Auteur : Paige Cheasley
Au-delà des menaces externes, les organisations se butent désormais à des risques créés par la façon dont les employés emploient l'intelligence artificielle générative (IA) dans les tâches de routine. Tandis que les organisations se concentrent à juste titre sur la confidentialité, la propriété intellectuelle et la qualité de production, plusieurs négligent une menace plus simple : l'erreur humaine. Les employés utilisent déjà des outils d'IA pour rédiger des courriels, analyser les tendances et appuyer des décisions. Mais que se passe-t-il lorsqu'une personne télécharge des données confidentielles dans un modèle public ou agit en fonction d'informations erronées générées par l'IA?
Le rapport de référence Gallagher 2025 sur l'IA a révélé que 34 % des chefs d'entreprise sont préoccupés par les hallucinations de l'IA, c'est-à-dire des cas où les outils d'IA générative produisent des informations qui semblent convaincantes, mais qui sont factuellement inexactes ou entièrement fabriquées. Un autre 33 % se concentre sur les risques liés aux données et à la confidentialité, tandis que 31 % sont inquiets quant à l'obligation légale. Ces résultats reflètent une sensibilisation croissante au fait que la technologie en soi n'est pas le seul problème. Il y a aussi la façon dont les gens interagissent avec elle.
Ces situations d'erreur humaine créent des lacunes sur le plan de la responsabilité, et ne s'intègrent pas toujours aisément aux polices d'assurance existantes. Lorsqu'une erreur se produit, qui est responsable? Comment le risque est-il transféré? Les organisations sont-elles aussi protégées qu'elles le croient?
Angles morts de l'assurance à l'ère de l'IA
La plupart des organisations supposent qu'elles sont couvertes, mais les polices d'assurance traditionnelles n'ont pas été établies pour l'IA.
- L'assurance erreurs et omissions technologiques (E&O) est généralement destinée à protéger contre les défauts de logiciels exclusifs. De quelle façon la couverture traiterait les pertes causées par l'utilisation inappropriée d'un outil d'IA accessible au public?
- Les cyberpolitiques sont établies pour les atteintes à la sécurité, le vol de données informatiques et les attaques de rançongiciels. Elles ne peuvent pas couvrir les responsabilités découlant de la confiance d'un employé envers de l'information inexacte générée par l'IA.
- Les politiques des administrateurs et dirigeants (D&O) peuvent couvrir les décisions de direction qui entraînent une perte financière ou un litige, mais uniquement dans des circonstances particulières, comme des actes répréhensibles, une mauvaise gestion ou une violation des obligations fiduciaires, et souvent après l'échéance des autres couvertures.
Des cadres contractuels clairs sont primordiaux en contexte de déploiement de l'IA. Les organisations doivent pouvoir différencier développement de systèmes d'IA exclusifs d'intégration d'outils tiers, car les risques juridiques et opérationnels varient considérablement. Une entreprise qui déploie un outil tiers devrait conclure des contrats limitant la responsabilité associée aux résultats du modèle, ainsi que des accords de niveau de service qui établissent la façon dont les données sont utilisées, stockées et supprimées. Le fournisseur doit également produire des mentions légales claires quant à l'exactitude, aux biais et à la formation d'appoint. Sans elles, les assureurs pourraient repousser une réclamation, exposant potentiellement une organisation.
Cas réels de responsabilité en matière d'IA
À la fin de 2023, l'utilisation par une entreprise d'un agent conversationnel alimenté par l'IA a fait les manchettes, lorsqu'un passager s'y est fié en vue d'obtenir de l'information sur les remboursements de vols. L'agent conversationnel a répondu inexactement qu'un remboursement pouvait être demandé après avoir réservé un billet à prix régulier, puis soumis la documentation par la suite. En fonction de cette interaction, le client a entamé le processus de réservation. Le remboursement ayant été refusé, le client a contesté la décision devant le tribunal. Un tribunal des petites créances a statué en faveur du passager, déclarant que l'entreprise était responsable de l'information fournie par son agent conversationnel. Le tribunal a souligné que les entreprises ne peuvent pas se dissocier des outils numériques qu'elles déploient pour communiquer avec les clients. Dans ce cas, les informations inexactes fournies par l'agent conversationnel avaient la même portée que celle d'un employé.
Cet incident illustre comment une mauvaise communication avec l'IA peut créer une responsabilité juridique et financière concrète. Bien que l'agent conversationnel de l'entreprise ait probablement été conçu pour simplifier le service à la clientèle, il a finalement exposé l'entreprise à la surveillance par le public, à une confusion opérationnelle, à un préjudice à la réputation et à une décision juridique contraignante. Reste à savoir si les pertes financières ont été couvertes par leur assurance contre les cyberrisques, responsabilité générale ou E&O, ce qui demeure flou. Ce qui est clair, c'est que ce type de risque n'est pas théorique; il existe déjà.
Dans un autre exemple, les outils automatisés de dépistage des curriculum vitae ont démontré une tendance à filtrer les candidats minoritaires, ce qui soulève des préoccupations en matière de discrimination. Dans ces cas, il n'y a pas d'intention malveillante, mais un algorithme défectueux et un manque de supervision humaine. Toutefois, la responsabilité incombe toujours à l'organisation qui embauche.
Pour les gestionnaires de risques et les propriétaires d'entreprise, ces cas soulèvent plusieurs questions capitales. Qui surveille la précision de vos outils d'IA? Vos contrats ont-ils été mis à jour pour refléter les limites des modèles génératifs? Et, élément potentiellement vital, vos polices d'assurance actuelles reconnaissent-elles les responsabilités découlant d'une erreur humaine, d'une utilisation inappropriée de l'IA ou d'une communication automatisée trompeuse?
À quoi ressemble l'IA responsable concrètement
Gallagher a souligné que l'adoption responsable de l'IA exige une gouvernance rigoureuse. Cela signifie avoir un responsable désigné pour le risque d'IA, qu'il s'agisse d'un responsable de l'IA, d'un directeur de l'éthique ou d'un autre rôle de confiance. Ce responsable doit superviser l'approvisionnement, la diligence raisonnable des fournisseurs, les essais de modèles et la surveillance post déploiement.
Les entreprises canadiennes peuvent se fier à la Directive sur la prise de décision automatisée (DADM) et à la Loi sur l'intelligence artificielle et les données (AIDA), établies par le gouvernement fédéral, comme points de départ. Les deux préconisent l'utilisation d'évaluations d'impact, la documentation de la logique décisionnelle et l'examen continu des modèles à haut risque.
Mais la gouvernance comprend également la formation. Les employés doivent connaître les outils approuvés, les données qu'ils peuvent et ne peuvent pas saisir, et la façon d'évaluer la fiabilité du contenu généré par l'IA. Les politiques d'IA doivent être aussi claires et exploitables que vos politiques de cybersécurité.
Une gouvernance efficace exige également de doter les employés des connaissances nécessaires pour l'utilisation responsable de l'IA. Le personnel doit être formé sur les outils approuvés, les données qui peuvent être partagées et la façon d'évaluer la fiabilité des résultats générés par l'IA. Des politiques claires et exécutoires en matière d'IA doivent être intégrées à des cadres de gouvernance existants, semblables aux protocoles de cybersécurité.
Pour terminer, les organisations doivent revoir les contrats avec les fournisseurs afin de s'assurer qu'ils correspondent à leurs stratégies de gestion des risques. Lors de l'utilisation d'outils d'IA externes, les contrats doivent inclure des clauses claires sur les indemnités, les plafonds de responsabilité, la conservation des données, les droits en matière de vérification et la responsabilité des résultats. Il ne s'agit pas seulement de formalités légales, mais de mesures de protection essentielles dans un paysage [H3] de l'IA en évolution rapide.
Revoir l'assurance en tant qu'outil stratégique
Quoique l'assurance traditionnelle n'ait pas été conçue en fonction de l'IA, elle commence à évoluer. La clé est d'aborder la couverture de façon stratégique. Les gestionnaires de risques doivent se demander :
- Que se passe-t-il si un employé partage des données sensibles sur ses clients avec une plateforme d'IA générative?
- Que se passe-t-il si votre agent conversationnel trompe les clients et endommage votre marque?
- Que se passe-t-il si un outil décisionnel d'IA filtre les candidats selon une logique inexacte?
Les polices d''assurance erreurs et omissions technologiques (E&O), de cybersécurité et celles relatives aux administrateurs et dirigeants doivent être examinées en tenant compte de ces types de risques. Dans certains cas, les organisations peuvent avoir besoin de demander des avenants particuliers à l'IA ou des polices autonomes qui traitent directement des questions comme l'exactitude du modèle, la responsabilité de tiers ou le préjudice à la réputation.
La recherche de Gallagher montre que les dommages à la réputation causés par une utilisation inappropriée de l'IA sont souvent exclus de la couverture d'assurance standard. Cependant, les assureurs peuvent être plus ouverts à l'adaptation des polices lorsque les organisations font preuve d'une gouvernance rigoureuse. Cela comprend la formation des employés, la documentation des processus décisionnels et le maintien de plans d'intervention clairs en cas d'incident.
Aller de l'avant avec la gouvernance et la couverture
L'IA ne fera que gagner en puissance, mais la puissance sans garde-fous engendre des risques. Les organisations les plus résilientes seront celles qui combinent une gouvernance rigoureuse, des contrats clairs et une assurance spécialement adaptée. Dans cette optique, les entreprises canadiennes devraient commencer par vérifier comment leurs équipes utilisent l'IA, où sont les employés qui interagissent avec celle-ci et quelles données sont saisies.
Ensuite, un examen minutieux de vos contrats est requis. S'assurer que les clauses de responsabilité sont non seulement à jour, mais également alignées sur les risques spécifiques associés à l'IA générative. Le langage habituel pourrait ne plus suffire pour résoudre des problèmes comme l'utilisation inappropriée de données, la désinformation ou les défaillances d'outils de tiers.
Après, évaluez la maturité des programmes de formation internes. Les employés comprennent-ils comment utiliser les systèmes d'IA de manière responsable? Existe-t-il des protocoles définis pour valider les résultats ou signaler les anomalies?
Enfin, collaborez avec un conseiller en assurance afin d'évaluer si la couverture actuelle tient compte du rôle évolutif de l'IA dans vos opérations. Les polices d'assurance devraient refléter à la fois l'utilisation actuelle et les applications prévues, et non seulement l'empreinte technologique plus large.
