Profil IA générative
Le NIST a publié en 2024 un profil IA générative pour aider les organisations à identifier les risques propres à l’IA générative et choisir des mesures adaptées.
Acheter un logiciel IA ressemble à de l’achat. En pratique, c’est de la gouvernance. Un outil peut sembler simple en démonstration et créer pourtant des questions complexes sur les données, l’entraînement du modèle, la qualité, l’auditabilité, le comportement des utilisateurs et la responsabilité.
Le meilleur moment pour poser ces questions est avant l’achat, pas après le déploiement. Une fois l’outil intégré aux workflows, l’arrêter devient plus difficile.
La démo cache la surface de gouvernance
Les fournisseurs montrent la vitesse: rédiger, chercher, synthétiser, répondre plus vite. Les acheteurs doivent aussi chercher le contrôle: quelles données entrent, où vont-elles, qui y accède, combien de temps sont-elles conservées, servent-elles à entraîner des modèles, comment le résultat est-il revu et qui porte le risque métier?
Sept questions avant l’achat
1. Quelles données l’outil traitera-t-il?
Listez les données: publiques, internes, confidentielles, personnelles, sensibles, réglementées, clients, patients, employés, secrets commerciaux, informations non publiées.
2. Les données servent-elles à entraîner le modèle?
La réponse doit être explicite. Demandez si prompts, fichiers, sorties, métadonnées, feedback ou embeddings sont concernés.
3. Où les données sont-elles stockées et traitées?
La localisation compte pour la protection des données, la confidentialité, les attentes clients et les transferts internationaux.
4. Quels contrôles d’accès, conservation et suppression existent?
Demandez rôles, logs, contrôles admin, suppression, durée de conservation, export et offboarding.
5. L’outil soutient-il la revue humaine?
Un bon outil IA facilite la revue: sources, limites, citations, correction et traçabilité.
6. Quelles preuves l’organisation peut-elle conserver?
La gouvernance dépend des preuves: validations, flux de données, conditions fournisseur, analyse de risque, tests, formation et incidents.
7. Qui porte la décision métier?
IT, juridique, conformité, achat et sécurité peuvent revoir l’outil. Mais un responsable métier doit assumer pourquoi l’outil est utilisé, dans quel workflow et sous quels contrôles.
Pack de revue fournisseur IA
0/0Un petit pilote avant le déploiement
Le pilote doit tester le workflow, pas seulement l’outil. Définissez qualité, temps gagné, taux d’erreur, charge de revue, comportement utilisateur, données et escalade.
Le NIST AI RMF et son profil IA générative aident à relier risques et contexte. ISO/IEC 42001 ajoute la discipline de système de management.
Prochaine étape
Avant la prochaine démo fournisseur, préparez une fiche de revue d’une page. Si les questions sur données, entraînement, conservation, revue et preuves ne reçoivent pas de réponse claire, ce n’est pas un détail pour plus tard.