IA en entreprise : 4 enjeux clés pour se doter d’une saine gouvernance des données

IA en entreprise : 4 enjeux clés pour se doter d’une saine gouvernance des données

En tant qu’entreprise, à quels aspects faut-il s’attarder pour définir un cadre de gouvernance des données, et pourquoi est-ce si important d’y porter une attention particulière lorsqu’on mène un projet d’intelligence artificielle? Pour répondre à ces questions, CScience s’entretient avec trois experts du Centre de recherche informatique de Montréal (CRIM), qui pilotent son programme NUMERIA, consacré à accompagner les organisations dans la concrétisation d’un projet d’intelligence artificielle.

Il incombe à toute entreprise qui se lance dans l’intégration et le développement de l’intelligence artificielle de se doter d’un cadre de gouvernance clair et efficace, qui lui permettra à la fois de maximiser son succès et d’éliminer les risques inhérents au projet.

Dérisquer un projet d’intelligence artificielle : 5 notions clés

1. Être sensibilisé aux implications de son projet

David Garson

Lorsqu’on parle de « gouvernance de données », on pense immédiatement aux notions de conformité et de sécurité. « Dans le contexte où l’on souhaite dérisquer un projet impliquant la collecte et l’analyse de data, la sécurité fait effectivement partie de ce qu’on évalue, à savoir comment les données sont utilisées, dans quel cadre elles sont stockées, et à quel point les entreprises en ont la maîtrise. Pour moi, la gouvernance de données consiste en la maîtrise de l’environnement de ses données et de comment elles sont partagées », explique David Garson, expert en science des données et responsable technique de l’axe 3 du programme NUMERIA au CRIM, soit celui de l’analyse et de la valorisation des données.

2. Garantir sa conformité aux nouvelles normes légales

Depuis l’avènement de nouvelles réglementations, telles que la Loi 25 au Québec, qui encadre la gestion des renseignements personnels et interdit certaines pratiques de collecte d’informations sur les utilisateurs, il faut redoubler de vigilance quant au maintien d’une saine gouvernance de ses données.

« (…) l’enjeu prioritaire pour les entreprises du Québec demeure celui de la préservation de leur réputation et de la confiance du public à leur égard, puisqu’elles peuvent être difficiles à restaurer après la compromission de la sécurité de leurs données. »

– Camélia Raymond, scientifique de données au CRIM, principalement mobilisée sur le deuxième volet de NUMERIA

« La Loi 25 est en quelque sorte l’homologue du Règlement général sur la protection des données (RGPD) en Europe. C’est très nouveau. C’est une zone floue pour les gens. Il y a un vide à combler parce qu’ils disposent de peu d’expérience et de repères auxquels se référer, alors on part de loin », de suggérer Jordan Gierschendorf, scientifique de données senior au CRIM, qui se concentre surtout sur l’axe du programme NUMERIA consistant à structurer et à identifier les cas d’usages.

Camélia Raymond

Pour Camélia Raymond, scientifique de données qui se consacre surtout au volet propre au mentorat, « il est certain qu’il faudra une période d’adaptation aux normes exigées par la nouvelle législation. Mais de tous les enjeux qui s’y rapportent, l’enjeu prioritaire pour les entreprises du Québec demeure celui de la préservation de leur réputation et de la confiance du public à leur égard, puisqu’elles peuvent être difficiles à restaurer après la compromission de la sécurité de leurs données. » C’est d’autant plus vrai pour les PME, qui comptent pas moins de 99,8 % du paysage entrepreneurial québécois, et qui ont moins de marge d’absorption en cas de crise.

« Dans notre première phase d’accompagnement avec NUMERIA, on s’attarde à la démystification, non pas seulement pour le manque de connaissance, mais aussi pour le manque de conscience des entreprises quant à cette réalité et à l’étendue des dimensions à couvrir pour mener un projet en intelligence artificielle tel qu’elles ambitionnent de le faire », de compléter la scientifique de données.

3. Cibler les besoins et enjeux spécifiques de son entreprise et son industrie

Outre le fait d’être sensibilisé à ces enjeux et de se donner les bonnes bases, on doit pouvoir exploiter le plein potentiel des données collectées et traitées. « Il y a des compagnies qui cumulent un peu plus d’années d’expérience en termes de collecte de data, mais qui n’ont pas forcément mis en place les bons dispositifs pour développer des projets d’IA, et cela relève aussi de la gouvernance, alors il faut pousser le processus plus loin. Chaque PME a son profil d’expérience et de maturité en contexte d’IA et de prise de données », explique Jordan.

Pour David, tout juste avant d’identifier les sources de données sur lesquelles bâtir son projet d’IA, « il s’agit d’abord de déterminer les besoins de l’entreprise, les points bloquants et processus à améliorer, les attentes propres à l’expansion du marché ciblé, etc., au travers de cas d’usage. De là, on peut identifier les sources de data pertinentes, qu’il s’agisse de bases de données internes ou d’autres à intégrer. »

La collecte et le partage de données se veulent plus sensibles dans certains secteurs, comme celui de la santé où, pour des raisons d’ordre éthique, s’impose le respect de plusieurs mesures d’encadrement. « Il faut sensibiliser les entreprises aux bonnes pratiques et les encourager à faire leurs recherches et leurs devoirs, afin qu’elles s’assurent de la conformité de leurs usages aux normes et exigences propres à leur domaine », de préciser Camélia. « Il ne faut pas non plus oublier que ce n’est pas parce que des données sont publiques qu’elles sont commercialisables. Elles ne peuvent parfois être utilisées qu’à des fins de recherche ou d’exploration », souligne David, indiquant que pour ce type de notions, il peut être intéressant de se tourner vers des intervenants externes, tels que des spécialistes légaux, par exemple, ou des organismes dédiés.

Quand la Loi 25 entraîne la fermeture des sites de rencontre québécois…

4. Savoir quand et comment anonymiser ou dépersonnaliser les données

Pour certains cas d’usage plus difficiles à reconnaître, il faut impérativement s’en remettre à des spécialistes de la donnée qui pourront, par exemple, distinguer les cas demandant une dépersonnalisation des données de ceux requérant leur anonymisation, et ce en fonction des besoins, suggère Camélia.

Jordan Gierschendorf

« Lorsqu’on dispose de données tabulaires, telles que le nom et l’adresse de quelqu’un, ou encore son numéro de compte bancaire, il apparaît évident qu’il s’agit de renseignements sensibles et qu’il faut les supprimer. Mais dans le cas d’une image, ou de visages pouvant être perçus sur une photo, c’est moins évident, pense Jordan. Qu’est-ce qu’on considère comme étant un visage anonymisé? Suffit-il d’en cacher les yeux? Ou est-ce que le cerveau humain reste en mesure de deviner ce que l’on cache avec ce qui est montré? Cet exemple illustre à quel point les processus de dépersonnalisation et d’anonymisation diffèrent d’un cas à l’autre, en termes d’expertise, d’application et de degré de complexité. »

Il donne aussi l’exemple d’une compagnie pharmaceutique qui pourrait vouloir analyser les attributs faciaux à partir de photos. « Contrairement à des images obtenues de caméras de surveillance, de moins bonne résolution, celles-ci devront être de très haute définition, ce qui veut dire qu’elles seront difficiles à anonymiser. » Ce problème pourrait être accentué par la possession d’une série d’images du même individu, dont il serait alors possible de recouper certains traits le caractérisant, communs à toutes les photos, pour en lever l’anonymat.

« Autre mise en situation : dans le cas où une entreprise aurait besoin d’analyser des transactions faites sur un compte bancaire, on peut imaginer qu’il faudrait exclure certains renseignement sensibles, dont la description de la personne titulaire du compte. Or, même en se concentrant strictement sur les informations relatives aux transactions, on peut obtenir des informations qui trahissent certains traits identitaires de l’individu, à savoir son sexe, son lieu de résidence, son statut de grossesse, etc. », propose enfin Camélia.

Même si elle détient déjà des données, une entreprise doit ainsi s’assurer de satisfaire aux exigences globales ainsi qu’à celles ciblées par son milieu ou industrie, et être certaine d’avoir le droit de les utiliser, ce qui ne relève pas toujours de l’évidence pour les organisations, qui pensent parfois à tort qu’elles peuvent faire ce qu’elles veulent des données qu’elles ont collectées.

DOSSIER : ADOPTER L’INTELLIGENCE ARTIFICIELLE EN ENTREPRISE

Crédit Image à la Une : Ron Lach, ThisIsEngineering et cottonbro studio (Pexels)