Couverture du journal du 18/06/2024 Le nouveau magazine

Précautions et risques de l’IA : comment déployer un système d’IA en toute sérénité

Les promesses de gains de productivité des systèmes d’intelligence artificielle (IA) amènent de plus en plus d’entreprises à en déployer ou à s’y intéresser. Le recours à un système d’IA implique d’observer certaines précautions afin d’éviter les risques susceptibles d’en découler.

Loullig Bretel.

Loullig Bretel. Photo Racine

Qu’est-ce qui caractérise l’IA ?

Malgré l’absence de définition universelle de l’IA, certaines de ses caractéristiques sont largement partagées. Un système d’IA vise à simuler l’intelligence humaine via un programme informatique. L’IA contemporaine recourt à des algorithmes, dispose d’une capacité d’apprentissage et repose sur un modèle probabiliste pour effectuer ses actions.

Un système d’IA peut commettre des biais ou produire des résultats faux si ses données d’entraînement ne sont pas de qualité et en quantité suffisantes.

L’IA est aujourd’hui connue du grand public au travers des IA génératives. Elle couvre cependant des applications très diverses dans la sphère professionnelle, aussi bien dans le cœur d’activité des entreprises que dans les fonctions support.

Quels sont les risques liés à l’utilisation de l’IA ?

Comme tout logiciel, un système d’IA peut subir des dysfonctionnements qui peuvent dégrader ou empêcher son utilisation et impacter l’activité de l’entreprise utilisatrice. Il peut en résulter une perte d’exploitation pour l’entreprise, à laquelle peut s’ajouter un risque de responsabilité civile et de résiliation de contrats lorsque les dysfonctionnements entraînent un défaut d’exécution de contrats clients.

Les mêmes risques peuvent résulter de décisions prises ou d’actions effectuées sur la base d’informations ou de résultats erronés d’un système d’IA.

Par ailleurs, un système d’IA a vocation à être alimenté par des données de l’entreprise qui peuvent être des données stratégiques ou plus généralement des données confidentielles. Le chargement de ces données dans un système d’IA, qui peut paraître anodin et sans danger pour l’utilisateur, peut engendrer une atteinte ou un risque de violation de leur confidentialité.

Certains fournisseurs d’IA peuvent en effet se réserver la possibilité de réutiliser ces données, notamment pour entraîner leur système, voire de les transmettre à des tiers, en particulier lorsque le système est accessible sans avoir à payer un prix. La préservation de leur confidentialité est en tout état de cause tributaire du dispositif de sécurité mis en place par le fournisseur.

L’utilisation d’un système d’IA, particulièrement d’IA générative, peut aussi exposer l’entreprise à exploiter des contenus portant atteinte aux droits de tiers, en particulier les droits de propriété intellectuelle, et à engager sa responsabilité civile.

Le recours à un système d’IA pour traiter des données personnelles est également un facteur de risque du traitement pour les personnes dont les données sont traitées et de complexité pour se conformer à la réglementation applicable à la protection des données personnelles.

Le Parlement européen a adopté, le 13 mars 2024, un règlement établissant des règles harmonisées concernant l’intelligence artificielle, plus connu sous le nom de législation sur l’IA ou « AI act », qui devrait entrer en vigueur prochainement, avec une application échelonnée dans le temps jusqu’à deux ans. Bien que ce règlement concerne principalement les fournisseurs de systèmes d’IA, il met également des obligations à la charge des entreprises qui mettent en œuvre de tels systèmes. Ces dernières devront respecter ces obligations sous peine de s’exposer aux sanctions prévues par le règlement.


Lire aussi

IA et entreprise : révolution en vue


Quelles sont les précautions à prendre ?

Lors de la sélection d’un système d’IA, il est important de bien identifier son fournisseur, surtout pour les systèmes standards fournis en ligne, et ses éventuels fournisseurs ou sous-traitants. Il est également primordial d’évaluer la sécurité du système en ligne et notamment les mesures destinées à prévenir et traiter les incidents de sécurité et les atteintes aux données. Cette évaluation peut opportunément être intégrée dans l’analyse d’adéquation du système aux besoins et attentes de l’entreprise.

L’étude des documents contractuels du fournisseur est ensuite indispensable. Ces documents prennent généralement la forme d’un contrat ou de conditions générales de service numérique ou d’utilisation. Il faut prêter attention aux engagements du fournisseur en termes de niveaux de service et de sécurité du système et de confidentialité des données, mais également aux obligations de l’entreprise pour s’assurer que le fournisseur ne déporte pas certaines de ses responsabilités sur celle-ci.

Les dispositions relatives aux droits des parties doivent également être examinées pour vérifier si le fournisseur entend s’octroyer certains droits sur les données de l’entreprise.

Une vigilance particulière doit être portée aux exclusions ou limitations de responsabilité du fournisseur afin qu’il demeure responsable des dommages qu’il est susceptible de causer à l’entreprise, dans une mesure à trouver en considération de l’économie du contrat.

Concernant la responsabilité des fournisseurs d’IA, la Commission européenne a publié, le 28 septembre 2022, deux propositions de directives visant à faciliter l’indemnisation des victimes de dommages causés par des systèmes d’IA : l’une sur la responsabilité en matière d’IA, l’autre relative à la responsabilité du fait des produits défectueux adaptée à l’IA. Il faudra sans doute quelques années pour que ces directives soient votées et transposées dans notre droit national.

Au-delà de ces aspects contractuels et juridiques, la sensibilisation et la formation des utilisateurs aux risques liés à un système d’IA est préconisée pour éviter les usages inappropriés. La mise en place de règles d’utilisation opposables aux utilisateurs peut utilement compléter ces mesures.