Utiliser l'IA en toute sécurité : Défis juridiques

Avec l'introduction de ChatGPT, Google Gemini et d'autres applications GenAI, les entreprises ne s'aventurent pas seulement sur un terrain technique inconnu. Elles opèrent également dans un domaine qui exige de nouvelles responsabilités et pose des défis juridiques aux décideurs et aux collaborateurs.

Plusieurs médias ont rapporté que Samsung a récemment suspendu l'utilisation interne de ChatGPT. La raison : les ingénieurs avaient saisi du code source secret pour le débogage et des notes de réunion confidentielles dans la fenêtre de chat. Ils n'avaient pas pensé qu'OpenAI utiliserait les informations divulguées pour former le logiciel et qu'il pourrait les transmettre à n'importe qui. 

Ce cas montre à quel point les entreprises peuvent être rapidement accusées de ne pas avoir pris les mesures de confidentialité adéquates. En raison des conditions d'utilisation, les fournisseurs de GenAI ne sont pas considérés comme des contrevenants. Les responsables sont plutôt les employés, les managers et la direction. Et cela vaut également s'ils divulguent involontairement des secrets d'entreprise, des données confidentielles de clients ou des données personnelles. En fonction de l'ampleur du préjudice et du motif de l'infraction, les conséquences vont de l'avertissement au licenciement sans préavis, en passant par des dommages et intérêts et une peine de prison. 

Il est certes possible de faire supprimer les informations par l'exploitant de l'IA après coup. Cependant, la meilleure protection, même pour les applications d'IA protégées par API, est de ne pas utiliser de données confidentielles dans les invites. Pour les informations sensibles des clients, fournisseurs et autres parties prenantes, il convient de vérifier les contrats et les obligations de confidentialité pour savoir si les données peuvent être utilisées dans les outils GenAI et lesquelles.

Le règlement général sur la protection des données (RGPD) fixe des normes élevées pour l'utilisation des données personnelles. En conséquence, les entreprises sont également tenues de s'assurer que les systèmes d'IA sont utilisés conformément aux exigences du RGPD. 

Il faut par exemple veiller à ce que les données d'entraînement et les algorithmes d'IA utilisés n'entraînent pas de discrimination ou de préjugés qui désavantageraient de manière inadmissible les collaborateurs, les clients ou les candidats. Si les contre-mesures prises ne suffisent pas, l'entreprise devra répondre de ses actes en cas de plainte et payer des dommages et intérêts en cas de défaite.

Un risque supplémentaire réside dans le fait que le traitement des données personnelles avec les applications GenAI peut également avoir lieu en dehors de l'UE. Si ce processus n'est pas conforme au RGPD, tu risques de lourdes amendes.

Avec le pacte sur l'IA, l'Union européenne souhaite encadrer l'utilisation d'applications basées sur l'IA de manière sûre. Fin 2023, le Parlement européen et les États membres de l'UE se sont mis d'accord sur une version qui donne un aperçu de la loi qui devrait entrer en vigueur en 2026. Les applications d'IA y sont classées en trois catégories de risques :

Risque élevé inacceptable

Applications d'IA considérées comme une menace pour les droits fondamentaux et la sécurité des citoyens de l'UE et interdites aux entreprises, comme les systèmes de surveillance ou le scoring social. 

Risque élevé

Les applications d'IA qui ne sont pas explicitement interdites, mais qui peuvent entraîner des désavantages, par exemple les applications d'IA pour aider à la sélection des candidats. 

Faible risque

Tous les autres systèmes d'IA, y compris les chatbots ou les jeux vidéo avec IA. 

Afin d'éviter les risques de sécurité et les violations de la protection des données, les entreprises devraient déjà, pour leurs évaluations internes, se baser sur l'approche du pacte sur l'IA de l'UE, qui est fondée sur les risques. Les applications d'IA présentant un risque élevé inacceptable doivent être désactivées. Dans le cas de l'IA à haut risque, par exemple dans l'analyse du personnel ou dans le recrutement RH, il faut particulièrement tenir compte des exigences futures pour l'utilisation. Les entreprises doivent veiller à la transparence et respecter les directives en matière de documentation technique et d'enregistrement des événements. Elles doivent également se pencher sur les exigences futures en matière de précision, de robustesse et de cybersécurité des systèmes et adapter leurs processus aux exigences de la directive européenne. 

Indépendamment de cela, il est recommandé d'élaborer un cadre de base pour l'utilisation des applications GenAI sur le lieu de travail, qui minimise les risques et empêche les développements erronés. Les points suivants en font partie :

• Effectue une évaluation complète de la gestion des risques de conformité et documente les résultats.
• Crée un guide réglementaire pour l'utilisation des applications GenAI.
• Mets en place une taskforce IA pour ancrer solidement le guide dans la culture de l'entreprise et du travail par le biais de la communication et du pilotage.
• Assure un suivi continu des processus opérationnels et définis les processus de notification et d'escalade nécessaires.  
• Clarifie qui doit avoir quel accès aux applications GenAI dans l'entreprise et pour quels collaborateurs l'utilisation doit être limitée ou interdite pour protéger les secrets commerciaux. Adapte les directives et les instructions de travail en conséquence.

Il faut retenir que l'utilisation des applications GenAI par les entreprises et leurs collaborateurs nécessite quelques précautions. Les risques sont considérables, les limiter efficacement est une entreprise difficile. C'est aussi l'avis du législateur. C'est pourquoi, avec le pacte sur l'IA de l'UE, les entreprises seront obligées de former leurs collaborateurs à l'utilisation de GenAI.  

Compte tenu du développement technologique dynamique, de l'impact profond sur les routines de travail et des incertitudes qui y sont liées, les mesures de formation classiques atteindront rapidement leurs limites. C'est pourquoi les entreprises devraient envisager rapidement une solution qui aide leurs collaborateurs à répondre aux questions sur l'utilisation correcte et légale des applications GenAI ainsi que sur les processus, directives et procédures correspondants directement dans le cadre du travail.

Une plateforme d'adoption digitale comme la tts performance suite offre exactement ce soutien : Elle propose une aide intégrale directement dans le flux de travail et veille à ce que les nouvelles technologies soient utilisées de manière efficace et conforme aux exigences de conformité. L'approche side-by-side unique de la tts performance suite place une fenêtre d'aide comme une sidebar à côté de l'application d'IA. Les utilisateurs ont ainsi accès à des informations sur les outils d'IA approuvés et les règles de conformité, ainsi qu'à de l'aide pour le prompting et des messages-guides exemplaires, sans avoir à quitter l'outil d'IA. De cette manière, les collaborateurs sont assurés d'utiliser le programme GenAI à tout moment de manière sûre et souveraine, en accord avec les directives de l'IA.