ChatGPT envahit notre quotidien et s’immisce peu à peu dans nos milieux professionnels.
Les raisons qui poussent les salariés à utiliser les IA génératives sont nombreuses : automatiser des tâches chronophages, augmenter sa productivité, avoir de nouvelles idées, etc.
Certaines entreprises y sont favorables quand d’autres l’ignorent.
Mais les directions ont-elles conscience des risques que ChatGPT représentent pour elles ?
Comment fonctionne ChatGPT ?
ChatGPT est une intelligence artificielle ayant été entraînée sur un volume considérable d’informations (livres, journaux, pages Web, etc.) et capable de comprendre le langage humain.
Son interface permet de converser avec un robot :lorsque l’utilisateur adresse une requête (appelée prompt) au robot, ce dernier va l’interpréter puis y répondre sous forme de discussion.
L’intelligence artificielle est en perpétuel apprentissage : grâce aux prompts échangés avec les utilisateurs, elle va apprendre, s’affiner et se corriger dans un but d’amélioration constate.
Quels sont les risques ?
Le risque de divulgation
Les prompts sont rarement de simples questions théoriques posées à une machine.
Ils vont généralement contenir des informations spécifiques au salarié ou au projet sur lequel il travaille.
Par exemple :
- un prompt pour générer un communiqué de presse peut contenir la marque d’une nouvelle gamme de produits,
- un prompt pour restructurer un fichier Excel peut contenir des adresses emails du fichier clients,
- un prompt pour rédiger une note scientifique interne peut contenir une formule chimique,
- un prompt pour débuguer un programme informatique peut contenir du code source,
- etc.
Or, ces prompts risquent de divulguer :
- une information confidentielle (le nom de la nouvelle marque),
- des données à caractère personnel (les noms et emails des clients),
- un savoir-faire ou secret de fabrique (la formule chimique),
- un contenu protégé par le droit de la propriété intellectuelle (le code source du logiciel).
Par défaut, le contenu des prompts est conservé par l’IA et sert à l’entraîner pour améliorer ses services. Les conditions générales d’utilisation (Terms of Use) de ChatGPT le prévoient :
We may use Content from Services other than our API (“Non-API Content”) to help develop and improve our Services.
Le risque de réutilisation
Les résultats générés par une IA générative comme ChatGPT sont basées sur un modèle de langage probabiliste qui tient compte du contexte de la question pour fournir une réponse pertinente et cohérente.
Toutefois, les approximations, les biais voir les résultats complètement faux fournis par l’IA sont légions.
Les Terms of use de ChatGPT le rappellent :
Accuracy. Artificial intelligence and machine learning are rapidly evolving fields of study. We are constantly working to improve our Services to make them more accurate, reliable, safe and beneficial. Given the probabilistic nature of machine learning, use of our Services may in some situations result in incorrect Output that does not accurately reflect real people, places, or facts. You should evaluate the accuracy of any Output as appropriate for your use case, including by using human review of the Output.
Or, les salariés n’auront pas toujours le réflexe de vérifier la véracité et la pertinence des informations produites par l’IA avant de les réutiliser pour les besoins de leur employeur.
Les résultats générés peuvent aussi reproduire des contenus protégés par le droit de la propriété intellectuelle (écrits littéraires ou journalistiques, codes sources de logiciel, etc.), qui ont été aspirés sur Internet sans autorisation de leurs auteurs, pour alimenter l’IA.
Régurgités sous forme de résultats, leur réutilisation par les salariés exposent leur employeur à un risque d’action en contrefaçon.
Comment réagir ?
Les risques identifiés précédemment sont bien réels :
- après avoir laissé ses développeurs tester leur code source sur ChatGPT, Samsung menace à présent de licenciement ses salariés qui utilisent l’IA :
« Samsung interdit l’utilisation de ChatGPT, Bard, Bing ou de n’importe quelle IA générative à son personnel. Suite à un incident malheureux, la firme considère les chatbots comme des dangers pour ses données confidentielles… » ; - Amazon a mis en garde ses employés contre l’utilisation de ChatGPT :
« Le géant du commerce en ligne s’est rendu compte que de nombreux employés se servent du chatbot comme assistant… mettant en péril les données internes de la firme » ; - et Google oblige ses salariés à utiliser sa propre IA tout en les invitant à rester prudent face aux résultats générés :
« Google recommande à ses employés de ne pas faire confiance à ses propres outils d’IA. Le moteur de recherche recommande à ses employés de ne plus entrer des informations confidentielles dans les robots conversationnels. Et de ne pas les utiliser pour produire du code informatique« .
Voici quelques conseils pour encadrer les risques d’utilisation de l’IA dans votre organisation :
1) Définir sa propre stratégie face à l’IA
Les entreprises doivent décider si elles autorisent, encadrent ou interdisent à leurs salariés d’utiliser ChatGPT.
Les opportunités et les risques de recourir à l’IA étant spécifiques à chaque organisation, l’analyse doit se faire cas par cas.
2) Fournir des lignes de conduite aux salariés
La stratégie de l’entreprise doit être documentée dans une Charte d’utilisation de l’IA.
Cette Charte doit expliquer clairement les règles et les limites imposées par l’entreprise.
Il est vivement conseillé aux dirigeants de donner une force obligatoire à cette Charte afin qu’elle puisse être opposable juridique aux salariés en cas de manquement de leur part.
3) Sensibiliser et former les salariés
En parallèle, les employés doivent être informés des risques que présentent l’IA, en terme de divulgation de données.
Ils doivent également être formés à utiliser l’IA de manière responsable et éthique, pour éviter la réutilisation d’informations fausses comme illicites.
4) Adopter des mesures organisationnelles et techniques
Les entreprises ne doivent pas se contenter d’adopter une Charte d’utilisation de l’IA.
Elles doivent aussi adopter des mesures organisationnelles et techniques cohérentes avec la stratégie de l’entreprise définie dans leur Charte.
Par exemple, la direction informatique peut bloquer la connexion à ChatGPT aux salariés qui n’ont pas obtenu l’autorisation de la direction de l’utiliser.
A retenir
✅ Mieux vaut prévenir que guérir : en établissant une Charte d’utilisation de l’IA, les entreprises sensibilisent leurs salariés à l’usage d’outils comme ChatGPT.
✅ Il est conseillé de rendre juridiquement contraignante la Charte d’utilisation de l’IA pour sanctionner les salariés contrevenant.
✅ C’est aussi l’occasion pour les entreprises de réviser leur Charte informatique, qui peut être vieillissante face aux nouveaux usages (télétravail, smartphone, Bring Your Own Device, etc.)