IA et données en entreprise, quels enjeux ?

Publié Vendredi 1 décembre 2023

Par Me Bénédicte Vettier avocate au Barreau de Grenoble / Les outils d’intelligence artificielle générative comme ChatGPT, Midjourney ou Bard, peuvent dans certains cas apporter de réels gains de productivité en entreprise. Cependant, leur usage n’est pas sans risques en matière de protection des données, et l’emploi de mesures adaptées est nécessaire.

Vous ne connaissez sans doute pas Eliza, le premier programme informatique traitant du langage naturel apparu en 1964. En revanche, difficile de passer à côté de ChatGPT depuis son lancement public il y a tout juste un an.

Le robot conversationnel d’OpenAI – toujours à la une des journaux avec les péripéties de son fondateur Sam Altman – a surpris par sa capacité à interpréter le langage naturel et à générer des réponses semblant être écrites par un humain. Ce chatbot repose sur l’intelligence artificielle générative (IA générative ou GenAI).

GenAI ?

L’IA générative est un ensemble d’algorithmes, un système, capable de générer du texte, des images ou d’autres médias (son, vidéo…) en réponse à une instruction (un prompt en anglais), qui lui est donnée par un utilisateur humain. Ce système est entraîné sur de grandes quantités de données afin d’analyser le langage et de créer du contenu complexe par la suite.

S’imposant comme le symbole d’une révolution technologique majeure, au même titre que les microprocesseurs, l’ordinateur et l’internet aux dires de Bill Gates, ChatGPT a déjà conquis plus de 100 millions d’utilisateurs et a relancé une course à l’IA. Sont ainsi apparus dans son sillage Google Bard, Copilot chez Microsoft, ou Ernie côté Baidu pour ne citer qu’eux.

L’adoption de ces outils au sein de certaines entreprises s’est faite rapidement, et rares sont les secteurs y échappant : automobile, électronique, pharmaceutique, marketing, semi-conducteurs, médecine, aérospatial, juridique,  etc. Il faut en effet noter qu’au-delà de l’avancée technologique, l’IA générative peut exécuter des tâches répétitives ou avec peu de valeur ajoutée, ayant en conséquence un impact significatif sur la productivité
des salariés.

Ainsi, Boston Consulting Group publiait en septembre un rapport indiquant une augmentation de la productivité de 40 % pour certaines tâches grâce à l’IA. En France, un sondage d’OpinionWay, réalisé en juin dernier, a révélé que 63 % des cadres et 48 % des employés voient leur productivité augmenter grâce à l’IA, économisant en moyenne 6 heures de travail par semaine. Enfin, Goldman Sachs prédisait en mars 2023 que l’IA pourrait automatiser jusqu’à 25 % de l’ensemble du marché du travail.

Malgré les perspectives d’exploitation massive du potentiel de tels outils, il ne faut pas oublier que leur intégration croissante dans les processus d’entreprise soulève des risques spécifiques mal appréhendés par les organisations.

Des défis importants en matière de confidentialité

En effet, les organisations doivent être conscientes que les données contenues dans les documents ou les prompts soumis à l’IA ont vocation à permettre l’entraînement des algorithmes de l’IA générative, quel que soit l’outil en cause. Les données peuvent de ce fait être intégrées dans les futures réponses transmises à d’autres utilisateurs.

Le risque de fuite de données internes à l’entreprise n’est donc pas à prendre la légère, dans la mesure où des secrets d’affaires peuvent être exposés, de façon intentionnelle ou non, si l’utilisation de l’IA est faite sans précautions adéquates. N’importe quel type de données et d’informations ayant un caractère confidentiel ou stratégique est ainsi susceptible d’échapper au contrôle de leur titulaire : informations financières, codes sources, liste de clients, stratégie de développement… On citera le cas de Samsung qui a fait les frais de l’imprudence de ses employés en avril, avec la divulgation accidentelle de codes sources, suite à l’optimisation de processus avec ChatGPT.

Les cas potentiels de fuite d’informations sont légion. Il suffit qu’un salarié, face à une pression de rendement, demande à l’outil de GenAI de rédiger un compte-rendu de réunion sur un sujet confidentiel, de préparer un projet de brevet, d’analyser des données financières sensibles, ou encore d’élaborer une présentation commerciale sur la base d’informations obtenues d’un tiers, sous le sceau de la confidentialité.

Ces hypothèses ne sont pas fantaisistes dans la mesure où de plus en plus d’outils et applications professionnels intègrent des fonctionnalités de GenAI (citons Microsoft 365 Copilot, Amazon CodeWhisperer, Adobe Sensei ou EinsteinGPT chez Salesforce), permettant l’utilisation – consciente ou non – des GenAI par un nombre croissant de travailleurs. Il faut alors s’interroger sur la protection des informations qui vont être transmises, conservées et réutilisées par le fournisseur de l’outil IA.

Outre les questions relatives à la protection des secrets d’affaires et la nécessité de protéger des données confidentielles, l’essor des GenAI étend son influence sur la protection des données à caractère personnel.

Le respect nécessaire du RGPD

L’utilisation des GenAI pose des défis supplémentaires en matière de conformité au RGPD. Les données personnelles, y compris des données sensibles comme des informations de santé, peuvent être collectées et traitées par les GenAI, au même titre qu’une donnée non personnelle. Une vigilance particulière doit être apportée pour ne pas porter atteinte aux droits et libertés des individus. À cet égard, on ne peut que recommander d’évaluer soigneusement les conditions d’utilisation de l’outil GenAI, et si possible de négocier un accord de traitement des données avec son fournisseur.

Conformément aux principes fondamentaux du RGPD, tels que la licéité, la loyauté et la proportionnalité, il est essentiel que le responsable de traitement s’assure que les données utilisées aient été collectées légalement. De plus, ces données ne devront être employées que pour des finalités légitimes et définies clairement. Cela devient d’autant plus complexe lorsque la GenAI est utilisée pour analyser ou synthétiser des données personnelles, où le consentement, lorsqu’il est exigé, doit être donné pour chaque usage spécifique. Il est tout aussi important de limiter au strict nécessaire les données personnelles concernées. Par ailleurs, une transparence accrue est indispensable pour éclairer les individus sur l’utilisation faite de leurs données. Les chartes de protection des données ou politiques de confidentialité devront être adaptées en conséquence.

Enfin, les droits des individus doivent être pris en considération, notamment le droit à l’accès, à la rectification ou à l’effacement des données. Les organisations doivent donc prévoir des mesures pour permettre l’exercice des droits des personnes adaptées à ce contexte particulier.

Anticiper

Pour prévenir tout risque, de plus en plus d’entreprises interdisent tout usage des GenAI sur les outils professionnels. C’est le cas d’Apple, Samsung, Amazon et de nombreuses banques.

Dès lors qu’elle admet l’utilisation des GenAI, il sera impératif que l’entreprise réfléchisse à la gouvernance de ses données afin de protéger ses secrets d’affaires. Si nécessaire, la mise en place ou l’actualisation de bonnes pratiques (en matière de chiffrement, de contrôle d’accès,  etc.) devra être envisagée. Corrélativement, la charte informatique devra être mise à jour afin de répercuter ces nouvelles règles de façon contraignante auprès des salariés et d’assurer leur respect.

La question des données personnelles est un volet spécifique à ne pas négliger. La Commission nationale de l’informatique et des libertés (Cnil) a dévoilé en mai dernier son plan d’action pour l’IA, dont un volet consacré à l’audit et au contrôle des systèmes d’IA et la protection des personnes. Le gendarme français sera donc particulièrement attentif à ce que les entreprises utilisant des GenAI aient pris des mesures spécifiques, dont la réalisation d’une analyse d’impact sur la protection des données (AIPD).

Le constat est sans appel : face à l’essor des GenAI, les entreprises doivent impérativement anticiper et s’atteler à l’encadrement de l’usage de cette technologie en interne.