Un cadre volontaire du National Institute of Standards and Technology des États-Unis pour gérer les risques tout au long du cycle de vie des systèmes d'IA.
Le NIST AI Risk Management Framework (AI RMF 1.0), publié le 26 January 2023, est un document d'orientation volontaire élaboré par le National Institute of Standards and Technology afin d'aider les organisations à concevoir, développer, déployer et utiliser des systèmes d'IA de manière fiable et responsable. Bien qu'il ne soit pas juridiquement contraignant, le NIST AI RMF est devenu une norme de facto pour la gouvernance de l'IA aux États-Unis et il est de plus en plus cité dans les orientations réglementaires à travers le monde.
Le cadre s'articule autour de quatre fonctions essentielles : Govern, Map, Measure et Manage. Ces fonctions offrent une approche souple et structurée de la gestion des risques liés à l'IA, qui peut être adaptée à la taille, au secteur et à la tolérance au risque de toute organisation.
La fonction GOVERN établit et maintient les structures, politiques et processus organisationnels de gestion des risques liés à l'IA. Elle met l'accent sur la responsabilité de la direction, l'engagement des parties prenantes et l'intégration de la gestion des risques liés à l'IA dans la gestion plus large des risques de l'entreprise. Cette fonction reconnaît qu'une gouvernance efficace de l'IA exige un changement culturel, et pas seulement des contrôles techniques.
La fonction MAP consiste à comprendre le contexte dans lequel les systèmes d'IA fonctionnent. Elle implique d'identifier et de catégoriser les systèmes d'IA, de comprendre leurs finalités prévues et leurs impacts potentiels, et de reconnaître le contexte sociétal plus large du déploiement de l'IA. La cartographie comprend également l'identification des parties prenantes pertinentes et la compréhension du paysage juridique et réglementaire.
La fonction MEASURE met l'accent sur l'emploi de méthodes quantitatives et qualitatives pour analyser, évaluer, comparer et surveiller les risques liés à l'IA et leurs impacts associés. Cela inclut l'élaboration d'indicateurs pour les caractéristiques de fiabilité telles que l'exactitude, l'équité, la confidentialité, la sécurité, la résilience, la transparence, l'explicabilité et la responsabilité.
La fonction MANAGE consiste à allouer des ressources et à mettre en œuvre des plans pour répondre aux risques liés à l'IA, s'en rétablir et communiquer à leur sujet. Elle comprend la hiérarchisation des risques, la mise en œuvre de stratégies d'atténuation et l'établissement de processus de surveillance et d'ajustement continus.
Le document d'accompagnement, le NIST AI RMF Playbook, propose des actions suggérées et des références pour chaque sous-catégorie, ce qui rend le cadre très pratique à mettre en œuvre. Le Playbook est un document vivant que le NIST met à jour au fur et à mesure de l'évolution des pratiques.
Le NIST AI RMF a été élaboré dans le cadre d'un vaste processus multipartite associant des centaines d'organisations issues de l'industrie, du monde universitaire, de la société civile et des pouvoirs publics. Ce processus d'élaboration collaboratif a conféré au cadre une large légitimité et une acceptation étendue dans tous les secteurs.
Dans le contexte du paysage réglementaire américain, le NIST AI RMF sert de référence fondamentale. L'Executive Order on AI Safety de 2023 fait explicitement référence au NIST AI RMF, et plusieurs agences fédérales américaines l'ont intégré dans leurs orientations en matière de gouvernance de l'IA. Les législations sur l'IA au niveau des États, telles que le Colorado AI Act, font également référence aux normes du NIST.
GOVERN : Établir des structures de gouvernance de l'IA avec des rôles, des responsabilités et une obligation de rendre compte clairs
GOVERN : Élaborer des politiques et des processus organisationnels de gestion des risques liés à l'IA
GOVERN : Favoriser une culture de développement et d'utilisation responsables de l'IA
MAP : Inventorier et catégoriser tous les systèmes d'IA selon le contexte, la finalité et le risque
MAP : Identifier les impacts intentionnels et non intentionnels des systèmes d'IA sur les personnes et les communautés
MAP : Comprendre les exigences juridiques, réglementaires et éthiques pour chaque système d'IA
MEASURE : Élaborer et appliquer des indicateurs pour les caractéristiques de fiabilité de l'IA
MEASURE : Évaluer la performance, l'équité, les biais et la fiabilité des systèmes d'IA
MEASURE : Surveiller les systèmes d'IA pour détecter la dérive, la dégradation et les risques émergents
MANAGE : Hiérarchiser les risques d'IA identifiés en fonction de l'impact et de la probabilité
MANAGE : Mettre en œuvre des stratégies de réponse aux risques (atténuer, transférer, accepter, éviter)
MANAGE : Établir des plans de réponse aux incidents et de communication en cas de défaillance de l'IA
Mobiliser des parties prenantes diverses tout au long du cycle de vie de l'IA
Documenter et communiquer les activités et les décisions de gestion des risques liés à l'IA
Le NIST AI RMF est un cadre volontaire. Toutefois, il est cité dans l'Executive Order on AI des États-Unis et il est de plus en plus utilisé comme référence dans les marchés publics fédéraux, la législation des États et les normes sectorielles. Son adoption témoigne d'une pratique responsable de l'IA.
Le NIST AI RMF est un cadre volontaire de gestion des risques, tandis que l'EU AI Act est une loi contraignante. Le RMF fournit des orientations souples pour gérer les risques liés à l'IA ; l'EU AI Act impose des obligations juridiques spécifiques assorties de sanctions. De nombreuses organisations utilisent les deux : le RMF pour la gouvernance et l'EU AI Act pour la conformité juridique.
Oui. Le NIST a publié le Generative AI Profile en April 2024, fournissant des orientations spécifiques pour gérer les risques associés aux systèmes d'IA générative, notamment la provenance des contenus, l'intégrité de l'information et des risques inédits tels que l'hallucination et les informations CBRN.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.