L’intelligence artificielle (IA) transforme déjà radicalement le monde de l’entreprise et apporte des améliorations significatives.
Les nouveaux outils basés sur l’IA permettent d’effectuer avec plus de précision et de rapidité certaines taches qui étaient encore récemment effectuées par des humains, comme par exemple : la rédaction de documents ou de communications marketing personnalisées, l’analyses de CV pour les ressources humaines, le service client qui est rendu par des chatbots, l’automatisation de la gestion financière et des stocks et même la rédaction et la mise à jour de contrats et la veille réglementaire.
Cependant, si ces technologies basées sur l’IA apportent déjà des améliorations importantes dans l’efficacité des entreprises, elles entraînent également des risques et une responsabilité accrue pour ceux qui l’utilise.
Les risques liés à l’utilisation de l’IA
L’utilisation des systèmes d’IA bien que comportant des avantages manifestes mais comporte aussi des risques importants qui varient selon le type de modèle d’IA qui est sélectionné ou développé et son utilisation.
L’un de ces risques concerne les biais algorithmiques.
Un biais algorithmique est une distorsion systématique dans les résultats d’un algorithme (qui peut survenir dans la phase d’entrainement du système d’IA mais aussi lors de son déploiement) peut apparaitre dans différents cas de figures : par exemple si l’IA travaille avec des données inexactes, si il y a des erreurs dans la conception de l’algorithme ou si l’IA fait des interprétations erronées des données qu’on lui fournit (pour diverses raisons).
Ceci peut mener à des décisions inexactes ou discriminatoires de l’IA, notamment dans des contextes sensibles comme lors d’un processus de recrutement, lors de l’octroi de crédits etc…
Un autre risque concerne la confidentialité des données qui sont fournies à un système d’IA (que ce soit des données personnelles, des données confidentielles ou sensibles) afin de demander une analyse ou une réponse (il y a aussi des questions concernant la propriété intellectuelle).
Il est souvent difficile pour une entreprise ou un utilisateur qui déploie un système d’intelligence artificielle mis à disposition par une entreprise tierce de savoir le niveau réel de protection des données confidentielles/protégées de l’entreprise même si il existe une documentation précise et des accords contractuels, raison pour laquelle certaines entreprises développent et utilisent leurs propres systèmes et outils d’IA internes.
Par exemple, en mars 2023, des ingénieurs de Samsung ont accidentellement divulgué des informations sensibles en utilisant ChatGPT. Dans trois cas distincts, des employés ont inséré du code source confidentiel, des notes internes de réunion et des documents contenant des informations stratégiques, mettant ainsi en péril la sécurité des données de l’entreprise.
(Voir aussi à ce sujet notre précédent article sur ChatGPT et la protection des données à caractère personnel ICI).
Les obligations des entreprises qui déploient/utilisent des systèmes d’IA
Pour limiter les risques décrits précédemment, le Règlement européen sur l’intelligence artificielle (AI Act) et le Règlement Général sur la Protection des Données (RGPD) imposent aux entreprises un certain nombre d’obligations avant le déploiement de systèmes/outils utilisant l’IA dans l’entreprise.
Il est important de noter que le développement et déploiement d’un système d’intelligence artificielle demande davantage que de respecter le cadre réglementaire (qui d’ailleurs englobe la protection des données et toutes les législations sectorielles applicables).
Il faut aussi avoir en place un cadre de gestion des risques plus global (par exemple le cadre NIST), tenir compte des implications éthiques, surveiller le système une fois déployé et si nécessaire le ré-entrainer ou le modifier.
Ci-dessous la liste indicatives des étapes importantes à respecter par les entreprises (découlant du réglement AI) avant de déployer un système d’IA en entreprise qui rentre la catégorie de systèmes à haut risques selon le règlement IA :
1/ Use case, analyse d’impact et concertation (pour les systèmes d’IA à haut risques) :
Avant d’envisager de déployer un type de système d’IA à haut risque sur le lieu de travail (en fonction du IA Act), les entreprises doivent analyser l’utilisation projetée et son opportunité ainsi que les ressources de l’entreprise et les risques que l’entreprise peut accepter. Ensuite il convient de mener une première analyse d’impact au niveau des risques et de documenter ceci. Il convient aussi d’informer et consulter les employés et leurs représentants (conseil d’entreprise, représentants des syndicats) par rapport aux conséquences de son utilisation pour les personnes concernées et éventuellement récolter leurs réactions.
2/ Évaluation des fournisseurs d’outils IA
Une fois que le choix s’est porté sur un type de système d’IA (on prend ici le cas ou l’entreprise sélectionne un système clef sur main proposé par un tiers, on n’aborde pas ici le développement d’un système propre), il est très important pour l’entreprise d’avoir mis en place un processus d’évaluation pour vérifier que les fournisseurs sélectionnés remplissent les obligations de l’AI Act (notamment en terme de transparence, de sécurité, de supervision..) ainsi que le RGPD et les autres normes applicables (comme par exemple en matière de cybersécurité, de propriété intellectuelle des inputs et outputs), de bien délimiter la responsabilité des parties (que la responsabilité de l’entreprise soit limitée au minimum en cas de dysfonctionnement), la possibilité de mener des audits et la coopération en cas d’incident.
3/ Analyse d’impact des droits fondamentaux (AIA – AI Act) pour les systèmes d’IA à haut risque
Pour les systèmes d’IA classés « à haut risque », une analyse d’impact préalable du système sélectionné est également obligatoire. Celle-ci doit évaluer les risques liés à l’utilisation de l’IA en termes de discrimination, transparence, biais et sécurité, tout en prévoyant des mesures pour atténuer ces risques.
4/ Conformité au RGPD et analyse d’impact (RGPD)
Lorsque l’IA traite des données à caractère personnel, l’entreprise doit aussi veiller au respecter plusieurs principes fondamentaux (lors de la sélection du fournisseur et lors du déploiement mais aussi dans le cadre des son utilisation) :
- Justifier une base légale pour le traitement des données (ex : consentement, intérêt légitime).
- Limiter la collecte aux données strictement nécessaires.
- Assurer la transparence vis-à-vis des utilisateurs et employés.
- Donner aux personnes concernées la possibilité d’exercer leurs droits d’accès, de rectification ou de suppression.
Par ailleurs si l’IA traite des données sensibles ou prend des décisions automatisée il sera difficile d’échapper de devoir lancer au préalable (avant le déploiement) une analyse d’impact (DPIA) obligatoire afin de pouvoir évaluer et minimiser les risques liés au traitement des données personnelles.
5/ Mise en place de politiques internes et de mesures de sécurité et de surveillance
Lors du déploiement, des mesures techniques et organisationnelles adéquates doivent être mises en place pour prévenir toute dérive ou utilisation non conforme du système d’IA.
Au niveau organisationnel, avant de déployer un nouvel outil d’IA, il est notamment essentiel pour l’entreprise d’établir et de faire approuver des lignes directrices claires qui sont communiquées aux employés (avec une formation) et qui permettent de : déterminer quand l’utilisation d’outils d’IA est autorisée, par qui, sous quelles conditions, quels types de données peuvent être traités et quelles mesures de sécurité doivent être mises en place.
Il faut aussi planifier des audits et un monitoring du système et un plan d’action en cas d’incidents.
6/ Documentation, contrôle et intervention humaine pour les décisions entièrement automatisées (dans certains cas)
Les entreprises doivent donc tenir des registres qui reprennent le fonctionnement des systèmes, l’origine des données, les différentes versions et les décisions prises pour réduire ou supprimer des risques.
L’intelligence artificielle ne doit jamais remplacer complètement la prise de décision humaine, surtout lorsqu’elle a un impact significatif pour certaines personnes (ex : recrutement, attribution de crédits, surveillance). Il est essentiel d’éviter les « boîtes noires » et de garantir la traçabilité et la compréhension des décisions prises par les systèmes d’IA.
Il est important de surveiller les systèmes et de pouvoir expliquer décisions automatisée et le processus qui a mené à ces décisions afin de pouvoir donner des explications aux personnes concernées et les corriger si nécessaires (avec intervention humaine).
Par ailleurs, en vertu du RGPD, toute décision entièrement automatisée produisant des effets juridiques ou significatifs pour une personne physique doit faire l’objet d’une information claire, donner à la personne concernée un droit d’intervention humaine, de contester la décision, et être justifiée par une base légale spécifique (contrat, consentement ou loi).
Conclusion : un cadre juridique indispensable
L’intégration de l’intelligence artificielle en entreprise représente une opportunité majeure, mais elle doit être encadrée avec rigueur pour éviter les risques juridiques et éthiques.
Une bonne gouvernance de l’IA est la clé pour allier innovation et respect des droits fondamentaux des personnes concernées ce qui permettra de renforcer la confiance de vos employés et clients envers votre entreprise et vous évitera aussi de devoir payer les amendes très conséquentes prévues par l’AI ACT et le RGPD comme sanctions pour le non-respect de leurs obligations.
Comment le cabinet MD-LEX peut vous aider ?
MD-LEX est votre partenaire juridique pour vous aider à analyser les risques réglementaires (RGPD) liés à l’intégration d’un nouveau système d’IA dans votre entreprise et vous aider à évaluer les fournisseurs potentiels et préparer la documentation et les formations nécessaires.
Pour plus d’informations ou une consultation sur mesure, n’hésitez pas à nous contacter : info@md-lex.be