Lacroix
Lorsque ChatGPT a fait irruption sur la scène l’année dernière, les avocats internes ont dû se démener pour comprendre comment régir l’utilisation des nouveaux outils d’IA générative et décider qui prendrait en charge ces décisions.
En tête de leurs préoccupations : protéger les données confidentielles de l’entreprise et des clients, et établir des dispositifs de sécurité humains pour se prémunir contre la propension de la technologie à « halluciner » ou à cracher des informations erronées.
L’intelligence artificielle n’est pas nouvelle. Mais l’IA générative – des outils formés sur des océans de contenu pour produire du texte original – a créé un sentiment de panique parmi les services juridiques lorsque ChatGPT a fait ses débuts, car toutes ses implications juridiques étaient à la fois vastes et pas tout à fait claires. Et grâce aux plateformes publiques, l’outil est facilement accessible aux employés.
Du point de vue d’une entreprise, « l’IA générative est la première chose qui peut violer toutes nos politiques à la fois », a déclaré Dan Felz, associé chez Alston & Bird à Atlanta.
Surveillance de l’IA
À mesure que la technologie évolue et que les implications juridiques se multiplient – et avec la réglementation à l’horizon dans plusieurs juridictions – les entreprises devraient disposer d’une personne ou d’une équipe dédiée à la gouvernance et à la conformité de l’IA, a déclaré Amber Ezell, conseillère politique au Future of Privacy Forum. Le groupe a publié cet été une liste de contrôle pour aider les entreprises à rédiger leurs propres politiques en matière d’IA générative.
Ce rôle incombe souvent au responsable de la protection de la vie privée, a déclaré Ezell. Mais si l’IA touche à la vie privée, elle englobe également d’autres problèmes.
Toyota Motor North America a créé un groupe de surveillance de l’IA qui comprend des experts en propriété intellectuelle, en confidentialité des données, en cybersécurité, en recherche et développement, etc. pour évaluer les demandes internes d’utilisation de l’IA générative au cas par cas, a déclaré Gunnar Heinisch, conseiller juridique..
L’équipe « essaie en permanence d’évaluer à quoi ressemblent les risques par rapport aux avantages pour notre entreprise » à mesure que de nouveaux problèmes et cas d’utilisation surviennent, a déclaré Heinisch.
« Entre-temps, en arrière-plan, nous essayons d’établir à quoi ressemblent nos principes et notre cadre. Ainsi, en traitant des questions ponctuelles, puis en essayant d’établir à quoi ressemble ce cadre, en gardant à l’esprit une vision réglementaire à long terme, ” il ajouta.
Salesforce, le géant des logiciels d’entreprise basé à San Francisco, utilise l’IA depuis des années, a déclaré Paula Goldman, responsable de l’utilisation éthique et humaine de l’entreprise. Même si cela impliquait de répondre dès le départ aux préoccupations éthiques, a-t-elle noté, l’IA générative a soulevé de nouvelles questions.
La société a récemment publié une nouvelle politique d’utilisation acceptable de l’IA, a déclaré Goldman.
“Nous savons que l’IA générative n’en est qu’à ses débuts, qu’elle progresse très rapidement et que les choses vont changer”, a-t-elle déclaré. « Nous devrons peut-être adapter notre approche, mais nous préférons nous engager sur le terrain et aider nos clients à comprendre ce que nous pensons être la réponse à certaines de ces questions très complexes à l’heure actuelle. »
La conversation sur l’utilisation responsable de la technologie se poursuivra à mesure que les lois évolueront, a-t-elle ajouté.
Création de politiques
La première apparition de ChatGPT était : « Tout le monde sur le pont ! Feu ! Nous devons mettre en place une politique immédiatement », a déclaré Katelyn Canning, responsable juridique chez Ocrolus, une startup fintech proposant des produits d’IA.
Dans un monde parfait, a déclaré Canning, elle aurait arrêté l’utilisation interne de la technologie tout en déterminant ses implications et en rédigeant une politique.
“C’est un outil tellement génial qu’il faut trouver un équilibre entre la réalité, les gens vont l’utiliser, il est donc préférable de mettre des lignes directrices sur papier”, a-t-elle déclaré, “juste pour que rien d’absolument fou ne se produise.”
Certaines entreprises ont interdit l’utilisation interne de la technologie. En février, un groupe de banques d’investissement a interdit l’utilisation de ChatGPT par ses employés.
D’autres n’ont encore aucune politique en place, mais il s’agit d’un groupe en diminution, a déclaré Ezell.
Beaucoup d’autres autorisent leurs employés à utiliser l’IA générative, a-t-elle déclaré, mais ils établissent des garanties, comme le suivi de son utilisation et l’exigence d’une approbation.
“Je pense que la raison pour laquelle les entreprises n’avaient pas initialement de politiques d’IA générative n’était pas parce qu’elles étaient complaisantes ou parce qu’elles ne voulaient pas nécessairement faire quoi que ce soit à ce sujet”, a déclaré Ezell. “Je pense que cela est arrivé si vite que les entreprises ont essayé de rattraper leur retard.”
Selon une enquête du McKinsey Global Institute, parmi les personnes interrogées ayant déclaré que leur organisation avait adopté l’IA, seulement 21 % ont déclaré que leur organisation avait des politiques régissant l’utilisation de l’IA générative par les employés. Les données de l’enquête ont été collectées en avril et incluaient des répondants de toutes régions, secteurs et tailles d’entreprises, a déclaré McKinsey.
Pour les entreprises qui créent de nouvelles politiques à partir de zéro ou mettent à jour leurs politiques à mesure que la technologie évolue, l’IA générative soulève une multitude d’embûches juridiques potentielles, notamment en matière de sécurité, de confidentialité des données, d’emploi et de droit d’auteur.
Alors que les entreprises attendent une réglementation ciblée sur l’IA qui est en discussion dans l’UE, au Canada et dans d’autres pays, elles se tournent vers les questions posées par les régulateurs, a déclaré Caitlin Fennessy, vice-présidente et directrice des connaissances à l’Association internationale des professionnels de la vie privée. Ces questions « servent de rubrique aux organisations qui élaborent des politiques de gouvernance de l’IA », a-t-elle ajouté.
« À ce stade, les organisations exploitent une combinaison de cadres et de règles existantes en matière de lois sur la protection de la vie privée et contre la discrimination pour élaborer des programmes de gouvernance de l’IA », a déclaré Fennessy.
Qu’est-ce qu’un « Non catégorique » ?
Au sommet des préoccupations de la plupart des conseillers juridiques d’entreprise concernant la technologie se trouve une violation de la sécurité ou de la confidentialité des données.
Si un employé place des informations sensibles, telles que des données client ou des informations commerciales confidentielles, dans une plateforme d’IA générative qui n’est pas sécurisée, la plateforme pourrait proposer ces informations ailleurs. Elles pourraient également être intégrées aux données de formation que l’opérateur de plateforme utilise pour affiner son modèle – les informations qui « enseignent » le modèle –, ce qui pourrait effectivement le rendre public.
Mais alors que les entreprises cherchent à « affiner » leurs modèles d’IA – en les entraînant avec des données spécifiques à l’entreprise et au secteur pour obtenir une utilité maximale – la question épineuse de la manière de protéger les secrets restera au premier plan.
L’inexactitude est également une préoccupation majeure. Les modèles d’IA générative ont tendance à halluciner ou à produire des réponses incorrectes.
Les entreprises doivent veiller à ne pas autoriser une utilisation illimitée et non contrôlée, sans freins et contrepoids, a déclaré Kyle Fath, associé chez Squire Patton Boggs à Los Angeles, qui se concentre sur la confidentialité des données et la propriété intellectuelle.
Un « non catégorique » consisterait à utiliser l’IA générative sans gouvernance interne ni garanties en place, a-t-il déclaré, car les humains doivent vérifier que les informations sont factuellement exactes, non biaisées et ne portent pas atteinte aux droits d’auteur.
Risques et garde-fous
L’utilisation de l’IA générative pour les fonctions RH, comme le tri des candidatures ou la mesure des performances, risque de violer la loi sur les droits civiques en vigueur, a averti la Commission américaine pour l’égalité des chances en matière d’emploi.
Le modèle d’IA pourrait discriminer les candidats ou les employés en fonction de leur race ou de leur sexe, s’il a été formé sur des données elles-mêmes biaisées.
Les orientations récentes de l’EEOC sont cohérentes avec ce que les avocats du droit du travail conseillaient à leurs clients, a déclaré David Schwartz, responsable mondial du groupe de droit du travail et de l’emploi chez Skadden Arps à New York. Certaines juridictions ont déjà promulgué leurs propres lois sur l’emploi de l’IA, comme la nouvelle exigence de la ville de New York selon laquelle les employeurs soumettent les outils de recrutement d’IA à un audit indépendant vérifiant les préjugés.
Il existe également déjà une attention réglementaire sur les questions de confidentialité aux États-Unis et dans l’UE, a déclaré Fath.
L’utilisation de l’IA générative par les employés expose également les entreprises à des risques de violation du droit de la propriété intellectuelle. Les modèles qui extraient des données de sources tierces pour entraîner leurs algorithmes ont déjà déclenché des poursuites contre les fournisseurs d’IA par des célébrités et des auteurs.
“Il n’est probablement pas exclu que ces poursuites commencent à se répercuter sur les utilisateurs de ces outils”, au-delà du simple ciblage des plates-formes, a déclaré Fath.
Les entreprises examinent de près si leurs politiques actuelles en matière de confidentialité et de conditions d’utilisation leur permettent d’accéder aux données des clients avec l’IA générative, a-t-il ajouté.
