L’intégration d’outils d’intelligence artificielle au sein des entreprises présente un risque de divulgation non autorisée d’informations sensibles, confidentielles et stratégiques et appelle à la mise en place d’un programme de gouvernance.
L’intelligence artificielle (IA) a pris une place considérable dans notre quotidien et nombreuses sont les entreprises qui sont séduites par les opportunités que présente l’IA générative
Certains outils d’intelligence artificielle sont capables, entre autres tâches, de générer, à partir d’une instruction (« prompt ») et grâce à une base de contenus (« dataset ») un nouveau contenu (discours, article, contrat…). Ces IA dites « génératives » permettent aux entreprises et à leurs employés de gagner un temps considérable sur certaines tâches, d’accroître leur efficacité opérationnelle en termes d’analyse de données, de gestion de projets, de rédaction de contenus et de prise de décision automatisée.
Nous aborderons ici les mesures concrètes à mettre en œuvre pour que le recours à l’IA générative préserve les informations confidentielles protégées par le secret des affaires
La protection d’une information par le secret des affaires suppose la mise en œuvre de mesures de protection raisonnables
Le secret des affaires est consacré par le Code de commerce[1] et vise à prévenir la divulgation non autorisée et l’exploitation illicite d’informations confidentielles. Pour bénéficier de la protection, une information doit répondre à 3 critères : présenter un caractère secret, revêtir une valeur commerciale et faire l’objet par son détenteur légitime de mesures de protection raisonnables, pour en préserver le caractère secret.
L’entreprise qui souhaite protéger ses informations et documents stratégiques par le secret des affaires doit donc impérativement mettre en place des mesures de protection adéquates, pour éviter que des documents ou informations confidentielles soient divulguées et exploitées dans des outils d’IA générative.
La protection impose des mesures de gouvernance de l’IA. Concrètement, quelles sont les actions à mener ?
1. La première étape consiste à réaliser un inventaire et une cartographie des outils d’IA utilisés, identifier les outils à risques et leur impact business.
On comprend par exemple l’utilité d’un outil permettant à la fois de classer et stocker les contrats de l’entreprise (GED contractuelle), mais également de puiser intelligemment dans cette masse contractuelle pour rédiger le contrat « idéal », avec les meilleures clauses négociées ici et là.
Pour autant, certaines informations contractuelles sont hautement confidentielles (les salaires figurant dans les contrats de travail des salariés, les annexes techniques de contrats de développements, des informations contenues dans des protocoles transactionnels), et ne peuvent être librement exploitées au sein de l’outil.
Selon l’évaluation du niveau de risque effectuée pour chaque outil, il faudra décider si le recours à des outils d’IA est prohibé (risque trop élevé) ou soumis à des règles d’usage plus ou moins strictes qui peuvent être définies dans une « charte d’utilisation des outils d’IA » par exemple.
2. Dans tous les cas, il est nécessaire de sensibiliser le personnel aux risques.
Plusieurs entreprises ont fait le choix de bannir le recours de leurs employés à certains outils d’IA générative, tels que ChatGPT d’OpenAI, Gemini de Google ou l’Ernie Bot de Baidu. Pour autant, la solution d’interdiction n’est pas à elle seule satisfaisante.
Des employés d’une grande entreprise sud-coréenne auraient ainsi laisser fuiter les codes sources d’un logiciel en ayant recours à ChatGPT, alors même que ce type d’outil d’IA générative était prohibé et que la FAQ recommande aux utilisateurs de ne pas partager d’informations sensibles dans leur conversation.
Le personnel de l’entreprise est le principal concerné par l’incorporation de l’IA en entreprise, car il en est le principal utilisateur. Il est donc essentiel pour les entreprises de sensibiliser leurs équipes, par le biais de formations techniques et pratiques, afin qu’elles adoptent les bons réflexes en matière d’utilisation des systèmes d’IA.
L’entreprise veillera à documenter ses actions de formation (personnel formé, dates des formations effectuées, thématiques…).
3. Il convient de prévoir des restrictions d’accès aux outils d’IA utilisés dans l’entreprise. Au même titre qu’en matière de protection des données personnelles[2], il apparaît nécessaire de restreindre l’utilisation de l’IA à une liste de personnes habilitées ou a minima de garantir la traçabilité des actions en interne via un système d’authentification individuelle ou une surveillance de l’activité visant à détecter des fuites de données.
4. Il est également recommandé de créer des répertoires distincts dans les bases de données de l’entreprise, de manière à isoler les informations sensibles et éviter que l’outil d’IA puisse puiser dans les répertoires classés « hautement confidentiels » ou présentant un « risque élevé » pour l’entreprise.
L’une des fonctionnalités principales de l’IA permet d’analyser un ensemble de données, dont certaines peuvent être sensibles, stratégiques et/ou protégées par le secret des affaires. De ce fait, une entreprise qui utiliserait une IA à cette fin pourrait, sans le vouloir, compromettre la confidentialité de données protégées.
L’interrogation d’un outil d’IA générative qui aurait librement accès à toute la GED contractuelle de l’entreprise pourrait conduire à révéler des informations de ce type :
- Donne-moi la liste des clauses limitatives de responsabilité prévues dans les contrats de licence des éditeurs de logiciels de l’entreprise
- Quelle est la rémunération minimum et maximum prévue dans les contrats de travail du département X ?
- Quel est le montant de l’indemnité de départ prévue dans la transaction X ?
- Quels sont les schémas techniques associés au projet X ?
La manière la plus efficace d’aborder la question de la préservation de la confidentialité de certaines informations est avant tout que les entreprises parviennent à contrôler les données envoyées à l’outil d’IA et les connexions qui peuvent être établies entre plusieurs bases de données d’entrainement. Vu l’opacité du fonctionnement des solutions d’IA générative, la prudence recommande aux entreprises de ne jamais utiliser comme donnée d’entrainement un contrat ou un document non anonymisé et d’écarter les informations protégées par le secret des affaires.
5. La gouvernance de l’IA impose également de définir une documentation et des process comprenant notamment, selon le niveau de maturité de l’entreprise et son secteur d’activité :
- des politiques d’utilisation spécifiques aux solutions utilisant des outils d’IA. L’objectif est que celles-ci aient une force contraignante et que les salariés qui y contreviendraient puissent être sanctionnés,
- une charte des bonnes pratiques spécifique à l’IA, régulièrement mise à jour,
- des clauses contractuelles appropriées destinées à (i) renforcer les obligations en matière de sécurité et protection des éléments de propriété, (ii) interdire au cocontractant d’utiliser le contrat dans un outil d’IA générative.
- des questionnaires destinés aux éditeurs de solutions intégrant des outils d’IA afin de s’assurer des mesures mises en place pour éviter que des informations sensibles soient divulguées à des tiers (cloisonnement des bases de données d’entrainement, procédés d’anonymisation mis en place…).
En l’état, les conditions d’utilisation des outils d’IA générâtes sont assez lacunaires et les éditeurs ne fournissent que peu de garanties. Outre la vérification des conditions de licence et des droits de propriété intellectuelle sur ce que va générer l’IA, il y a donc lieu de challenger les éditeurs de logiciel notamment sur :
- le contenu du data set : comprend-il nos données uniquement ou celles d’autres clients ?
- quels sont les procédés mis en place pour anonymiser des données personnelles ou confidentielles ?
- quelles sont les garanties de ségrégation de données ?
Par conséquent, si l’intégration de systèmes d’IA en entreprise présente des avantages significatifs, elle comporte également des risques pour la protection des données confidentielles, sensibles et protégées par le secret des affaires. Pour prévenir ces risques, les entreprises ne peuvent faire l’impasse sur la gouvernance de l’IA, afin de profiter des avantages de l’IA, tout en préservant leurs données stratégiques.
[1] Article L.151-1 et suivants du Code de commerce
Retrouver les autres articles de la SAGA AI :
- SAGA AI #1 – AI Act : L’UE adopte le premier règlement sur l’intelligence artificielle au monde
- SAGAI AI #2 – Les enjeux de l’utilisation de l’IA en matière de PI : focus sur les œuvres utilisées pour entraîner les IA
- SAGAI AI #3 – Contenus générés par une intelligence artificielle : qui détient quels droits ?
- SAGA AI #4 – Le développement de l’IA confronté au droit de la protection des données personnelles