Cartographie des risques IA

La cartographie des risques IA consiste à représenter de façon visuelle les scénarios d’usage, les dangers associés et les garde-fous envisagés. L’objectif est de sortir d’une approche purement textuelle pour rendre tangibles les arbitrages : qui est exposé ? à quelle étape du cycle de vie ? quelles mesures existent déjà ?

Deux ressources structurent cette pratique :

1. Le NIST AI Risk Management Framework (sections Map & Measure) – propose de caractériser les risques par type de dommage (sécurité, droits fondamentaux, durabilité), par probabilité et par sévérité. La matrice « Likelihood × Impact » sert de base à une carte des priorités.
2. Le Responsible Tech Playbook de Thoughtworks – son “Risk Mapping Play” invite à distinguer “risques internes” (sur l’équipe, la donnée, le modèle) et “risques externes” (sur les utilisateurs, la société, l’environnement), à matérialiser les déclencheurs et à expliciter les obligations légales ou morales associées. Le livret (2021) propose même un canevas imprimable pour faciliter la session.

Méthode en quatre temps

1. Préparer le périmètre

   • Sélectionner un cas d’usage ou un composant IA précis.
   • Lister les étapes du cycle de vie (collecte de données, entraînement, déploiement, exploitation).
   • Dans l’esprit Thoughtworks, fixer la question directrice : “Quel est le pire qui puisse arriver si cela fonctionne / échoue / est détourné ?”

2. Identifier les risques

   • Brainstorm guidé par les catégories NIST (préjudice individuel, collectif, environnemental, économique).
   • Enrichir avec les check-lists Thoughtworks (biais, confidentialité, dépendance fournisseur, mésusage).

3. Visualiser et prioriser

   • Positionner chaque risque sur une matrice Impact / Probabilité.
   • Annoter les personas affectées et les déclencheurs pour conserver le contexte.
   • Utiliser les zones “Now / Next / Later” proposées par Thoughtworks pour décider de l’ordre de traitement.

4. Documenter les réponses

   • Associer à chaque bloc les contrôles existants (tests, revues humaines, limites d’usage) et les actions à développer.
   • Ajouter des signaux de monitoring (indicateurs d’équité, alertes incidents, retours utilisateurs).

Livrables attendus

• Une carte synthétique (Miro, FigJam, mural physique) réutilisable en comité de gouvernance ou en atelier produit.
• Un registre des risques IA aligné sur le RMF (ID, description, niveau, responsable).
• Un plan d’expériences pour réduire l’incertitude sur les risques les plus critiques.

Références utiles

• NIST – AI RMF 1.0 (fonctions Map & Measure)
• Thoughtworks – Responsible Tech Playbook (Risk Mapping Play, pp. 20-27)
• OECD – AI Risk Management Playbook
• Partnership on AI – Responsible Practices for Synthetic Media
• Métacartes – Numérique Éthique (cartes pour sensibiliser aux risques)