Intégration de l’IA dans les processus commerciaux : guide juridique pour cadres supérieurs

Afin que l’introduction d’outils d’IA comme ChatGPT ou Microsoft Copilot dans l’entreprise soit réussie, comprendre les outils disponibles est décisif. Dans cet article de blog, nous nous concentrerons sur les outils de génération de langage basés sur des Large Language Models (LLM) et exploitant la génération prédictive de texte. On trouve sur le marché de nombreux outils basés sur les LLM et destinés aux entreprises à usage interne et externe.

Nous allons regarder plus en détail les cas d’utilisation d’internes et les systèmes d’assistance par IA pour générer du texte et qui ont vocation à soutenir un utilisateur humain. De tels systèmes d’assistance peuvent effectuer de nombreuses tâches, de la rédaction de newsletter à la recherche en ligne.

Nous n’allons pas aborder les solutions comme les chatbots de support client et les systèmes d’IA autonomes capables de prendre des décisions en toute indépendance.

Nous allons nous pencher en particulier sur deux catégories centrales d’outils IA :

• Les outils de génération textuelle : ceux-ci sont soit basés essentiellement sur des LLM ou utilisent la technologie de Retrieval Augmented Generation (RAG) avec des sources publiques et internet. Un bon exemple ici est ChatGPT, le produit phare d’OpenAI.
• Les outils avec des accès API aux documents internes : ils utilisent la technologie RAG et ont accès aux documents internes de l’entreprise. C’est par exemple le cas de Microsoft Copilot et son intégration à Office 365.

L’utilisation de tels outils peut permettre aux entreprises d’améliorer l’efficacité des processus internes et d’augmenter la productivité de ses employé.e.s.

Identifier les principaux risques juridiques

L’utilisation d’outils d’IA comporte plusieurs risques auxquels les entreprises doivent faire attention :

Informations erronées : Les LLM génèrent du texte en se basant sur leurs données d’entraînement et sur la probabilité. Ainsi, ils sont capables de donner des réponses certes convaincantes, mais factuellement fausses, surtout lorsqu’elles tirent leurs informations de sources non pertinentes. Cela peut entraîner des risques de responsabilité et des risques juridiques.

Divulgation involontaire de données : Les systèmes d’IA qui ont accès aux bases de données internes pourraient divulguer accidentellement des informations sensibles, ce qui peut entraîner des violations de la protection des données. Par exemple, des données concernant le salaire pourraient être dévoilées par erreur.

Flux de données : L’utilisation d’outils d’IA peut mener au transfert de données à l’étranger. Les lois suisses limitent de tels transferts en particulier en ce qui concerne les données sensibles. Les utilisateurs peuvent, sans le savoir, enfreindre les accords de confidentialité lorsqu’ils saisissent des données sensibles dans des outils d’IA.

Utilisation abusive de données personnelles dans le cadre de l’entraînement de modèles d’IA : Il y un risque que des données sensibles qui sont entrées dans une intelligence artificielle soient utilisées pour l’entraînement du modèle, ce qui pourrait conduire à une reproduction d’informations confidentielles et donc à une violation de la protection des données.

Les entreprises devraient évaluer soigneusement ces risques et prendre les mesures appropriées pour garantir la protection des données et la conformité.

Les stratégies de réduction des risques lors de l’utilisation de l’IA

Comment les entreprises peuvent-elles exploiter le potentiel de l’IA tout en minimisant les risques juridiques ? Il n’existe pas de recette toute faite. Les mesures concrètes doivent être fixées au cas par cas. Cependant, suivre certains principes de base vous permet de vous rapprocher considérablement de la conformité :

1. Permettre une utilisation sécurisée

Protégez les membres de votre équipe : bien entendu, vous pourriez simplement interdire dès maintenant l’utilisation de tels outils d’IA dans votre entreprise. Mais ce n’est pas recommandé. En dehors du fait que vous perdriez alors votre compétitivité, cela ne vous protège pas non plus automatiquement sur le plan juridique. Il n’est pas rare que les employé.e.s se tournent alors vers leurs outils d’IA privés pour augmenter leur performance au travail. En tant qu’employeur, il est important d’éviter ce genre de situation et d’assurer à ses employé.e.s un accès sécurisé aux systèmes d’IA nécessaires. Cela inclut les abonnements d’entreprise.

Formation des employé.e.s : Comme pour tout instrument de travail, les employé.e.s ont besoin de formation adaptée. Compte tenu des risques susmentionnés et du potentiel d’erreur humaine dont les conséquences peuvent être relativement graves, les entreprises devraient investir dans des formations à la protection des données et à la sécurité de l’information spécifiques à l’IA. Elles permettront ainsi à vos collaboratrices et collaborateurs d’utiliser les outils d’IA de manière efficace et sûre dans leur travail quotidien.

Fixer les règles : le manque de règles internes claires expose les entreprises à des risques considérables qui pourraient mener à des violations de la protection des données. La mise en place de directives claires qui définissent les conditions d’utilisation, les scénarios autorisés et les cas interdits contribue à ce que les collaboratrices et collaborateurs sachent exactement ce qu’on attend d’eux.

2. Choisir les bons outils

Lors du choix d’un outil d’IA, vous devez veiller à ce qu’il s’agisse d’un système fiable et qui ne vous met pas en danger.

• Adoptez une mentalité de « Privacy by Design » (PbD) : par défaut, vous intégrez des mesures techniques et organisationnelles qui vous assurent le respect d’exigences en matière de protection des données lors de l’utilisation de l’IA. Parmi ces mesures, on compte la désactivation du paramètre de sauvegarde des données à des fins d’entraînement des modèles d’IA, la limitation de l’historique des saisies aux données spécifiques à la session et l’interdiction de publication automatique des données de sortie. Vous pouvez également envisager d’héberger en local un LLM open source plutôt que d’utiliser un outil SaaS.
• Réalisez une analyse d’impact : une analyse d’impact concernant la protection des données, c’est-à-dire une estimation des risques qui pèsent sur la protection des données personnelles, est prescrite par le RGPD européen dans le cadre du traitement des données qui sont susceptibles d’entraîner des risques élevés pour les droits et libertés des personnes. Les systèmes d’IA répondent souvent à ce dernier critère, étant donné leur complexité et les possibilités de traitement. Cela signifie que si vous avez recours à des fournisseurs d’IA externes, vous devez obtenir des informations détaillées sur les fonctionnalités des systèmes d’IA pour évaluer ses risques inhérents.
• Concluez des contrats adaptés : vous devez convenir de clauses spécifiques avec vos fournisseurs d’IA. Dans la plupart des cas, ceux-ci agissent en tant que responsables du traitement des données et vous devez formaliser cette relation par un accord de traitement des données, en définissant les responsabilités et les obligations en matière de traitement des données.

3. Utiliser l’intelligence artificielle de manière réfléchie

Le choix de votre système n’est que la moitié du processus. Vous devez ensuite vous assurer que votre utilisation est également sécurisée et qu’elle répond aux exigences légales en vigueur.

• Faites attention aux lois sur la protection des données : Lorsque vous traitez des données personnelles via une IA, vous êtes soumis à la législation sur la protection des données. Ainsi, les réponses de systèmes d’IA qui contiennent par inadvertance des données personnelles peuvent avoir des conséquences juridiques. Pour cette raison, il est important d’informer les personnes concernées sur la collecte, le traitement et la communication éventuels de leurs données à et par des tiers. S’assurer de l’existence d’une base légale respectant le règlement pour la protection des données (RGPD) et la loi suisse sur la protection des données (LPD) pour l’utilisation de systèmes d’IA est décisif.
• Traitez les données personnelles sensibles avec grande prudence : Le RGPD et la LPD prévoient des mesures de sécurité plus strictes lorsqu’il s’agit de données relatives à la santé, la religion ou les données biométriques. De telles données ne doivent être traitées que dans des cas clairement encadrés et seulement avec le consentement explicite des personnes concernées.
• Vérifiez les résultats : étant donné que les modèles d’IA ont tendance à halluciner des informations, leurs réponses doivent être vérifiées avant d’être utilisées, en particulier dans les scénarios qui intègrent des données personnelles.

L’IA donne la possibilité de faire évoluer votre entreprise en améliorant l’efficacité et la créativité tout en instaurant des processus fluides. Mais comme toute technologie, elle n’est pas sans risques. Ceux-ci doivent être pris en considération. Si vous vous tenez aux points susmentionnés, vous vous assurez une adoption paisible et protégez votre entreprise et vos clients de potentiels problèmes.