L’intelligence artificielle (IA) transforme déjà radicalement le monde de l’entreprise et apporte des améliorations significatives.
Les nouveaux outils basés sur l’IA permettent d’effectuer avec plus de précision et de rapidité certaines taches qui étaient encore récemment effectuées par des humains, comme par exemple : la rédaction de documents ou de communications marketing personnalisées, l’analyses de CV pour les ressources humaines, le service client qui est rendu par des chatbots, l’automatisation de la gestion financière et des stocks et même la rédaction et la mise à jour de contrats et la veille réglementaire.
Cependant, si ces technologies basées sur l’IA apportent déjà des améliorations importantes dans l’efficacité des entreprises, elles entraînent également des risques et une responsabilité accrue pour ceux qui l’utilise.
Les risques liés à l’utilisation de l’IA
L’utilisation des systèmes d’IA bien que comportant des avantages manifestes peut aussi créer des risques importants.
L’un de ces risques concerne les biais algorithmiques.
Un biais algorithmique est une distorsion systématique dans les résultats d’un algorithme (qui peut survenir dans la phase d’entrainement du système d’IA mais aussi lors de son déploiement) peut apparaitre dans différents cas de figures : par exemple si l’IA travaille avec des données inexactes, si il y a des erreurs dans la conception de l’algorithme ou si l’IA fait des interprétations erronées des données qu’on lui fournit (pour diverses raisons).
Ceci peut mener à des décisions inexactes ou discriminatoires de l’IA, notamment dans des contextes sensibles comme lors d’un processus de recrutement, lors de l’octroi de crédits etc…
Un autre risque existe concerne la confidentialité des données qui sont fournies à un système d’IA.
En effet, il est souvent difficile pour une entreprise ou un utilisateur de savoir le niveau réel de protection des données confidentielles/protégées de l’entreprise qui est garantit par un système d’IA, raison pour laquelle certaines entreprises développent et utilisent leurs propres systèmes et outils d’IA internes.
En mars 2023, des ingénieurs de Samsung ont accidentellement divulgué des informations sensibles en utilisant ChatGPT. Dans trois cas distincts, des employés ont inséré du code source confidentiel, des notes internes de réunion et des documents contenant des informations stratégiques, mettant ainsi en péril la sécurité des données de l’entreprise.
Enfin la question se pose aussi par rapport au respect des règles en matière de protection des données personnelles des employés/clients/personnes figurant dans les documents ou informations fournies dans les systèmes d’IA. (Voir à ce sujet notre précédent article sur ChatGPT et la protection des données à caractère personnel ICI).
Les obligations des entreprises qui déploient/utilisent des systèmes d’IA
Pour limiter les risques décrits précédemment, le Règlement européen sur l’intelligence artificielle (AI Act) et le Règlement Général sur la Protection des Données (RGPD) imposent aux entreprises un certain nombre d’obligations avant le déploiement de systèmes/outils utilisant l’IA dans l’entreprise.
Ci-dessous la liste indicatives des étapes importantes à respecter par les entreprises (découlant de la loi) avant de déployer un système d’IA en entreprise :
1/ Transparence (pour les systèmes d’IA à haut risques) :
Avant d’envisager de déployer un type de système d’IA à haut risque sur le lieu de travail (en fonction du IA Act), les entreprises doivent informer et consulter les employés et leurs représentants (conseil d’entreprise, représentants des syndicats) par rapport aux conséquences de son utilisation pour les personnes concernées. Cette information doit être conforme aux exigences du droit européen et national en matière de transparence et de consultation des travailleurs.
2/ Évaluation des fournisseurs d’outils IA
Une fois que le choix s’est porté sur un type de système d’IA, il est très important pour l’entreprise d’avoir mis en place un processus d’évaluation pour vérifier que les fournisseurs sélectionnés remplissent les obligations de l’AI Act (notamment en terme de transparence, de sécurité, de supervision..) ainsi que le RGPD et les autres normes applicables (comme par exemple en matière de cybersécurité) et que les contrats conclus avec le fournisseur sélectionné reflètent ces obligations et que la responsabilité de l’entreprise soit limitée au minimum en cas de dysfonctionnement.
3/ Analyse d’impact des droits fondamentaux (AIA – AI Act) pour les systèmes d’IA à haut risque
Pour les systèmes d’IA classés « à haut risque », une analyse d’impact préalable du système sélectionné est également obligatoire. Celle-ci doit évaluer les risques liés à l’utilisation de l’IA en termes de discrimination, transparence, biais et sécurité, tout en prévoyant des mesures pour atténuer ces risques.
4/ Conformité au RGPD et analyse d’impact (RGPD)
Lorsque l’IA traite des données à caractère personnel, l’entreprise doit veiller au respecter plusieurs principes fondamentaux (lors de la sélection du fournisseur et lors du déploiement) :
- Justifier une base légale pour le traitement des données (ex : consentement, intérêt légitime).
- Limiter la collecte aux données strictement nécessaires.
- Assurer la transparence vis-à-vis des utilisateurs et employés.
- Donner aux personnes concernées la possibilité d’exercer leurs droits d’accès, de rectification ou de suppression.
Par ailleurs si l’IA traite des données sensibles ou prend des décisions automatisée il sera difficile d’échapper de devoir lancer au préalable (avant le déploiement) une analyse d’impact (DPIA) obligatoire afin de pouvoir évaluer et minimiser les risques liés au traitement des données personnelles.
5/ Mise en place de politiques internes et de mesures de sécurité
Lors du déploiement, des mesures techniques et organisationnelles adéquates doivent être mises en place pour prévenir toute dérive ou utilisation non conforme du système d’IA.
Au niveau organisationnel, avant de déployer un nouvel outil d’IA, il est notamment essentiel pour l’entreprise d’établir et de faire approuver des lignes directrices claires qui sont communiquées aux employés (avec une formation) et qui permettent de : déterminer quand l’utilisation d’outils d’IA est autorisée, par qui, sous quelles conditions, quels types de données peuvent être traités et quelles mesures de sécurité doivent être mises en place.
6/ Documentation, contrôle et intervention humaine pour les décisions entièrement automatisées (dans certains cas)
L’intelligence artificielle ne doit jamais remplacer complètement la prise de décision humaine, surtout lorsqu’elle a un impact significatif (ex : recrutement, attribution de crédits, surveillance). Il est essentiel d’éviter les « boîtes noires » et de garantir la traçabilité et la compréhension des décisions prises par les systèmes d’IA.
Les entreprises doivent donc tenir des registres qui reprennent ces décisions automatisée et le processus qui a mené à ces décisions afin de pouvoir donner des explications aux personnes concernées et les corriger si nécessaires.
Les entreprises doivent aussi conduire des audits réguliers afin de s’assurer que les systèmes d’IA restent fiables et qu’ils fonctionnent sans biais ou erreurs graves.
Par ailleurs, en vertu du RGPD, toute décision entièrement automatisée produisant des effets juridiques ou significatifs pour une personne physique doit faire l’objet d’une information claire, donner à la personne concernée un droit d’intervention humaine, de contester la décision, et être justifiée par une base légale spécifique (contrat, consentement ou loi).
Conclusion : un cadre juridique indispensable
L’intégration de l’intelligence artificielle en entreprise représente une opportunité majeure, mais elle doit être encadrée avec rigueur pour éviter les risques juridiques et éthiques.
Une bonne gouvernance de l’IA est la clé pour allier innovation et respect des droits fondamentaux des personnes concernées ce qui permettra de renforcer la confiance de vos employés et clients envers votre entreprise et vous évitera aussi de devoir payer les amendes très conséquentes prévues par l’AI ACT et le RGPD comme sanctions pour le non-respect de leurs obligations.
Comment le cabinet MD-LEX peut vous aider ?
MD-LEX est votre partenaire juridique pour vous aider à analyser les risques réglementaires (RGPD) liés à l’intégration d’un nouveau système d’IA dans votre entreprise et vous aider à évaluer les fournisseurs potentiels et préparer la documentation et les formations nécessaires.
Pour plus d’informations ou une consultation sur mesure, n’hésitez pas à nous contacter : info@md-lex.be