La protection des données à l'ère de l'IA : Ce que les entreprises doivent savoir dès maintenant

Il ne fait aucun doute que le boom de l'IA est là pour durer. ChatGPT à lui seul possède désormais 400 millions d'utilisateurs dans le monde chaque semaine. À leur tour, les entreprises ont dépensé 13,8 milliards de dollars américains pour de tels outils l'année dernière, selon le capital-risque Menlo Ventures. En 2023, ce chiffre était de 2,3 milliards. Cela correspond à une croissance de 500 %.

Et même si les gains de productivité n'ont pas encore atteint le niveau espéré, les entreprises semblent satisfaites de leurs initiatives en matière d'IA : selon le cabinet de conseil Deloitte, 74 % des organisations interrogées estiment avoir atteint ou dépassé leurs objectifs. 78 % ont l'intention d'augmenter leurs dépenses cette année.

Ce vif intérêt s'explique par une raison simple : les outils d'IA peuvent accélérer de nombreuses tâches quotidiennes. Même dans de grandes quantités de données, par exemple, ils peuvent trouver les faits et les chiffres souhaités en quelques secondes. Ils peuvent comparer et résumer les informations. Enfin, ils créent du contenu de toutes sortes, qu'il s'agisse d'un brouillon pour un e-mail ou d'une illustration pour une présentation.

Malgré tout l'enthousiasme suscité par les assistants numériques, une question importante se pose : qu'en est-il de la protection des données dans le nouveau monde de l'IA ?

En résumé, la réponse est : pas bien. Les entreprises opérant dans des secteurs particulièrement réglementés, tels que le secteur financier, doivent être conscientes de plusieurs problèmes.

‍

Contexte : Le cadre réglementaire

Lorsqu'elles utilisent l'IA, les entreprises évoluent dans un environnement réglementaire complexe. Deux ensembles de réglementations sont particulièrement pertinents dans ce pays : la loi relative à l'IA de l'UE, relativement récente, et le règlement général sur la protection des données (RGPD), déjà bien connu, et son équivalent suisse, la loi sur la protection des données (DPA).

L'objectif de la loi sur l'IA de l'UE est de garantir la sécurité, la transparence et la fiabilité des systèmes d'IA. Cela s'adresse principalement aux fournisseurs de ces services, mais pas seulement : les utilisateurs d'IA ont également des obligations. Cela est particulièrement vrai en ce qui concerne l'IA dite à haut risque, par exemple pour les tâches du service des ressources humaines ou lors de l'octroi de prêts. Annexe III de la loi de l'UE sur l'IA répertorie exactement les applications qui entrent dans cette catégorie.

Selon l'article 26, les entreprises et les institutions doivent alors, entre autres :

• s'assurer que les systèmes sont utilisés correctement,
• Vérifier la qualité et la pertinence des données d'entrée,
• et faire comprendre aux personnes concernées que l'IA est impliquée.

À leur tour, le RGPD et la DPA concernent essentiellement le traitement des données personnelles, ce qui est également très pertinent lors de l'utilisation de l'IA.

Quelques points clés :

• Limitation de l'objectif: Les données ne peuvent être traitées que dans le but prévu.
• Minimisation des données: Seul ce qui est absolument nécessaire peut être traité.
• Base légale: Tout traitement de données nécessite une base légale telle que le consentement ou un intérêt légitime.

Pour plus de détails, voir L'article 5 et L'article 6 du RGPD et Article 6 de la DPA.

Dans tout cela, les entreprises et les organisations doivent non seulement s'assurer qu'elles respectent elles-mêmes ces réglementations, mais également que les prestataires de services qu'elles mandatent le font. Les fournisseurs américains posent donc régulièrement un problème à cet égard, car la protection des données est gérée différemment en Amérique et en Europe. Les accords entre l'UE et les États-Unis, qui étaient censés résoudre ce problème, ont échoué à plusieurs reprises devant les tribunaux. La dernière version, intitulée Data Privacy Framework, est considéré avec des critiques similaires.

Les prestataires européens constituent le meilleur choix de ce point de vue. Dans le secteur de l'IA, par exemple, ce serait la société française Mistral. Mais même dans ce cas, le transfert de données doit bien entendu respecter les directives susmentionnées.

‍

Risques et solutions pratiques

Compte tenu de ce cadre réglementaire, il est très problématique, par exemple, de télécharger des données personnelles vers un service tel que ChatGPT sans traitement. Mais les organisations doivent également faire preuve de prudence dans d'autres domaines.

Dans ce qui suit, nous examinons de plus près deux risques majeurs et les solutions possibles :

‍

Infractions accidentelles commises par des employés

Dans de nombreuses entreprises, les employés utilisent des outils basés sur l'IA pour travailler plus efficacement. Il est important de sensibiliser le public à la question de la protection des données. Sinon, il est facile d'introduire des informations internes, des données confidentielles sur les clients ou même des secrets commerciaux dans un système d'IA.

Des fournisseurs tels qu'OpenAI promettent à leurs clients payants que leurs chats ne seront pas utilisés pour former les futurs modèles. Les informations ainsi téléchargées ne devraient donc pas soudainement faire partie de la « connaissance mondiale » d'une IA telle que ChatGPT. Mais même si cela est vrai, cela n'a aucune importance du point de vue de la législation sur la protection des données : le simple fait de transférer ces informations sous cette forme peut déjà être illégal.

C'est pourquoi les organisations ont besoin de directives claires en matière d'IA qui réglementent clairement l'utilisation de ces outils. Une formation appropriée est également essentielle.

‍

La soif de données des outils d'IA

Un autre risque est que des données sensibles de l'entreprise soient découvertes involontairement. Cela peut être dû à des partages de documents mal configurés ou à des emplacements de stockage de fichiers non sécurisés.

Cela ne se voit pas immédiatement dans la vie de tous les jours. Les moteurs de recherche tels que Google, par exemple, se conforment volontairement aux spécifications des opérateurs de sites Web quant à ce qu'ils peuvent enregistrer et ne pas enregistrer. Ceci est régulé par un fichier appelé robots.txt, entre autres.

Cependant, la situation est différente pour les fournisseurs d'IA. Leur soif de données est incommensurable, car c'est le fondement de leur activité. Leurs outils ne leur permettent d'acquérir leurs compétences et leurs connaissances que grâce à d'énormes quantités de données. Un exemple est le Projet « Common Crawl », qui explore régulièrement des milliards de sites Web.

Et il s'avère que dans la course à la suprématie sur le marché en plein essor de l'IA, restrictions dans un fichier robots.txt sont définitivement ignoré.

Il est donc plus important que jamais de porter une attention particulière à la manière dont les documents sont stockés et mis à disposition. C'est là que des solutions telles que celles de DSwiss peuvent être utiles : grâce à un cryptage et à un contrôle d'accès cohérents, les documents sensibles restent protégés même si un emplacement de stockage est techniquement accessible. Contrairement aux dossiers cloud accessibles au public, ces systèmes ne peuvent être ouverts que via des partages autorisés. Ils sont tout simplement invisibles pour les robots d'indexation. Cela permet d'éviter que des informations confidentielles ne se retrouvent involontairement dans de grands ensembles de données d'entraînement.

‍

Principaux points à retenir

En fin de compte, il reste à dire : la protection proactive des données est de toute façon déjà indispensable, mais elle le deviendra encore plus à l'ère de l'IA. L'une des raisons : les systèmes d'IA n'oublient rien. Une fois qu'il y est entré, il est presque impossible de le récupérer. Il est donc d'autant plus important d'agir dès maintenant avant qu'une négligence mineure ne finisse par causer des problèmes majeurs.