La protection des données à l'ère de l'IA : ce que les entreprises doivent savoir maintenant

Il ne fait aucun doute que le boom de l'IA se poursuit. ChatGPT compte à lui seul 400 millions d'utilisateurs chaque semaine dans le monde. Les entreprises, quant à elles, ont dépensé l'année dernière 13,8 milliards de dollars US pour de tels outils, selon le capital-risqueur Menlo Ventures. En 2023, ce chiffre était encore de 2,3 milliards. Cela correspond à une croissance de 500%.

Et même si les gains de productivité n'ont pas encore atteint le niveau espéré, les entreprises semblent satisfaites de leurs initiatives en matière d'IA : selon le cabinet de conseil Deloitte, 74% des organisations interrogées considèrent que leurs objectifs ont ainsi été atteints ou dépassés. 78% ont l'intention d'augmenter leurs dépenses cette année.

La raison de ce fort intérêt est simple : les outils d'IA peuvent accélérer de nombreuses tâches quotidiennes. Même dans de grandes quantités de données, ils trouvent par exemple les chiffres et les faits souhaités en quelques secondes. Ils peuvent comparer et résumer les informations. Enfin, ils créent des contenus de toutes sortes, qu'il s'agisse d'un brouillon pour un e-mail ou d'une illustration pour une présentation.

Malgré l'enthousiasme suscité par les assistants numériques, une question importante se pose toutefois : qu'en est-il de la protection des données dans le nouveau monde de l'IA ?

En résumé, la réponse est : pas bon. Les entreprises des secteurs particulièrement réglementés, comme le secteur financier, doivent être conscientes de plusieurs points problématiques.

‍

Contexte : le cadre réglementaire

L'utilisation de l'IA par les entreprises s'inscrit dans un environnement réglementaire complexe. Deux réglementations sont particulièrement pertinentes dans notre pays : la loi européenne sur l'intelligence artificielle, encore relativement récente, et le règlement général sur la protection des données (RGPD), déjà bien connu, ainsi que son pendant suisse, la loi sur la protection des données (LPD).

L'objectif de l'EU AI Act est de garantir la sécurité, la transparence et la fiabilité des systèmes d'IA. Cela s'adresse avant tout aux fournisseurs de ces services, mais pas seulement : les utilisateurs de l'IA ont également des obligations. C'est particulièrement vrai lorsqu'il s'agit d'une IA dite à haut risque, par exemple pour des tâches dans le service du personnel ou pour l'octroi de crédits. L'annexe III de la loi sur l'IA de l'UE énumère les applications qui entrent exactement dans cette catégorie.

En vertu de l'article 26, les entreprises et les établissements doivent alors notamment

• s'assurer que les systèmes sont utilisés correctement
• Vérifier la qualité et la pertinence des données d'entrée,
• et rendre transparent le fait que l'IA est en jeu vis-à-vis des personnes concernées.

Le RGPD et la LPD portent essentiellement sur le traitement des données personnelles, ce qui est également très important pour l'utilisation de l'IA.

Quelques points essentiels :

• Affectation à une finalité spécifique : Les données ne peuvent être traitées que dans le but prévu.
• Minimisation des données : seul le strict nécessaire peut être traité.
• Base juridique : tout traitement de données nécessite une base juridique, telle que le consentement ou l'intérêt légitime.

Pour plus de détails, voir l'article 5 et l'article 6 du RGPD ainsi que l'article 6 de la LPD.

Dans ce contexte, les entreprises et les organisations doivent non seulement s'assurer qu'elles respectent elles-mêmes ces règles, mais aussi que les prestataires de services auxquels elles font appel les respectent. Les fournisseurs américains posent donc régulièrement problème, car la protection des données n'est pas traitée de la même manière en Amérique qu'en Europe. Les accords entre l'UE et les États-Unis, qui devaient remédier à ce problème, ont entre-temps échoué à plusieurs reprises devant les tribunaux. La version la plus récente, appelée Data Privacy Framework, fait l'objet de critiques similaires.

De ce point de vue, les fournisseurs européens constituent un meilleur choix. Dans le domaine de l'IA, il s'agirait par exemple de l'entreprise française Mistral. Mais même dans ce cas, la transmission des données doit bien entendu être conforme aux directives susmentionnées.

‍

Risques pratiques et solutions

Compte tenu de ce cadre réglementaire, il est par exemple très problématique de télécharger des données personnelles non traitées vers un service tel que ChatGPT. Mais les organisations doivent également faire preuve de vigilance à d'autres égards.

Dans ce qui suit, nous examinons de plus près deux risques importants et les solutions possibles pour y faire face :

‍

Infractions commises par inadvertance par des collaborateurs

Dans de nombreuses entreprises, les collaborateurs utilisent des outils basés sur l'IA pour travailler plus efficacement. Dans ce contexte, il est important de sensibiliser à la question de la protection des données. Il est vite arrivé que des informations internes, des données clients confidentielles ou même des secrets commerciaux soient sinon introduits dans un système d'IA.

Certes, des fournisseurs comme OpenAI promettent à leurs clients payants que leurs chats ne seront pas utilisés pour l'entraînement de futurs modèles. Les informations ainsi téléchargées ne devraient donc pas devenir subitement une partie de la "connaissance du monde" d'une IA comme ChatGPT. Mais même si c'est vrai, cela n'a aucune importance du point de vue de la législation sur la protection des données : le simple fait de transmettre ces informations sous cette forme peut déjà être illégal.

C'est pourquoi les organisations ont besoin de directives claires en matière d'IA qui régissent l'utilisation de ces outils. En outre, une formation adéquate est essentielle.

‍

La soif de données des outils d'IA

Un autre risque réside dans le fait que les données sensibles de l'entreprise peuvent être trouvées par inadvertance. Les facteurs déclencheurs sont par exemple des partages de documents mal configurés ou des emplacements de stockage de fichiers non sécurisés.

Au quotidien, cela ne se remarque pas immédiatement. Les moteurs de recherche comme Google respectent par exemple volontairement les directives des exploitants de sites web concernant ce qu'ils peuvent ou ne peuvent pas saisir. Cela est réglé entre autres par un fichier appelé robots.txt.

Mais la situation est différente pour les fournisseurs d'IA. Leur soif de données est incommensurable, car c'est le fondement de leur activité. Ce n'est que grâce à d'énormes quantités de données que leurs outils apprennent leurs capacités et leurs connaissances. Le projet "Common Crawl", qui explore régulièrement des milliards de pages web, en est un exemple.

Et il s'avère que c'est le cas : Dans la course à la domination du marché brûlant de l'IA, les restrictions dans unrobots.txt sont tout à fait ignorées.

Il est donc plus important que jamais de faire très attention à la manière dont les documents sont stockés et mis à disposition. C'est là que des solutions comme celles de DSwiss peuvent aider : Grâce à un cryptage et un contrôle d'accès conséquents, les documents sensibles restent protégés même si un lieu de stockage est techniquement accessible. Contrairement aux dossiers cloud accessibles au public, ces systèmes ne peuvent être ouverts que par des autorisations. Ils sont tout simplement invisibles pour les robots d'indexation. Cela permet d'éviter que des informations confidentielles ne se retrouvent involontairement dans de grands ensembles de données de formation.

‍

Principaux points à retenir

En fin de compte, il faut retenir ceci : La protection proactive des données est de toute façon déjà une nécessité, mais elle devient encore plus urgente à l'ère de l'IA. Une raison : les systèmes d'IA n'oublient rien. Il est difficile de récupérer ce qui a été introduit en eux. Il est donc d'autant plus important d'agir maintenant, avant que de petits oublis ne finissent par poser de gros problèmes.