Comment encadrer l’utilisation de l’IA générative en entreprise ?
⏱️: 7 min – Par Constance Daoust, consultante juriste protection des données.
Comment encadrer l’utilisation de l’IA générative en entreprise ?
La réponse de nos experts
Avec une croissance estimée à plus 1400% d’ici les sept prochaines années, l’intelligence artificielle n’a pas fini de faire parler.
Les systèmes reposant sur de l’IA¹ se multiplient et engendrent une évolution de l’environnement de travail au sein des entreprises. 60% des salariés affirment que leur entreprise utilise au moins une fonctionnalité liée à l’intelligence artificielle quand 52% pensent que leur entreprise utilisera des systèmes reposant sur l’IA dans un futur proche².
La question que les organismes (et en particulier les experts IT) se posent est donc de savoir comment encadrer l’utilisation de tels outils en entreprise.
L’IA générative : de quoi s’agit -t-il ?
Comme son nom l’indique, l’IA générative permet de créer des systèmes complexes capables de générer du contenu (vidéo, audio, écrit, etc.).
Le terme « IA générative » renvoie donc à un ensemble d’outils permettant de générer du contenu.
L’utilisateur va saisir une donnée d’entrée pour générer un résultat. Cela peut se présenter sous différentes formes : « voice to text », « text to text », « text to image », « image to image », etc.
Cela permet notamment d’assister les salariés à la rédaction de documents, de trouver des réponses techniques à des questions, de générer des images et contenus graphiques, etc.
Quels risques ?
L’intelligence artificielle peut en effet présenter des risques pour l’entreprise. On peut qualifier les sources de risques comme suit :
- Confidentialité des données métiers et Protection des données (RGPD) : Les systèmes reposant sur l’IA sont en effet gourmands en données, qui permettent à la fois de créer les modèles et d’entrainer et de faire fonctionner les systèmes. Les données de l’entreprise sont souvent le nerf de la guerre. Il est donc important de garantir à la fois la confidentialité des données métiers (process, données clients, etc.) , et la protection des données à caractère personnel. Il faut donc avoir conscience que toute donnée d’entrée utilisée dans un système d’IA sera réutilisée à des fins d’entrainement et de fonctionnement. L’une des questions fondamentales à se poser est donc de savoir comment intégrer les modèles à l’origine du système d’IA dans l’environnement de l’organisme.
- Qualité du contenu produit par l’entreprise : Il est important de s’assurer que les résultats générés sont utilisés de manière raisonnable et éclairée. Le résultat doit toujours s’appuyer sur l’expertise humaine afin d’éviter de produire et diffuser des contenus erronés ou vides de sens, mais aussi d’enfreindre aux règles en matière de propriété intellectuelle.
- Cybersécurité : Qui dit nouvelle technique informatique dit nécessairement nouvelles sources de risques cyber. Sans pour autant être nouveaux, les systèmes d’IA créent une nouvelle porte d’entrée pour les attaquants. Outre la perte possible de données ( et ainsi de possibles violations de données au sens du RGPD) et d’argent, les attaquants pourraient aussi s’en prendre directement aux modèles à l’origine du système et conduire à une perte d’efficacité du système et de ses résultats. Enfin, l’utilisation de certains outils en ligne implique l’installation d’extensions pouvant parfois compromettre le SI de l’entreprise. D’où l’importance d’un encadrement spécifique à l’utilisation de l’IA, et en particulier de l’IA générative en entreprise.
Comment encadrer son utilisation ?
> Réfléchir à son approche
Reste à l’entreprise de choisir si elle autorise ou non l’utilisation de tels outils. Pour cela, les services pour qui ces outils auraient un impact significatif doivent consulter l’ensemble des fonctions supports IT (DPO, RSSI, DSI). Cela permettra de définir une approche qui correspond aux attentes en matière de sécurité de l’infrastructure IT et des pratiques internes.
Interdire leur usage semble quasiment impossible dans le contexte actuel. Qu’il s’agisse d’outils disponibles en ligne (ex : ChatGPT, QuilBot ) ou de solutions SaaS développées à partir d’IA (ex : solution de rédaction des clauses de marchés publics, etc.), elles présentent de réels intérêts en matière de performance et de productivité. Leur utilisation est d’ailleurs parfois déjà effective, sans pour autant que la direction en soit informée… C’est en cela que l’encadrement de leur utilisation à un rôle important à jouer.
> Cartographier et adapter l’existant
Dans un premier, il conviendra de recenser les pratiques au sein de l’organisme, ainsi que les applicatifs potentiellement déjà utilisés. Cela permettra de cartographier les utilisations de manière globale, et ainsi d’avoir connaissance des outils utilisés au sein de l’entreprise. En outre, cela permettra de connaitre les besoins au sein de l’entreprise.
A Savoir :
Les fournisseurs de systèmes d’IA ont pris conscience des besoins des entreprises et proposent de plus en plus de solutions dédiées aux professionnels. Open AI propose par exemple une version de son Chat GPT 4 pour les entreprisse garantissant une confidentialité des données et une non réutilisation à des fin d’entrainement. Il est donc
intéressant, une fois le besoin compris, de se tourner vers des outils adressés aux professionnels ( soit éviter les outils disponibles en accès libre sur internet et choisir des versions payantes et configurables sur l’environnement de manière sécurisée)
Dans un second temps, il sera nécessaire de mettre à jour la charte informatique. Comme tout nouvel usage qui a son impact sur l’environnement de l’entreprise, l’utilisation d’outils d’IA générative devra avoir sa section dédiée au sein de la charte. Elle devra faire mention des choix faits au sein de l’entreprise pour encadrer les pratiques et des bonnes pratiques à respecter.
A Savoir :
Afin de retenir l’attention des collaborateurs, une note de service consacrée à l’IA (notion, bonnes pratiques, points de contact, etc..) pourra être diffusée en complément de la mise à jour de la charte.
Cela est d’autant plus important que la charte informatique a un réel pouvoir contraignant au sein de l’entreprise !
Enfin, la cartographie des outils utilisés et des besoins permettra de catégoriser ces outils en fonction du niveau de risque des systèmes prévus par l’IA Act. Cela permettra de comprendre comment de tels outils ont vocation à être utilisés (dans quel but), et ainsi de déterminer le niveau de risque associé et les obligations qui en découle. Les systèmes à haut risque sont les plus strictement encadrés par le règlement, cependant des obligations spécifiques peuvent reposer sur les autres systèmes, et la réalisation de code de conduite dans le cadre du développement er de l’utilisation de tels outils est fortement recommandée.
Sensibiliser ses équipes
Pour sécuriser l’utilisation de tels outils, il est important d’acculturer son personnel à l’IA mais aussi de le sensibiliser à son utilisation raisonnable et raisonnée. La culture populaire et la couverture médiatique constante engendre souvent un manque de compréhension sur le fonctionnement de ces outils, laissant souvent place aux mythes et aux légendes plus qu’a la réalité de l’informatique. De même, les salariés doivent pouvoir comprendre les enjeux d’utiliser ces outils raisonnablement afin de limiter les risques qu’ils peuvent engendrer.
Le format à privilégier est celui qui vous semble le plus pertinent au regarde du public visé. On pourrait notamment imaginer des sessions de sensibilisation / acculturation, des notes internes, ou encore des « mind maps » sur l’utilisation de l’IA générative en entreprise.
A noter que le règlement européen sur l’IA impose certaines obligations spécifiques aux utilisateurs de systèmes d’IA à haut risque, ainsi que des obligations de transparence spécifiques pour les systèmes d’IA interagissant avec le public (ChatBot, agents conversationnels , etc.) et générant du contenu.
Notre équipe a crée un guide pratique qui vous permet de tout savoir sur les aspect de la loi sur l’IA : l’IA Act en bref.
Pour en savoir plus, n’hésitez pas à contacter nos équipes : contact.
¹ Logiciels, applicatifs, etc.
² https://lesmakers.fr/statistiques-intelligence-artificielle/