« Un comité de gouvernance des algorithmes pour mieux maîtriser l’utilisation de l’IA »

Le Parlement européen a voté en juin 2023 un texte visant à réguler la conception et l’utilisation des intelligences artificielles. Les acteurs, publics ou privés, doivent désormais s’assurer de la conformité de leurs pratiques et de la protection des données personnelles. Focus sur les pratiques d’Allianz France chez qui un « comité de gouvernance des algorithmes » est opérationnel depuis plusieurs mois avec Marlène Hervier, Directrice du contrôle interne d’Allianz France.

Quel impact a la décision du Parlement européen sur une organisation comme Allianz ?

Marlène Hervier : Le texte est issu à la fois du RGPD et de la loi sur l’IA. Il vise à maîtriser les algorithmes développés par les organisations. Savoir comment ils sont développés, en utilisant quelles données et dans quel but. Chez Allianz, nous avons créé un comité de gouvernance des algorithmes où l’on vient nous présenter tous les éléments liés à leur utilisation et surtout en quoi le traitement envisagé va impacter nos processus par la suite. Sachant qu’il doit toujours y avoir une intervention humaine pour mieux maîtriser l’utilisation de l’IA lorsque des décisions doivent être prises. Les données personnelles ou sensibles utilisées ne doivent l’être qu’à condition que ce soit strictement utile et nécessaire. Nous devons aussi pouvoir définir la base légale sur laquelle nous nous appuyons pour chaque algorithme.

Comment est composé ce comité de gouvernance chez Allianz ?

M.H. : Nous avons réuni pour ce comité le Secrétaire général, le DPO (Délégué à la protection des données), la Direction de la Conformité, la Direction juridique, le contrôle interne et le CDO (Chief data officer). Le demandeur, qui souhaite mettre en place un algorithme, doit saisir le comité, préciser quelles sont les données utilisées, quel est le traitement effectué et quel est le but de ce traitement. Le comité peut ainsi prendre connaissance de tous les éléments, challenger la nécessité des données utilisées, définir la base légale et rendre, ou non, un avis de conformité. Il convient aussi de déterminer si l’algorithme vient modifier un PIA (Privacy impact assessment, ou évaluations de l'impact sur la vie privée).

« Développer l’automatisation fait partie de la stratégie de l’entreprise »

Quand a été créé le comité ?

M.H. : Il y a 6 mois environ. Différents projets du texte avaient été publiés avant le vote en juin, mais il n’y a pas eu de surprises et nous avons donc pu anticiper. D’autant plus que le développement de l’automatisation fait partie de la stratégie de l’entreprise, qu’il s’agisse de la surveillance de portefeuilles, de celle de nos risques ou de modèles de tarification. La loi sur l’IA de l’UE définit en fonction de l’activité et de la sensibilité des données les mesures de contrôle à mettre en place, de façon à s’assurer de la pertinence de l’algorithme. Il nous est donc apparu essentiel de ne pas perdre de temps et de recenser les algorithmes de l’entreprise, de pouvoir contrôler leur conformité RGPD et que notre registre de PIA soit bien à jour. 

Comment sont effectués les contrôles, par quelle autorité ?

M.H. : C’est la CNIL qui peut nous contrôler : il y a des sanctions prévues en cas de non-respect Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.  

Avez-vous constaté des contraintes supplémentaires, un ralentissement des projets notamment ?

M.H. : Il n’y a pas vraiment de ralentissement lié à la la mise en place de cette gouvernance des algorithmes, parce que le comité peut se réunir tous les 15 jours ou même toutes les semaines s’il le faut et les décisions sont assez rapides, même s’il peut parfois y avoir des discussions pour bien comprendre les objectifs et les moyens utilisés pour y parvenir. Mais évidemment, il y a en revanche des restrictions en termes d’utilisation des traitements, de limitation par rapport à ce que les équipes pourraient vouloir faire… Ce qui nous conduit parfois à demander des modifications, comme la limitation du nombre de données utilisées, voire à annuler purement et simplement des projets.

La conformité est un sujet très important pour Allianz. Nous essayons donc d’être très réactifs, mais nous sommes également attentifs à tous les autres enjeux éthiques. Nous avons ainsi également créé un comité d’utilisation responsable de la donnée, qui peut aborder toutes les dimensions qui ne relèvent pas uniquement des aspects réglementaires et techniques.