide sur la CRE dans le contexte de l’IA.
En fournissant une aide pratique à la mise en œuvre des Principes directeurs EMN tout en démontrant leur cohérence et leur homogénéité avec les Principes sur l’IA, ce guide a pour but d’assister les entreprises exerçant des activités dans plusieurs pays et territoires – et soumises à de multiples exigences réglementaires ou participant à un grand nombre d’initiatives volontaires – pour leur permettre de répondre à ces attentes. Les entreprises pourront ainsi continuer à recueillir la confiance des clients et avoir la garantie de pouvoir innover et d’être compétitives sur les marchés mondiaux.
Les Principes directeurs EMN recommandent que les entreprises exercent le devoir de diligence pour identifier et gérer les impacts négatifs réels ou potentiels (autrement dit les risques) : 1) qu’elles pourraient causer ou auxquels elles pourraient contribuer par leurs activités ; ou 2) auxquels elles pourraient contribuer ou être directement liées via leurs relations d’affaires.
Le principal public visé par ce guide est constitué des trois groupes d’entreprises. Cela inclut les entreprises intervenant dans le cycle de vie des systèmes d’IA3 tel que décrit dans les Principes sur l’IA (à savoir : planification et conception ; collecte et traitement des données ; construction et/ou adaptation du modèle ; test, évaluation, vérification et validation ; déploiement ; exploitation et suivi des systèmes d’IA). Le guide s’adresse également aux entreprises qui fournissent des intrants numériques, physiques et financiers pour le développement des systèmes d’IA (par exemple : les fournisseurs de services d’annotation des données, de capacité de calcul ou de services d’informations dématérialisée ou « cloud », les fabricants de matériel et les investisseurs), ainsi que pour la vente, l’octroi de licence, le commerce et l’utilisation des systèmes d’IA, comme l’indiquent les Principes directeurs EMN et conformément à la version révisée de la Recommandation sur l’IA. Le troisième groupe visé est constitué par les entreprises qui ne font pas partie du « secteur des technologies » et qui utilisent les systèmes d’IA dans leurs activités, leurs produits et leurs services.
Si le cadre fourni dans ce guide peut être appliqué pour le développement et l’utilisation d’autres logiciels et technologies, il se concentre ici spécifiquement sur les systèmes d’IA. Lesdits systèmes sont clairement définis par la Recommandation sur l’IA et expliqués en détail dans un mémorandum explicatif (OCDE, 2024[6]).
Les rôles sur la chaîne de valeur de l’IA et les relations d’affaires entre les différents acteurs ne sont pas linéaires et se chevauchent. De même, le processus de développement de l’IA n’est pas linéaire non plus. Ainsi, les développeurs de systèmes d’IA peuvent aussi être des entreprises qui conçoivent et fabriquent du matériel, ou qui interviennent dans la collecte de données et l’annotation d’ensembles de données. Pour comprendre ce qu’est le devoir de diligence pour une CRE dans le contexte du développement et de l’utilisation de systèmes d’IA, ce guide décrit les responsabilités des entreprises au regard du devoir de diligence en les répartissant dans différents groupes selon l’activité qu’elles exercent4.
Les trois groupes ci-après ne sont donc ni figés, ni fermés, mais ont pour but d’aider à comprendre comment les entreprises exerçant des activités différentes devraient aborder le devoir de diligence. Certaines entreprises peuvent avoir des activités telles qu’elles seront classées dans plusieurs groupes et devront adapter leur approche en conséquence. De façon similaire, certaines entreprises axeront leurs efforts de diligence sur les risques pouvant provenir de leurs activités, tandis que d’autres privilégieront les risques liés à leurs relations d’affaires.
Les impacts négatifs peuvent être dus aux activités décrites pour chacun des groupes d’entreprises. Bien que la majorité des exemples fournis dans ce guide ont trait aux impacts négatifs liés aux activités du groupe n° 2, les entreprises des groupes n° 1 et 3 sont elles aussi supposées gérer les impacts négatifs qu’elles peuvent provoquer via leurs activités, leurs produits et leurs services.
Groupe n°1 : Fournisseurs d’intrants pour l’IA
Les entreprises faisant partie de ce groupe sont des fournisseurs d’intrants pour l’IA. Ces intrants servent au développement des systèmes d’IA, raison pour laquelle ces entreprises sont généralement considérées comme le segment amont de la chaîne de valeur des systèmes d’IA. Leurs activités consistent à approvisionner l’écosystème de l’IA en intrants (c’est-à-dire en compétences et en ressources telles que des données, du code, des algorithmes, des modèles, de la recherche, du savoir-faire, des programmes de formation, de la gouvernance, des processus et des meilleures pratiques nécessaires pour comprendre le cycle de vie des systèmes d’IA et y prendre part, y compris pour ce qui est de la gestion des risques). Ce groupe inclut les entreprises se livrant aux activités suivantes :
Fourniture et annotation de données ;
Création et curation d’ensembles de données ;
Développement, adaptation ou fourniture de code en vue de son utilisation par un tiers, y compris des contributions à des bibliothèques en accès libre et à des composants logiciels pour le développement de l’IA ;
Développement d’instruments de mesure et d’outils d’évaluation.
Sont également concernées les activités consistant à fournir des intrants financiers, logistiques, administratifs et matériels qui sont nécessaires pour concevoir un système d’IA. Ce groupe inclut les entreprises se livrant aux activités suivantes :
Fourniture de capitaux (par exemple les institutions financières, les sociétés de capital-risque et autres bailleurs de fonds) ;
Fourniture d’une infrastructure numérique et de services administratifs (par exemple : fournisseurs de capacité de calcul ou de services d’informatique dématérialisée, plateformes de paiement en ligne, plateformes numériques de travail, systèmes d’exploitation, boutiques d’applications et fournisseurs de logiciels de sécurité/logiciels d’entreprise) ;
Fourniture de matériel (par exemple : fabricants et distributeurs de semi-conducteurs, équipementiers réseau et autres fabricants de matériel).
Ce guide ne s’intéresse pas aux chaînes d’approvisionnement des intrants matériels (par exemple l’extraction des matières premières et la fabrication de composants), qui sont traitées dans un autre guide sur le devoir de diligence pour une CRE5.
Groupe n°2 : Entreprises participant activement à la conception, au développement, au déploiement et au fonctionnement des systèmes d’IA
Les entreprises faisant partie de ce groupe participent au cycle de vie des systèmes d’IA par les activités ci-dessous. La compréhension de ce cycle de vie peut aider l’ensemble des entreprises à mieux identifier les risques et à interagir avec les entreprises du groupe n° 2 par leurs relations d’affaires. Ce groupe inclut les entreprises se livrant aux activités suivantes :
Planification et conception de systèmes d’IA ;
Construction du modèle et/ou adaptation d’un modèle existant ;
Test, évaluation, vérification et validation du modèle et des systèmes ;
Déploiement6 du système à l’aide de n’importe quel canal de distribution (y compris la distribution d’un logiciel en accès libre) ;
Mise en service du système pour les clients et contrôle de son fonctionnement.
Le groupe n° 2 pourrait aussi inclure les entreprises qui modifient et redéploient les modèles d’IA existants pour des cas d’utilisation spécifiques.
Groupe n°3 : Utilisateurs de systèmes d’IA
Les entreprises faisant partie de ce groupe utilisent des systèmes d’IA dans leurs activités, leurs produits et leurs services, et sont généralement considérées comme le segment aval de la chaîne de valeur des systèmes d’IA. Il s’agit notamment d’établissements financiers et d’entreprises de l’« économie réelle » (c’est-à-dire des fabricants et des vendeurs de biens et services, y compris n’ayant aucun lien avec les systèmes d’IA ou la technologie).
Les entreprises de ce groupe devraient aborder le devoir de diligence à l’égard des systèmes d’IA qu’elles utilisent comme faisant partie intégrante du processus de diligence général qu’elles appliquent à leurs activités et leurs relations d’affaires. Il s’agit de privilégier les impacts négatifs pouvant être causés par le système d’IA plutôt que d’autres impacts auxquels l’entreprise pourrait contribuer ou être liée dans son secteur d’activité. Par exemple, si le système d’IA ne présente pas de risques significatifs, l’entreprise peut concentrer ses efforts sur d’autres enjeux de la CRE, y compris ceux sans lien avec les systèmes d’IA.
Les systèmes d’IA peuvent procurer d’importants avantages économiques aux PME, notamment en leur permettant d’accéder à des outils pouvant favoriser l’amélioration de l’efficience à moindre coût. Les PME jouent par ailleurs un rôle capital à plusieurs étapes du développement des systèmes d’IA. D’après le Guide sur la CRE, elles sont censées elles aussi exercer le devoir de diligence, au même titre que les autres entreprises.
Les normes en matière de CRE reconnaissent toutefois que les PME n’ont peut-être pas les mêmes capacités que les grandes entreprises à répondre aux attentes relatives au devoir de diligence. Les PME qui en sont au stade initial de la recherche-développement, de la validation de concept et du financement fonctionnent avec des ressources limitées, qu’elles ont tendance à affecter à des besoins concrets plus immédiats, pour commercialiser leurs produits ou leurs services. Par conséquent, de manière générale, les PME peuvent rencontrer des difficultés à mettre en œuvre les obligations de CRE en ce qui concerne l’engagement des parties prenantes, l’exercice d’une influence sur leurs relations d’affaires et la prise en charge des coûts des mesures de prévention et d’atténuation des risques.
Pour les aider à faire face à ces difficultés et pour promouvoir la mise en œuvre des normes en matière de CRE, le présent guide encourage en particulier les PME – lorsque c’est possible – à utiliser des approches collaboratives et à participer à des initiatives sectorielles pour mutualiser les ressources (dans le respect du droit de la concurrence), réduire les coûts de la mise en œuvre du devoir de diligence et faciliter l’accès aux informations sur les risques d’impacts négatifs et leur harmonisation. Les normes en matière de CRE établissent en outre que la nature et la portée du devoir de diligence devraient être proportionnées à la taille de l’entreprise concernée, à sa contribution à tout impact négatif et à la gravité des impacts négatifs. En prenant acte de ces réalités, les Principes directeurs EMN cherchent à s’assurer que les PME ne sont pas soumises à des exigences excessives, en leur permettant de se concentrer sur les risques les plus pertinents dans les limites de leurs capacités. Ils encouragent en outre les grandes entreprises à s’efforcer de nouer des relations d’affaires avec les PME pour soutenir leur processus du devoir de diligence.
En plus de répondre aux attentes internationales, le respect des normes en matière de CRE peut ouvrir de nouveaux marchés ou permettre un meilleur accès aux financements pour les PME. Il peut aussi aider à recruter ou à fidéliser du personnel. De même, le fait d’appliquer les normes de CRE peut s’avérer essentiel pour les PME pour intégrer des chaînes de valeur, étant donné que les relations d’affaires élargies doivent de plus en plus appliquer des pratiques de diligence raisonnable en matière de CRE.
Les PME peuvent s’appuyer sur des réseaux de coopération (par exemple les initiatives régionales relatives à la transformation numérique et à l’IA1 et les initiatives régionales en matière de CRE2) pour obtenir une aide technique et des précisions supplémentaires pour mettre en œuvre les normes en matière de CRE et d’IA.
Note :
1. Par exemple le Dialogue OCDE-Union africaine sur l’IA.
2. Par exemple les programmes de collaboration de l’OCDE en Asie, dans la région MENA et en Amérique latine.
Autres publics possibles
Les Principes directeurs EMN ont également institué un mécanisme unique de promotion et de recours qui s’appuie sur les Points de contact nationaux pour la conduite responsable des entreprises (PCN)7. Ce guide peut aussi être utile aux PCN pour promouvoir les Principes directeurs EMN et aider à statuer sur la responsabilité des cas présumés d’infraction auxdits Principes.
Le présent guide peut également être utile à ceux qui élaborent des normes sur une IA responsable tels que les décideurs publics, les autorités de réglementation ainsi que les initiatives sectorielles et multipartites qui cherchent à se mettre en conformité avec les normes internationales.
Les autres publics possibles sont les organisations de la société civile, les travailleurs, les représentants des travailleurs, les syndicats, les associations professionnelles et les autorités de réglementation nationales, y compris les organisations de protection des données et les organismes de contrôle sectoriels.
Une attention particulière devrait être accordée aux problèmes de mise en œuvre rencontrés par les entreprises et les pouvoirs publics dans les pays en développement, notamment leur besoin de plus de capacités, d’assistance technique et de consignes adaptées à leurs réalités réglementaires et institutionnelles.
Enfin, ce guide peut avoir une utilité pour les particuliers et les groupes (et leurs représentants) qui ont été ou pourraient être touchés par les impacts négatifs des systèmes d’IA.
Le développement et l’utilisation des systèmes d’IA peuvent avoir des effets positifs dans les domaines couverts par les Principes directeurs EMN. Ainsi, l’utilisation des systèmes d’IA peut améliorer considérablement la santé et la sécurité au travail grâce à l’automatisation de tâches dangereuses. Dans l’administration publique, l’utilisation de l’IA dans les réseaux/villes intelligents et les appareils connectés peut aider à prédire les besoins de maintenance des infrastructures et à réduire la congestion routière en optimisant les flux de trafic. La capacité de l’IA à analyser rapidement des volumes de données considérables, à reconnaître des motifs et à construire des modèles prédictifs en fait un outil important pour détecter les infractions financières, lutter contre les enlèvements et le trafic d’êtres humains, mettre au jour des situations de travail forcé ou de travail des enfants, et analyser les scènes de crime. Plus globalement, les systèmes d’IA ouvrent des perspectives en matière d’innovation, de croissance économique et de promotion des droits humains.
Pour tirer parti de ces avantages, il est important que les risques d’impacts négatifs associés aux systèmes d’IA soient correctement gérés8. Lorsque l’on tient compte de l’intégralité de la chaîne de valeur de ces systèmes, un éventail de risques plus large peut se présenter. Par exemple, la puissance de calcul colossale qui est nécessaire pour entraîner et utiliser certains types de systèmes d’IA a un impact qui a été prouvé (OCDE, 2022[7]) et certains services effectués par les humains (comme l’enrichissement des données) ont donné lieu à des pratiques délétères dans le milieu du travail (Partnership on AI, 2021[8]). De même, comme avec un grand nombre de nouvelles technologies, des acteurs publics et privés mal intentionnés peuvent trouver des moyens de tirer profit des systèmes d’IA. L’important potentiel de double usage de ces systèmes et le fait qu’ils puissent être adaptés pour les destiner à d’autres usages peuvent conduire à des utilisations malveillantes, même lorsqu’ils avaient été conçus au départ sans intention hostile.
Les Principes directeurs EMN reconnaissent que le devoir de diligence fondé sur les risques devrait être exercé par les entreprises eu égard aux impacts négatifs réels ou potentiels de leurs activités ayant un lien avec l’innovation technologique. Ils préconisent également que les entreprises participant au développement de nouvelles technologies ou de nouveaux usages d’instruments existants devraient anticiper les impacts négatifs et les défis suscités par les nouvelles technologies, tout en encourageant l’innovation responsable.
De nombreux cadres de portée nationale, régionale ou internationale décrivent les risques associés au développement et à l’utilisation des systèmes d’IA, et recommandent les actions qui devraient être engagées par les entreprises pour y faire face. L’ampleur des risques couverts est variable selon les cadres. Si l’ensemble de ces cadres peut renseigner sur l’éventail des risques auxquels une entreprise peut être confrontée dans le cadre de son devoir de diligence, l’éventail n’est pas exhaustif et un grand nombre de ces risques se chevauchent et peuvent avoir des liens entre eux. De surcroît, tous les cadres ne sont pas pertinents pour une entreprise donnée. Chaque entreprise est censée identifier ses domaines de risque prioritaires sur la base des circonstances qui lui sont propres, en incluant également des risques autres que ceux cités ici. Ce guide adopte une approche neutre à l’égard des risques, afin d’avoir une validité permanente. Les études futures pourront être utilisées pour le compléter, étant donné que les points de vue des pouvoirs publics et la compréhension des risques liés aux systèmes d’IA ne cessent d’évoluer.
Ce guide a également pour but de permettre une gestion et un développement responsables de systèmes d’IA dignes de confiance. L’expression « IA digne de confiance » fait référence ici aux systèmes d’IA qui sont en conformité avec les Principes de l’OCDE sur l’IA, mis à jour en 2024 (OCDE, 2024[9]). Il ne s’agit pas seulement de principes, mais de résultats pouvant être utilisés à la fois pour évaluer les risques et identifier les responsabilités en matière de prévention/d’atténuation.
Le cadre du devoir de diligence pour une CRE
Les Principes directeurs EMN établissent un cadre volontaire pour l’exercice du devoir de diligence par les entreprises, que les administrations publiques se sont engagées à promouvoir activement et à mettre en œuvre. Ce cadre prévoit les mesures suivantes :
1. intégrer la conduite responsable des entreprises dans les politiques et les systèmes de gestion ;
2. identifier et évaluer les impacts négatifs réels et potentiels des activités, produits ou services des entreprises ;
3. faire cesser, prévenir et atténuer les impacts négatifs ;
4. assurer le suivi de la mise en œuvre et des résultats des actions déployées ;
5. rendre compte de la manière dont ces incidences sont gérées ;
6. remédier aux effets négatifs ou participer aux efforts pour y remédier.
Ces mesures sont censées avoir lieu simultanément et de façon itérative, car le devoir de diligence est un processus continu mêlant proactivité et réactivité. Chaque étape est décrite en détail dans le chapitre 2 du présent guide, en la replaçant dans le contexte du développement et de l’utilisation de l’IA.
Le cadre du devoir de diligence pour une CRE est globalement en adéquation avec les autres cadres de gestion des risques liés à l’IA (OCDE, 2023[10]), et d’importants chevauchements existent entre un grand nombre de ces cadres sur plusieurs points clés. Chacune des étapes décrites dans ce guide fait directement référence aux mesures exigées dans les cadres de gestion des risques liés à l’IA existants, et peut donc permettre le recoupement et la mise en œuvre homogène des exigences entre les différents cadres et les différents pays et territoires. En mettant en œuvre de façon constructive les recommandations des autres cadres de gestion des risques liés à l’IA existants, les entreprises peuvent satisfaire à bon nombre des attentes relatives au devoir de diligence en matière de CRE. Dans certains cas, le cadre de la CRE apporte des éclairages supplémentaires et comble les lacunes d’autres cadres, en particulier s’agissant de l’engagement des parties prenantes et de la réparation, qui sont moins bien pris en compte dans les cadres existants.
Source : OCDE (2018[3]), Guide OCDE sur le devoir de diligence pour une conduite responsable des entreprises, https://doi.org/10.1787/15f5f4b3-en.
Lien avec les obligations légales
Les Principes directeurs EMN énoncent des principes et des normes volontaires en matière de conduite responsable des entreprises, en conformité avec les législations applicables et les normes internationalement reconnues. Les sujets abordés dans les Principes directeurs peuvent faire l’objet de législations nationales et d’engagements internationaux. Les Principes directeurs comportent des recommandations qui peuvent aller au-delà des dispositions auxquelles les entreprises sont légalement tenues de se conformer. La recommandation faite par les gouvernements aux entreprises concernant le respect des Principes directeurs se distingue des questions de responsabilité juridique et d’application du droit (cf. la préface des Principes directeurs EMN, paragraphe 5 (OCDE, 2023[1])).
Comme l’indiquent les Principes directeurs EMN, les entreprises ont pour obligation première de se conformer à la législation du pays dans lequel elles exercent leurs activités et/ou ont leur siège (cf. le chapitre 1 des Principes directeurs EMN, paragraphe 2 (OCDE, 2023[1])). Le devoir de diligence peut aider les entreprises à se conformer à leurs obligations légales dans les domaines relevant de la CRE. Dans les pays et les territoires où les législations et réglementations sont en opposition avec les principes et les normes des Principes directeurs EMN, le devoir de diligence peut aussi aider les entreprises à respecter au maximum lesdits Principes. Le droit national peut dans certains cas exiger d’une entreprise qu’elle prenne une mesure concernant l’un des enjeux relevant de la CRE (par exemple les risques encourus en ligne par les mineurs).
Les attentes relatives au devoir de diligence qui proviennent des Principes directeurs EMN ou s’y réfèrent sont de plus en plus souvent intégrées aux obligations légales. Bien que ce guide puisse aider les entreprises et les pouvoirs publics à mieux comprendre comment mettre en œuvre certaines de ces exigences légales, il ne saurait être utilisé comme référence.
Confidentialité des entreprises
Il convient, lors de l’exercice du devoir de diligence pour une CRE, d’accorder une attention suffisante à la confidentialité des affaires commerciales, aux secrets commerciaux, aux informations commerciales sensibles et aux éventuelles interdictions de partage de ces informations en vertu du droit de la concurrence, ainsi qu’aux informations protégées par le droit de la propriété intellectuelle. Bien que cela constitue des obstacles légitimes à certains aspects de la communication, de la transparence et de l’engagement des parties prenantes, les entreprises sont malgré tout censées s’efforcer de bonne foi de communiquer et de collaborer de façon constructive avec les parties prenantes tout en tenant dûment compte de la confidentialité, du droit de la concurrence et d’autres questions juridiques pertinentes, compte tenu des considérations légitimes de confidentialité.
Mise en œuvre de la CRE dans le respect du droit de la concurrence
Collaborer avec ses concurrents ou ses relations d’affaires pour mettre en œuvre la CRE, y compris dans le cadre d’initiatives de durabilité, est une pratique soumise au droit de la concurrence (OCDE, 2015[11]).
Comment l’indiquent les Principes directeurs EMN : « Bien que les entreprises et les initiatives de collaboration auxquelles elles participent devraient prendre des mesures proactives pour comprendre les problématiques de droit de la concurrence dans leur juridiction et éviter les activités qui pourraient constituer une violation du droit de la concurrence, les initiatives crédibles de conduite responsable des entreprises ne sont pas intrinsèquement en tension avec les objectifs du droit de la concurrence et la collaboration dans le cadre de telles initiatives n’enfreindra généralement pas les lois sur la concurrence. » (cf. le chapitre X des Principes directeurs EMN, paragraphe 121 (OCDE, 2023[1])).
Il existe trois actions concrètes que les entreprises peuvent engager pour comprendre les problématiques liées aux activités de collaboration et au droit de la concurrence :
Demander conseil aux autorités de la concurrence : les entreprises peuvent demander conseil si elles craignent qu’une conduite particulière ou une activité de collaboration puisse être considérée comme contraire au droit de la concurrence et donc entraîner des risques réglementaires.
Faire preuve de transparence : les autorités ont tendance à être plus méfiantes lorsque les initiatives ou les accords réunissant des concurrents sont conclus sans la moindre publicité. Par conséquent, communiquer sur les initiatives de CRE peut être un moyen utile pour atténuer les doutes au regard de la concurrence. Il est important de préciser que le simple fait de rendre public un accord ou de communiquer sur une initiative ne protège pas contre des poursuites si le droit de la concurrence n’est de fait pas respecté. En revanche, faire preuve de transparence peut aider à mettre en lumière des aspects potentiellement problématiques, et donc s’assurer qu’ils sont réglés rapidement.
Intégrer les initiatives de CRE dans des programmes de mise en conformité : dans la mesure où les entreprises ont la responsabilité d’auto-évaluer leur conduite pour déterminer si elle est conforme au droit de la concurrence, les intéressées sont encouragées à concevoir et mettre en œuvre des programmes de mise en conformité pour garantir la connaissance des risques et la compréhension de la façon dont ils devraient être gérés au niveau de l’organisation. La plupart des grandes entreprises auront sans doute déjà mis en place des programmes de lutte contre les pratiques anticoncurrentielles qui peuvent être utilisés comme références ou adaptés pour nouer des collaborations spécifiques en matière de CRE.
Engagement constructif des parties prenantes
Un engagement constructif9 des parties prenantes (en particulier des travailleurs, des représentants des travailleurs, des syndicats, des communautés concernées ou d’autres parties prenantes très vulnérables aux risques d’impacts négatifs) s’avère essentiel pour un devoir de diligence efficace. Cet engagement concourt au développement de systèmes d’IA dignes de confiance. Il fait également partie intégrante du cadre du devoir de diligence. Dans certains pays et territoires, l’engagement des parties prenantes peut aussi être un droit en soi (par exemple le consentement des patients en cas d’utilisation de l’IA dans le contexte médical ; voir aussi l’article 61 de la législation de l’UE sur l’IA).
L’engagement constructif des parties prenantes peut aussi présenter de nombreux avantages pour les entreprises, notamment en permettant de renforcer la confiance et la résilience aux crises, ainsi que de mieux répondre aux attentes du marché et de la société. Lorsque les parties prenantes sont impliquées tout au long du processus du devoir de diligence, elles peuvent comprendre non seulement quelles décisions ont été prises mais aussi pour quelle raison, ce qui crée une confiance dans la procédure même si les intéressées ne sont pas forcément d’accord avec tous les choix qui sont faits. Le fait de recueillir des avis extérieurs à un stade précoce permet d’adapter les approches avant que des ressources importantes ne soient investies pour gérer des risques moins significatifs, ce qui peut aider à réduire les coûts.
Les points de vue extérieurs peuvent permettre de repérer les segments du marché insuffisamment desservis ou les usages ignorés. La collaboration directe avec les utilisateurs finaux des systèmes d’IA peut aussi mettre en évidence les besoins réels, et pas seulement ceux supposés. Ainsi, les entreprises développant et utilisant des systèmes d’IA dans le domaine de la santé pourraient, après consultation des professionnels de la médecine et des représentants de certains groupes de patients, s’apercevoir que l’interprétabilité importe plus que les améliorations marginales de la précision. Les systèmes d’IA développés avec la contribution des parties prenantes sont aussi plus susceptibles d’être adoptés, étant donné que les principaux sujets d’inquiétude ont été traités en amont.
Les parties prenantes peuvent être concernées à plusieurs étapes du développement et de l’utilisation des systèmes d’IA. C’est le cas, par exemple, des individus dont les données personnelles ou la propriété intellectuelle sont utilisées pour entraîner les systèmes d’IA, des travailleurs contribuant à l’enrichissement des données pendant la phase de développement, ou encore des communautés subissant les impacts négatifs du calcul informatique basé sur l’IA. Après le déploiement, les parties prenantes concernées peuvent être des travailleurs surveillés par des systèmes d’IA et des citoyens utilisant des services publics qui font appel à l’IA.
L’engagement des parties prenantes repose sur des procédures interactives avec les parties prenantes concernées, grâce par exemple à des réunions, des auditions ou des consultations. Les parties prenantes concernées sont tout individu ou groupe, et/ou leurs représentants mandatés, qui dispose de droits ou d’intérêts liés aux domaines visés par ce guide, lesquels droits ou intérêts sont ou pourraient être mis à mal par des impacts négatifs associés au développement, au déploiement, au fonctionnement, au financement, à la vente, à l’octroi de licence, au commerce et/ou à l’utilisation de systèmes d’IA par l’entreprise.
Pour être constructif, l’engagement des parties prenantes doit reposer sur une collaboration bilatérale, être mené de bonne foi et prendre en compte l’avis des parties prenantes. Ces dernières doivent recevoir en temps utile des informations fiables et exhaustives, et avoir la possibilité de contribuer avant la prise de décisions importantes susceptibles de les affecter. Il est particulièrement important, le cas échéant, que les parties prenantes contribuent activement à l’identification des impacts négatifs.
Le développement rapide et les modifications en temps réel des systèmes d’IA peuvent obliger les entreprises à changer ou adapter leurs pratiques pour permettre l’engagement constructif des parties prenantes. Cet engagement ne doit pas être considéré comme un événement ponctuel mais comme un processus continu qui est intégré au cycle de vie des systèmes d’IA et, le cas échéant, à d’autres aspects du développement et de l’utilisation de l’IA (par exemple la collecte de données ou l’utilisation finale). Sur le plan pratique, l’engagement des parties prenantes10 par les entreprises peut prendre de nombreuses formes. Les parties prenantes peuvent être invitées à participer :
aux discussions internes sur les usages d’un produit et son impact souhaité ;
à la conception du produit ;
à la curation et la validation des ensembles de données ;
à la formation et aux tests ;
de façon continue à l’utilisation du système d’IA ;
aux tests et à l’évaluation du système d’IA après son déploiement ;
à des initiatives multipartites et des procédures d’évaluation indépendantes ;
à des formations régulières destinées aux travailleurs, dans les cas où le système d’IA est utilisé pour gérer l’activité des intéressés. Il est capital que les travailleurs soient régulièrement mis au courant et informés des capacités et des risques des systèmes d’IA, afin qu’ils puissent participer de façon constructive aux discussions sur le processus du devoir de diligence.
Outre les autres mécanismes qu’elles peuvent éventuellement mettre en œuvre pour faire participer les parties prenantes, les entreprises doivent respecter le droit des travailleurs de constituer des syndicats et des organisations représentatives de leur choix ou de s’y affilier, y compris en évitant d’interférer avec la décision des travailleurs de constituer des syndicats et des organisations représentatives de leur choix ou de s’y affilier (cf. le chapitre V des Principes directeurs EMN, paragraphe 1(a)).
Dans les très grandes entreprises, où des centaines de systèmes d’IA peuvent être développés ou utilisés, il n’est pas toujours faisable d’associer les parties prenantes à plusieurs étapes du développement de chaque système.. Les PME peuvent elles aussi rencontrer des problèmes de ressources et d’accès en ce qui concerne l’engagement des parties prenantes. Toutes les entreprises peuvent être confrontées à des difficultés du fait de la vitesse de développement de l’IA, laquelle entraîne une disponibilité limitée des parties prenantes concernées pour la procédure d’engagement. Ces difficultés laissent entendre que l’engagement des parties prenantes doit être soigneusement planifié et que les entreprises peuvent choisir différentes modalités de mise en œuvre, par exemple en l’abordant à un niveau supérieur afin de transférer les apprentissages jusqu’au niveau du produit. L’engagement portant spécifiquement sur le produit (par exemple la participation à sa conception, ou l’engagement des parties prenantes qui en subissent les impacts) peut n’être réalisable que dans certains contextes à haut risque.
Les compétences limitées des parties prenantes sur les questions relatives à l’IA et la CRE peuvent aussi générer des difficultés sur le plan de leur engagement. Lorsqu’elles comprennent les capacités, les limites et les conséquences possibles des systèmes d’IA, les parties prenantes peuvent prendre des décisions éclairées et contribuer utilement aux processus de gestion des risques. Ces connaissances leur permettent de repérer les impacts négatifs potentiels avant qu’ils n’apparaissent et de préconiser des pratiques de développement et de déploiement responsables. En investissant dans l’éducation et la communication transparente sur les systèmes d’IA, les entreprises peuvent créer de la confiance et encourager la résolution collaborative des problèmes, pour obtenir au final un processus du devoir de diligence plus efficace.
Entreprises et parties prenantes sont encouragées à collaborer pour définir des méthodes d’engagement à la fois faisables et efficaces. Les entreprises devraient collaborer en priorité avec les parties prenantes, ou leurs interlocuteurs, qui sont les plus susceptibles de subir les impacts de leurs activités. Des efforts devraient être déployés en particulier pour faire participer les parties prenantes les plus vulnérables aux risques d’impacts négatifs.
Ce guide est censé fournir un cadre pour faciliter la mise en œuvre par les entreprises des Principes directeurs EMN, du Guide sur la CRE et de la Recommandation de l’OCDE sur l’IA ; il doit être utilisé conjointement avec ces instruments ainsi qu’avec les autres cadres, initiatives et autres sources d’informations sur la gestion des risques applicables au niveau sectoriel, national et international, en particulier les consignes précisant certains risques ou cas d’usage propres à des contextes spécifiques. D’autres sources d’informations sont citées tout au long de ce guide.
Sachant que les cadres volontaires et réglementaires relatifs à l’IA diffèrent selon les pays, les entreprises peuvent adapter leurs actions relevant du devoir de diligence en fonction de leur contexte et de l’environnement réglementaire dans lequel elles exercent leurs activités. De surcroît, la mise en conformité avec ces réglementations ou ces cadres contribuera souvent au respect des dispositions connexes du présent guide.
Il est conseillé aux utilisateurs de ce guide de commencer par se familiariser avec l’ensemble du cadre présenté et ses exemples pratiques afin de s’en imprégner, avant d’explorer les ressources traitant de contextes plus spécifiques qui sont citées dans les notes de fin ou les modules accessibles depuis le Catalogue d’outils et d’indicateurs à l’appui d’une IA digne de confiance de l’OCDE (OCDE, s.d.[12]).
← 1. La Recommandation sur l’IA énonce cinq principes complémentaires fondés sur des valeurs qui sont pertinents pour l’ensemble des parties prenantes, et cinq recommandations à l’intention des décideurs publics, auxquels il est fait référence dans le présent guide avec l’expression « Principes sur l’IA ».
← 2. Selon les Principes directeurs EMN, chapitre 1, paragraphe 4 : « Une définition précise des entreprises multinationales n’est pas nécessaire pour les besoins des Principes directeurs. Si les Principes directeurs permettent une approche large dans la détermination des entités qui constituent des entreprises multinationales aux fins des Principes directeurs, la dimension internationale de la structure d’une entreprise ou de ses opérations, ainsi que sa forme commerciale, son objet ou ses activités, sont les facteurs principaux à prendre en considération. »
← 3. « Le cycle de vie d’un système d’IA comporte généralement plusieurs phases, à savoir : la phase de planification et de conception ; la phase de collecte et de traitement des données ; la phase de construction du ou des modèle(s) et/ou d’adaptation du ou des modèle(s) existant(s) à des tâches spécifiques ; la phase de test, d’évaluation, de vérification et de validation ; la phase de mise à disposition pour utilisation/déploiement ; la phase d’exploitation et de suivi ; et la phase de mise hors service. Ces phases présentent souvent un caractère itératif et ne suivent pas nécessairement un ordre séquentiel. La décision de mettre un terme à l’utilisation d’un système d’IA peut intervenir à n’importe quel stade de la phase d’exploitation et de suivi. Les Principes sur l’IA utilisent l’expression « acteurs de l’IA » pour désigner les entreprises intervenant dans le cycle de vie des systèmes d’IA (OCDE, 2024[2]).
← 4. Ces groupes ont été créés dans le rapport de l’OCDE intitulé Advancing accountability in AI (OCDE, 2023[17]), puis complétés dans un projet de rapport de suivi, intitulé Draft mapping and consolidation of relevant actors, issues, and terminology for Responsible Business Conduct in AI [DSTI/CDEP/AIGO(2023)12], qui a été examiné lors des réunions du GTGIA et du GT-CRE en novembre 2022.
← 5. Pour en savoir plus sur la gestion des risques liés aux matières premières, se reporter au Guide OCDE sur le devoir de diligence pour des chaînes d’approvisionnement responsables en minerais (OCDE, 2016[39]) ; pour en savoir plus sur la gestion des risques liés à la fabrication des véhicules et des produits électroniques, se reporter à l’étude intitulée Due Diligence in Electronics and Vehicle Manufacturing (OCDE, 2025[37]).
← 6. Le terme « déploiement » est employé différemment dans les Principes de l’OCDE sur l’IA et dans la législation de l’UE sur l’IA. Dans les premiers, le déploiement peut être compris comme la mise à disposition d’un système d’IA en vue de son utilisation. Dans la seconde, un « déployeur est une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel » (Union européenne, 2024[14]). La définition du déployeur figurant dans la législation de l’UE est plus proche de ce que le présent guide inclut dans le groupe n° 3, à savoir les utilisateurs de systèmes d’IA.
← 7. Les PCN ont pour mission de renforcer l’efficacité des Principes directeurs EMN en menant des activités de promotion, en répondant à des demandes de renseignements et en participant à la résolution des problèmes soulevés par la mise en œuvre des Principes directeurs dans des circonstances spécifiques. Un particulier ou une organisation peut intenter une action contre une entreprise – pour les activités qu’elle mène où que ce soit dans le monde – en s’adressant au PCN compétent dans la zone d’activité ou d’enregistrement de l’entreprise concernée. Les PCN facilitent l’accès à des moyens consensuels et non contentieux, tels que la conciliation ou la médiation, afin d’aider les parties à résoudre les problèmes. Ils sont tenus, à l’issue de chaque procédure, d’émettre une déclaration finale. Les PCN peuvent aussi formuler des recommandations en fonction des circonstances particulières de chaque affaire. Pour des informations sur le processus suivi par les PCN, sur certains PCN ou sur des cas particuliers, les organisations peuvent consulter les Principes directeurs de l’OCDE à l’intention des entreprises multinationales (OCDE, 2025[37]).
← 8. Comme l’indiquent les Principes directeurs EMN : « Les entreprises devraient prêter une attention particulière aux impacts négatifs sur les particuliers, comme les défenseurs des droits humains par exemple, qui peuvent être exposés à un risque accru dû à une situation de marginalisation, de vulnérabilité ou autres circonstances, à titre individuel ou en tant que membres d’un groupe ou d’une population spécifique, y compris les Peuples Autochtones. Les guides OCDE sur le devoir de diligence, dont le Guide sur le devoir de diligence pour une conduite responsable des entreprises, le Guide sur le devoir de diligence pour un engagement constructif des parties prenantes dans le secteur extractif et le Guide OCDE-FAO pour des filières agricoles responsables définissent des orientations pratiques complémentaires en ce sens, dont le consentement préalable donné librement et en connaissance de cause (CPLCC). Les Nations Unies ont précisé les droits des Peuples Autochtones (Déclaration des Nations Unies sur les droits des Peuples Autochtones). » (paragraphe 45 des Commentaires).
← 9. Pour être constructif, l’engagement doit reposer sur une collaboration bilatérale, être mené de bonne foi et prendre en compte l’avis des parties prenantes. Ces dernières doivent recevoir des informations fiables et exhaustives, et avoir la possibilité en temps voulu d’apporter leur contribution avant que des décisions importantes susceptibles d’avoir un impact sur elles ne soient prises (voir (OCDE, 2018[3])).
← 10. Pour savoir comment collaborer de façon constructive avec les parties prenantes lors de la conception de produits et de services faisant appel à l’IA, voir le cadre élaboré par l’ECNL, intitulé « Framework for meaningful engagement of external stakeholders in AI development » (European Center for Not-for-Profit Law, 2023[40]).