L’intelligence artificielle (IA) transforme radicalement le monde de l’entreprise.
Les nouveaux outils basés sur l’IA offrent des avancées significatives dans de nombreux domaines : assistance à la rédaction, automatisation des workflows, analyses de CV pour les ressources humaines, automatisation et personnalisation des campagnes marketing, automatisation de la gestion financière et des stocks et même rédaction de contrats et veille réglementaire.
Cependant, si ces technologies apportent des améliorations importantes dans l’efficacité des entreprises, elles entraînent également des risques et une responsabilité.
Les risques liés à l’utilisation de l’IA
L’utilisation des systèmes d’IA en entreprise peut poser plusieurs problèmes majeurs.
L’un des risques les plus importants concerne les biais algorithmiques.
Un biais ou une distorsion systématique dans les résultats d’un algorithme (lors de son entrainement et ensuite pendant son déploiement des biais peuvent apparaitre si l’IA travaille avec des données inexactes, si il y a des erreurs dans la conception de algorithme ou si l’IA fait des interprétations erronées pour diverses raisons) qui peut mener à des décisions inexactes ou discriminatoires de l’IA, notamment dans les processus de recrutement, l’octroi de crédits ou encore la reconnaissance faciale.
Un autre risque réside au niveau de la protection des données confidentielles de l’entreprise, la protection des données personnelles des employés/clients et les contenus protégés par le droit d’auteur lors de l’utilisation de systèmes d’IA par les employés. (Voir à ce sujet notre précédent article sur ChatGPT et la protection des données à caractère personnel ICI).
Ce cas n’est pas théorique, en mars 2023, des ingénieurs de Samsung ont accidentellement divulgué des informations sensibles en utilisant ChatGPT. Dans trois cas distincts, des employés ont inséré du code source confidentiel, des notes internes de réunion et des documents contenant des informations stratégiques, mettant ainsi en péril la sécurité des données de l’entreprise.
Les obligations des entreprises qui déploient/utilisent des systèmes d’IA
Pour limiter les risques décrits précédemment, le Règlement européen sur l’intelligence artificielle (AI Act) et le Règlement Général sur la Protection des Données (RGPD) imposent aux entreprises un certain nombre d’obligations avant l’intégration d’un outil d’IA dans l’entreprise.
Voici la liste des obligations importantes découlant de la loi et de la pratique à respecter avant de déployer un système d’IA en entreprise :
1/ Transparence (si le système d’IA peut avoir un impact sur les employés) :
Avant de mettre en service un système d’IA à haut risque sur le lieu de travail (qui prend des décisions ayant un impact sur les employés ou traite leurs données), les entreprises doivent informer les employés et leurs représentants (conseil d’entreprise, représentants des syndicats) des conséquences de son utilisation. Cette information doit être conforme aux exigences du droit européen et national en matière de transparence et de consultation des travailleurs.
2/ Évaluation des fournisseurs d’outils IA
Une fois que le choix s’est porté sur un type de système d’IA, il est très important d’avoir mis en place un processus d’évaluation pour vérifier que les fournisseurs sélectionnés remplissent les obligations de l’AI Act (notamment en terme de transparence, de sécurité, de supervision..) ainsi que le RGPD et les autres normes applicables (comme par exemple NIS2 en matière de cyber-sécurité).
Il est aussi important que les contrats conclus avec le fournisseur sélectionné reflètent ces obligations et que la responsabilité de l’entreprise soit limitée au minimum en cas de dysfonctionnement.
2/ Analyse d’impact des droits fondamentaux (AIA – AI Act)
Pour les systèmes d’IA classés « à haut risque », une analyse d’impact est obligatoire . Celle-ci doit évaluer les risques liés à l’utilisation de l’IA en termes de discrimination, transparence, biais et sécurité, tout en prévoyant des mesures pour atténuer ces risques.
3/ Conformité au RGPD
Lorsque l’IA traite des données personnelles, l’entreprise doit respecter plusieurs principes fondamentaux :
- Justifier une base légale pour le traitement des données (ex : consentement, intérêt légitime).
- Limiter la collecte aux données strictement nécessaires.
- Assurer la transparence vis-à-vis des utilisateurs et employés.
- Donner aux personnes concernées la possibilité d’exercer leurs droits d’accès, de rectification ou de suppression.
Par ailleurs si l’IA traite des données sensibles ou prend des décisions automatisée il sera difficile d’échapper de devoir lancer au préalable une analyse d’impact (DPIA) obligatoire afin de pouvoir évaluer et minimiser les risques liés au traitement des données personnelles.
4/ Mise en place de politiques internes et de mesures de sécurité
Des mesures techniques et organisationnelles doivent être mises en place pour prévenir toute dérive ou utilisation non conforme du système d’IA.
Au niveau organisationnel, avant de déployer un nouvel outil d’IA, il est essentiel d’établir des lignes directrices claires qui sont communiquées aux employés (avec une formation) et qui permettent de : déterminer quand l’utilisation d’outils d’IA est autorisée,par qui, sous quelles conditions, quels types de données peuvent être traités et quelles mesures de sécurité doivent être mises en place.
5/ Documentation et contrôle
L’intelligence artificielle ne doit jamais remplacer complètement la prise de décision humaine, surtout lorsqu’elle a un impact significatif (ex : recrutement, attribution de crédits, surveillance). Il est essentiel d’éviter les « boîtes noires » et de garantir la traçabilité et l’explicabilité des décisions prises par les systèmes d’IA.
Les entreprises doivent donc tenir des registres qui reprennent ces décisions automatisée et le processus qui a mené à ces décisions afin de pouvoir donner des explications aux personnes concernées et les corriger si nécessaires.
Les entreprises doivent aussi tenir un registre de tous les système d’IA utilisés par l’entreprise (qui reprend aussi toute la documentation sur ces systèmes et les risques identifiés) et conduire des audits réguliers afin de s’assurer que les systèmes d’IA restent fiables et qu’ils fonctionnent sans biais ou erreurs graves.
Conclusion : un cadre juridique indispensable
L’intégration de l’intelligence artificielle en entreprise représente une opportunité majeure, mais elle doit être encadrée avec rigueur pour éviter les risques juridiques et éthiques.
Une bonne gouvernance de l’IA est la clé pour allier innovation et respect des droits fondamentaux des personnes concernées ce qui permettra de renforcer la confiance de vos employés et clients envers votre entreprise et vous évitera aussi de devoir payer les amendes très conséquentes prévues par l’AI ACT et le RGPD comme sanctions pour le non-respect de leurs obligations.
Comment MD-LEX peut vous aider ?
MD-LEX est votre partenaire juridique pour vous aider à analyser les risques réglementaires (RGPD) liés à l’intégration d’un nouveau système d’IA dans votre entreprise et vous aider à évaluer les fournisseurs potentiels et préparer la documentation et les formations nécessaires.
Pour plus d’informations ou une consultation sur mesure, n’hésitez pas à nous contacter : info@md-lex.be