Utilisation de l’IA en entreprise : la nécessaire mise à jour de la charte informatique

Utilisation de l’IA en entreprise : la nécessaire mise à jour de la charte informatique

Ce qu’il faut retenir


L’utilisation de l’IA en entreprise se répand à grande vitesse. Pour éviter que cette utilisation se fasse à l’insu des employeurs, et limiter les risques, il convient d’aborder le sujet par la nécessaire mise à jour de la charte informatique de l’entreprise, accompagnée d’une formation adaptée des salariés.


L’IA générative a déboulé dans notre environnement professionnel il y a à peine deux ans et a déjà profondément modifié nos modes de travail. (1) Les salariés n’ont pas tardé à adopter ces outils qui permettent notamment d’améliorer leur productivité. De plus en plus d’entreprises utilisent par ailleurs des systèmes d’intelligence artificielle sans avoir une connaissance précise de la liste des outils utilisés et des usages.

De nombreux chefs d’entreprise n’ont pas encore complètement intégré ce phénomène. Or, si les salariés utilisent des systèmes d’IA et des outils d’IA générative à l’insu de leur employeur, sans formation et sans sensibilisation aux risques d’une utilisation non maîtrisée, la société peut se trouver exposée à des risques d’ordre juridique, financier et sécuritaire.

Plus qu’un risque, l’utilisation de l’IA en entreprise est une opportunité. Toutefois, pour optimiser cette nouvelle révolution technologique, il convient d’encadrer sans attendre les modes d’utilisation de l’IA par la mise à jour de la charte informatique de l’entreprise et par la formation des salariés aux bonnes pratiques de l’utilisation de l’intelligence artificielle.


1. Les risques liés à l’utilisation non-encadrée de l’IA par les salariés

De très nombreuses entreprises, particulièrement les PME et TPE, n’ont pas encore intégré le fait que leurs salariés utilisent déjà des systèmes d’intelligence artificielle, à l’insu de leur employeur.

Une utilisation de systèmes d’intelligence artificielle par les salariés sans encadrement, sensibilisation, ni formation appropriée est source de risques juridiques, financiers et sécuritaires pour l’entreprise.

Par exemple, un utilisateur non formé à l’utilisation de l’IA pourra être amené à utiliser et/ou divulguer des données en violation du RGPD (données à caractère personnel), des règles applicables aux secrets d’affaires, de contrats commerciaux avec les fournisseurs ou les clients. Ces risques peuvent se réaliser de plusieurs façons  :
    - des données personnelles ou des données confidentielles, relevant notamment du secret d’affaires, peuvent être divulguées ou réutilisées par le système d’IA dans le cadre de l’utilisation de certaines IA (IA générative telle que générateur d’emails, etc.) ;
    - des données commerciales confidentielles utilisées dans des prompts peuvent être réutilisées par le système d’IA comme données d’entraînement ;
    - des données personnelles peuvent être stockées sur des serveurs du fournisseur d’IA en dehors de l’Union européenne, en violation des règles de transfert de données.

Un système d’IA générative pourra produire du contenu (image, texte) en violation des droits de propriété intellectuelle de tiers, sur la base de données d’entraînement collectées massivement en ligne pour son apprentissage, sans avoir obtenu les autorisations nécessaires. La réutilisation de ce contenu sans vérification préalable peut être contrefaisante. (2)

De même, l’on sait que l’IA peut produire des contenus inexacts, mal générés, voire créés de toutes pièces. L’utilisation sans vérification préalable, de contenu généré par l’IA, peut engager la responsabilité de l’utilisateur, en cas de dommage à un tiers. (3)


2. La mise à jour de la charte informatique ou la création d’une charte IA dédiée

L’adoption d’une charte informatique dans l’entreprise est vivement conseillée. Pour rappel, la charte informatique définit les règles d’utilisation des ressources technologiques par les salariés (équipements mis à la disposition des salariés, logiciels utilisés et autorisés, accès et utilisation d’internet, règles d’utilisation de la messagerie, rôle de la direction informatique, etc.). (4)

La charte informatique doit être mise à jour de temps à autre pour accompagner l’évolution des technologies et des usages. Dans le cadre de cette mise à jour, une partie relative à l’utilisation de l’intelligence artificielle dans l’entreprise sera ajoutée à la charte informatique. Il est également possible de prévoir une charte IA séparée. (5)

La charte IA est un document complexe. Préalablement à sa rédaction, il conviendra de définir la ou les personnes qui seront en charge de son élaboration, l’idéal étant de disposer d’une équipe comprenant informaticien(s) et juriste(s). La mission de cette équipe sera d’identifier les domaines dans lesquels l’entreprise utilise l’IA, de cartographier les systèmes d’IA utilisés, les besoins en formation du personnel, …

La charte IA devra couvrir les thématiques suivantes :
    - Définition des bonnes pratiques en matière d’IA ;
    - Les engagements éthiques de l’entreprise en matière d’IA ;
    - Quels systèmes d’IA sont autorisés dans l’entreprise et à quelles fins ;
    - Quels systèmes d’IA sont interdits ;
    - Le rappel des risques d’une utilisation de l’IA non autorisée et/ou interdite par le règlement sur l’IA ;
    - Les règles d’utilisation de l’IA (par exemple, vérifier les productions générées par l’IA, respecter l’obligation de transparence, éviter la divulgation d’informations confidentielles, respecter les dispositions du RGPD et la vie privée, …) ;
    - Des exemples concrets d’utilisation autorisée de systèmes d’IA ;
    - La nécessité de suivre une formation préalable à l’utilisation de l’IA ;
    - Les contrôles pouvant être exercés par la hiérarchie et les sanctions prévues en cas d’utilisation d’un système d’IA non autorisé et/ou en violation des règles stipulées dans la charte.

Il s’agit ici d’une liste indicative des points à aborder dans la charte, qu’il conviendra d’adapter selon les besoins et les domaines d’activité de chaque organisation. De même, comme la charte informatique, la charte IA devra être mise à jour de temps à autre pour accompagner l’évolution des systèmes utilisés et des usages.


3. L’accompagnement des salariés pour une utilisation maîtrisée de l’IA

Comme en matière de protection des données personnelles, la mise en œuvre de la charte IA est multidisciplinaire, à la croisée des fonctions informatiques, juridiques et conformité (ou « compliance »). Il conviendra de nommer un référent (ou « délégué à l’IA »), similaire au DPO pour la protection des données personnelles, qui sera en charge de sensibiliser le personnel aux règles d’utilisation de l’IA dans l’organisation. Compte tenu de la complexité du domaine, et suivant les cas, cette personne pourra être secondée par un juriste ou un informaticien.

L’utilisation de systèmes d’IA nécessite d’être correctement formé. Cette formation sera évidemment adaptée aux systèmes d’IA utilisés. La formation, de préférence pratique, abordera principalement les bonnes pratiques en matière d’IA, la sensibilisation aux risques, aux engagements éthiques, et à la nécessité d’une utilisation maîtrisée.


    La mise en place d’une charte IA dans l’entreprise s’inscrit dans un projet plus vaste de mise en conformité avec le règlement sur l’intelligence artificielle. (6) Comme mentionné dans un précédent article, l’entrée en application du règlement doit s’étaler sur 3 ans, en plusieurs phases allant jusqu’au 2 août 2027. L’obligation de mise en conformité doit être réalisée avant le 2 août 2025. Nous reviendrons sur la procédure de mise en conformité des systèmes d’IA utilisés et de leurs modes d’utilisation dans un article à venir.

* * * * * * * * * * *


(1) ChatGPT a été lancé par la société OPEN AI en novembre 2022

(2) Voir article « Julianne Moore, Harlan Coben, Björn Ulvaeus d'ABBA : plusieurs milliers d'artistes signent une pétition pour dénoncer les atteintes aux droits d'auteurs de l'IA

(3) Voir notre article « Un chatbot peut engager la responsabilité de l’éditeur du site web »

(4) Voir nos précédents articles sur la charte informatique : La charte informatique face à l’évolution des technologies : l’outil indispensable pour définir les règles du jeu ; Pour ou contre la pratique du BYOD : quelques réponses juridiques ; La protection du patrimoine informationnel de l’entreprise : tour d’horizon

(5) En cas d’adoption d’une charte IA séparée, il conviendra de suivre la procédure applicable aux chartes informatiques afin de la rendre opposable aux salariés et lui donner une valeur disciplinaire.

(6) Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (« AI Act » ou « RIA »)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2024