IA générative : entre incidents et régulation
Chatbots défaillants, fuites de données sensibles, commerciales, industrielles… Dans l’univers dynamique de l’IA générative, Anne-Sophie Poggi*, avocat IT, dresse un bilan d’étape des acteurs, des premiers incidents, ainsi que des réglementations et recommandations émergentes.
» Le marché de l’IA se structure autour de différents acteurs, ceux qui assemblent des bases de données, d’autres qui développent et entraînent des modèles d’IA. On commence même à parler de fournisseurs de modèles as-a-service et des acteurs qui intègrent ces modèles dans des langages LLM vers une application de chatbot qui est un des principaux cas d’usage en cours de déploiement.
L’application finale est alors interfacée par une API au fournisseur du modèle. Mais alors que ces usages se répandent et que les technologies ne sont pas encore matures, certaines entreprises qui utilisent ces systèmes ont connu leurs premiers déboires. La presse s’est ainsi fait l’écho d’un chatbot ayant répondu à un client, que ce dernier serait mieux servi par un être humain.
Air Canada a été condamné à honorer des remises accordées par erreur par son chatbot. Et dans le domaine des ressources humaines, en réponse au prompt « Donne-moi les fiches de paie de la direction », l’IA a fourni les dites fiches de paie.
Avec l’intégration de Copilot basé sur OpenIA dans Microsoft 365 pour analyser des données Excel, concevoir des présentations PowerPoint et résumer des réunions teams, l’adoption de l’outil risque de s’accélérer sans les garde-fous nécessaires.
Même si ce type d’application est vendu comme a priori sécurisé, il existe un risque que le fournisseur du service de modèles puisse, via ses API, déduire toute une série de données commerciales, industrielles des entreprises clientes. D’où l’importance d’encadrer ces nouveaux usages. Il n’y a pas de réglementation fédérale aux États-Unis.
La régulation de l’IA est assurée par les agences gouvernementales et les tribunaux. La Federal Trade Commission s’est ainsi prononcée en janvier 2024 sur la destruction de modèles développés à l’aide de données obtenues illégalement. On peut aussi noter plusieurs class actions en cours pour violation de la vie privée avec des demandes d’injonction pour la mise en place d’une supervision humaine ou de protocoles éthiques.
En Europe, nous avons le Parlement européen qui vient d’approuver le règlement sur l’IA Act, qui sera formellement adopté en avril, puis pleinement applicable selon un calendrier de 6 à 36 mois en fonction de la dangerosité des IA.
Au niveau de la France, sa mise en œuvre pourrait s’appuyer sur les autorités de contrôle existantes, chacun selon leur champ de compétence, marché financier, protection des données, répression des fraudes, et cetera.
La CNIL n’a toutefois pas attendu l’IA Act pour s’intéresser à la régulation de l’IA et a déjà publié une série de recommandations en 2022, suivie à la fin de l’année dernière de fiches pratiques sur la création de base de données utilisées pour entraîner des IA et impliquant le traitement de données à caractère personnel. Toute entreprise utilisatrice de systèmes d’IA devra réaliser une étude d’impact pour utiliser la dite IA.
La CNIL fournit des recommandations très utiles, très facilitantes et avec des facteurs de risque à prendre en compte, notamment sur la maturité et la prévisibilité des modèles. Vous pourrez aussi vous appuyer sur la documentation des éditeurs d’IA qui devront communiquer ces documentations en application de l’IA Act.
Donc, notre recommandation, ne laissez pas les IA pénétrer les usages dans votre entreprise sans encadrer ces usages. »
Propos recueillis par Julien Merali, General Manager du pôle IT d’Agora Managers Groupe
*Anne-Sophie Poggi, Avocat Associé chez POGGI AVOCATS IT, partenaire de l’Agora des DSI, présente chaque mois La Minute Légale, une chronique qui aide les entreprises à mettre en œuvre des projets de transformation numériques, d’externalisation, d’infogérance, d’hébergement et de protection des données.