Data / IA
Six risques légaux de ChatGPT que les DSI doivent connaître
Par Laurent Delattre, publié le 23 mai 2023
Une nouvelle étude Gartner alerte DSI et responsables d’entreprises sur les risques posés par l’usage de ChatGPT en entreprise aussi bien en termes de conformité qu’en termes légaux. Des risques qu’il vaut mieux connaître dès à présent alors que de plus en plus d’utilisateurs utilisent les IA génératives au quotidien sans forcément en informer leurs directions et la DSI.
Qu’on le souhaite ou non, les IA génératives sont en train de révolutionner le monde de l’entreprise. S’insérant aisément dans les processus métiers, simples à appréhender, portées par leur capacité à répondre à des demandes exprimées en langage naturel, elles sont capables de produire du contenu original et pertinent, que ce dernier soit du texte, des images, des vidéos ou des sons. Au quotidien, elles évitent aux collaborateurs de sécher par manque d’idées, aide à structurer la pensée, font gagner du temps et peuvent même participer à l’optimisation des processus métiers.
Leur prise en main est si naturelle, qu’elles se sont déjà infiltrées dans le quotidien de bien des collaborateurs poussés dans un premier temps par la curiosité et le buzz médiatique et dans un second temps par la conviction que ces IA pouvaient effectivement les aider au quotidien dans bien des domaines. Et ceci alors même qu’elles sont encore déconnectées du savoir informationnel de l’entreprise et qu’elles n’ont pas encore officiellement intégré les outils du quotidien que sont Microsoft 365, Google Workspace, Dynamics 365, Salesforce, etc. À la manière du BYOD et des outils SaaS, elles imprègnent tellement les usages que lutter contre leur utilisation s’avère dans bien des cas contre-productifs et une perte de temps pour la DSI.
Il est souvent plus simple d’accompagner le mouvement en formant les collaborateurs à leur bon usage. Un usage qui impose de comprendre leur réglage de confidentialité, leur respect ou non du RGPD, leurs qualités et leurs limites mais aussi les risques actuels portés par ces IA.
Dans un nouveau rapport, Gartner revient sur 6 risques essentiels que tout DSI doit garder en tête pour mieux guider l’usage de ces IA dans leur entreprise :
Risque 1 – Des réponses préfabriquées et inexactes
Le premier risque identifié par Gartner est sans surprise la tendance naturelle de ChatGPT et des LLM à « halluciner », autrement dire à fournir des informations incorrectes, voire totalement fausses, mais en apparence plausibles. Cela va de faits inventés à des citations ou des textes juridiques qui n’ont jamais existé !
Cette tendance à l’invention – déjà évoquée il y a plusieurs semaines dans nos colonnes (cf. Il va falloir former les collaborateurs aux hallucinations de l’IA) – doit inviter les utilisateurs de ces IA à systématiquement vérifier les affirmations des IA et s’assurer de l’exactitude et la pertinence des réponses générées avant de les exploiter.
À LIRE AUSSI :
Risque 2 – Confidentialité et protection des données
Il est crucial de comprendre que toute information saisie dans ChatGPT peut se retrouver intégrée dans son ensemble de données d’apprentissage si l’historique des discussions n’est pas désactivé.
Après ses déboires avec l’Italie et les investigations européennes, OpenAI a récemment clarifié sa politique et introduit un réglage qui simplifie les choses. Si l’historisation des discussions est désactivée, aucune donnée transmise à ChatGPT ne sera exploitée à des fins d’amélioration et d’enrichissement de l’IA. En revanche, si cette historisation est activée, les données sensibles, propriétaires ou confidentielles transmises pourraient se retrouver incorporées dans le savoir de l’IA et donc être utilisées pour répondre à d’autres utilisateurs hors de l’entreprise.
En attendant davantage de granularité dans les réglages de ChatGPT, les DSI n’ont d’autre solution que d’imposer aux collaborateurs de désactiver l’historisation pour éviter tout risque de fuite. Et imposer qu’aucune information à caractère personnel ou confidentiel ne soit transmise aux IA génératives qu’elles s’appellent MidJourney, Dall-E, Stable Diffusion, Claude, Bing Chat, Bard et autres…
Risque 3 – Les biais du modèle et de ses réponses
Malgré les efforts d’OpenAI pour minimiser les biais et les discriminations dans ChatGPT, ces derniers existent. Reconnaître de tels biais n’est pas toujours évident pour les utilisateurs. D’autant qu’il n’existe pas de méthode de détection ni de solution pratique pour les éviter. « Une élimination complète des biais est probablement impossible » rappelle Ron Friedmann, senior director analyst chez Gartner. « Les services juridiques et de conformité doivent rester au fait des lois régissant les biais de l’IA et s’assurer que leurs conseils y sont conformes. Cela peut imposer de travailler avec des experts en la matière pour s’assurer que les résultats sont fiables ». L’analyste conseille également d’utiliser les fonctions d’audit des machines et des navigateurs pour mettre en place des contrôles de qualité et analyser les sujets qui amènent les IA sur sujets qui portent à controverse.
À LIRE AUSSI :
Risque 4 – Propriété intellectuelle et droit d’auteur
Étant donné que ChatGPT est formé sur une grande quantité de données provenant d’Internet, qui comprend probablement du matériel protégé par le droit d’auteur, ses réponses peuvent potentiellement enfreindre des droits et copyrights. Beaucoup d’interrogations persistent autour de cette thématique. En l’absence de textes juridiques et de jurisprudence en la matière, les entreprises naviguent à vue. La tâche est d’autant plus dure que ChatGPT et bien d’autres IA génératives ne citent pas les sources qui ont inspiré leur réponse, qu’elle soit textuelle ou visuelle. C’est à l’utilisateur de faire attention à l’usage qu’il fait des réponses pour éviter toute violation de propriété intellectuelle.
Risque 5 – Attention à la cyberfraude
Des acteurs malveillants utilisent déjà ChatGPT pour générer de fausses informations à grande échelle, comme de faux avis sur les sites de e-commerce, des fakenews sur les réseaux sociaux ou encore des Spams en plusieurs langues. De plus, ChatGPT est susceptible de subir une injection de commandes malveillantes, une technique d’hacking qui trompe le modèle pour lui faire accomplir des tâches non prévues. Une surveillance appropriée est essentielle pour limiter ces risques et éviter la désinformation en interne comme vers l’extérieur.
Risque 6 – La protection des consommateurs
Faire croire aux utilisateurs qu’ils sont en contact avec un humain alors que c’est ChatGPT qui discute avec eux constitue un risque d’image mais aussi un risque légal en vertu de diverses lois luttant contre les tromperies et arnaques. Il est donc important de respecter toutes les réglementations pertinentes et de préciser aux clients qu’ils échangent avec une IA plutôt qu’un être humain.
Ces risques ne sont pas nouveaux mais les avoir ainsi regroupés offre une utile piqure de rappel. Au DSI de sensibiliser les responsables juridiques comme les collaborateurs. Ainsi que le précise Ron Friedmann, « les responsables juridiques et de la conformité doivent évaluer si ces questions présentent un risque important pour leur entreprise et quels sont les contrôles nécessaires, à la fois au sein de l’entreprise et auprès de ses partenaires. En l’absence d’une telle évaluation, les entreprises s’exposent à des conséquences juridiques, financières et à des atteintes à leur réputation ».
À LIRE AUSSI :