Le NIST AI Risk Management Framework (AI RMF 1.0), publié en janvier 2023, est le pendant opérationnel de l’AI Act européen. L’AI Act vous dit ce que la loi exige ; le NIST AI RMF vous fournit une méthode volontaire et indépendante des fournisseurs pour concevoir et exploiter concrètement une IA digne de confiance. Pour les organisations belges, combiner les deux est une approche puissante : utilisez le RMF comme manuel opérationnel et il produira l’essentiel des preuves qu’attend l’AI Act.
TL;DR
- Quatre fonctions : Govern (gouverner), Map (cartographier), Measure (mesurer), Manage (gérer) — Govern s’applique aux trois autres.
- Ancré dans sept caractéristiques d’une IA digne de confiance (valide, sûre, sécurisée, responsable, explicable, respectueuse de la vie privée, équitable).
- Le Generative AI Profile (NIST AI 600-1, juillet 2024) ajoute 12 risques propres à l’IA générative.
- Il est volontaire — mais s’aligne directement sur les obligations de gestion des risques de l’AI Act.
- À utiliser comme le comment sous-jacent à vos obligations issues de l’AI Act et du RGPD.
Les quatre fonctions
| Fonction | Ce que vous faites |
|---|---|
| Govern (gouverner) | Construire la culture, les politiques, les rôles et la responsabilité en matière de risque IA. S’applique transversalement aux trois autres fonctions. |
| Map (cartographier) | Établir le contexte : la finalité du système, les parties prenantes, l’usage prévu et les préjudices potentiels. Cadrer le risque avant de le mesurer. |
| Measure (mesurer) | Évaluer, tester et suivre les risques par des méthodes quantitatives et qualitatives — biais, robustesse, sécurité, dérive. |
| Manage (gérer) | Prioriser, traiter et surveiller les risques tout au long du cycle de vie ; allouer des ressources ; réagir aux changements. |
Les sept caractéristiques d’une IA digne de confiance
Le cadre définit la fiabilité à travers des propriétés concrètes qu’un système d’IA doit posséder : valide et fiable (le socle), sûre, sécurisée et résiliente, responsable et transparente, explicable et interprétable, respectueuse de la vie privée, et équitable avec des biais préjudiciables maîtrisés. Ce sont délibérément les mêmes préoccupations que l’AI Act impose aux systèmes à haut risque — précision, robustesse, transparence, surveillance humaine, non-discrimination — c’est pourquoi un système construit avec le RMF parle déjà en grande partie le langage de l’AI Act.
Le Generative AI Profile
Parce que l’IA générative soulève des risques spécifiques, le NIST a publié le Generative AI Profile (NIST AI 600-1) en juillet 2024. Il recense douze catégories de risques propres à l’IA générative ou amplifiés par elle — notamment la confabulation (hallucination), la dégradation de la vie privée liée aux données, les biais préjudiciables, l’intégrité de l’information, la sécurité de l’information, l’exposition à la propriété intellectuelle et le risque lié à la chaîne de valeur et à l’intégration des composants — et associe des actions suggérées aux fonctions Govern/Map/Measure/Manage. Si vous déployez des systèmes RAG ou LLM, ce profil est la liste de contrôle des risques la plus pratique disponible.
Complémentarité avec l’AI Act européen
| Dimension | AI Act européen | NIST AI RMF |
|---|---|---|
| Nature | Loi contraignante (UE) | Cadre volontaire (mondial) |
| Question traitée | À quoi dois-je me conformer ? | Comment gérer opérationnellement le risque IA ? |
| Gestion des risques | Obligatoire pour les systèmes à haut risque | Méthode Map / Measure / Manage |
| Gouvernance | Obligations fournisseur/déployeur | Fonction Govern |
| IA générative | Obligations GPAI | Generative AI Profile (600-1) |
Aucun ne remplace l’autre. La démarche pragmatique pour une organisation belge consiste à adopter le RMF comme moteur et à considérer l’AI Act comme la destination : gouverner, cartographier, mesurer et gérer votre IA vous permettra de constituer l’essentiel de la documentation, de la supervision et des preuves de gestion des risques que la loi exige — tout en rassurant des clients bien au-delà de l’UE.
Pour commencer
- Govern en premier : attribuez la responsabilité du risque IA et définissez une politique légère — réutilisez votre gouvernance sécurité existante.
- Map chaque cas d’usage IA : finalité, parties prenantes, données, préjudices potentiels.
- Measure avec des tests proportionnés — vérifications des biais, red-teaming, évaluation de la sécurité et de la robustesse.
- Manage en cycle, en priorisant les risques à impact le plus élevé ; pour l’IA générative, parcourez les catégories du profil 600-1.
- Croisez les résultats avec vos obligations issues de l’AI Act et du RGPD afin qu’un seul effort serve les trois.
Information générale, non un conseil juridique. ICTLAB aide les organisations belges à opérationnaliser la gestion du risque IA avec le NIST AI RMF aux côtés de l’AI Act — découvrez nos services IA & LLM, la liste de contrôle de déploiement IA dans l’UE, ou parlez à notre équipe.