Les outils d’IA sont là pour rester, c’est pourquoi il est nécessaire de comprendre comment vous pouvez utiliser les outils d’IA, spécifiquement les Grands Modèles de Langage (LLM; en anglais Large Language Models) tels que ChatGPT, en respectant les lois sur la protection des données telles que le Règlement Général sur la Protection des Données (RGPD) de l’UE et la Loi Fédérale sur la Protection des Données (LPD) suisse. L’objectif de cet article est de donner des conseils pratiques pour tirer parti de l’IA tout en protégeant la vie privée des utilisateurs et de votre entreprise, à la fois lors de l’utilisation d’outils d’IA en interne, ainsi que lors de leur intégration sur le site internet ou l’application de votre entreprise.
Utilisation des outils d’IA en interne
Tout d’abord, les informations confidentielles et sensibles doivent être traitées avec prudence lorsque vous utilisez des outils d’IA dans le cadre de vos activités professionnelles internes. Les principes de protection des données tels que la légalité, l’équité et la transparence, la limitation de la finalité et la confidentialité s’appliquent également aux données à caractère personnel que vous traitez à l’aide d’outils d’IA (externes). Par conséquent, il est conseillé aux entreprises de:
- Mettre en place des garanties appropriées pour protéger les données à caractère personnel contre les accès ou les divulgations non autorisés. Il s’agit par exemple de restrictions d’accès internes fondées sur le principe du “besoin de savoir”, ainsi que de mesures de sécurité techniques. Également, il est important de vérifier si des contrats (comme des contrats de sous-traitance) ont été établis avec le fournisseur des outils d’IA, assurant ainsi un traitement conforme des données personnelles.
- En particulier, les données sensibles et confidentielles telles que les dossiers financiers, les secrets commerciaux et les données de santé doivent être soigneusement évaluées et anonymisées avant d’être partagées avec des outils d’IA.
De même, les entreprises devraient examiner attentivement les implications de l’autorisation accordée aux fournisseurs de services d’IA, tels qu’OpenAI pour ChatGPT, d’utiliser leur contenu pour l’entraînement des modèles. En fonction de la nature du contenu et des risques potentiels pour la vie privée, vous pouvez choisir de refuser l’utilisation du contenu afin de protéger les informations sensibles et de maintenir la conformité en matière de confidentialité des données. Il est essentiel d’examiner et de comprendre les conditions générales communiquées par les fournisseurs de services d’IA concernant l’utilisation du contenu afin de garantir l’alignement avec les réglementations en matière de protection des données et les propres politiques de confidentialité de l’entreprise.
Ensuite, il faut être conscient que les résultats générés par les LLM ne sont pas toujours vrais et qu’ils sont susceptibles d’erreurs. Pour cette raison, avant de se fier aux résultats fournis, les entreprises doivent mettre en place des mécanismes de contrôle, afin de s’assurer que les résultats sont corrects et, si ce n’est pas le cas, de les modifier de manière appropriée. Cela peut comprendre de:
- vérifier les informations générées par l’IA en les comparant à des sources fiables ; et
- soumettre les résultats à un examen humain pour en vérifier l’exactitude.
La vérification de la fiabilité des résultats générés par l’IA favorise la prise de décisions fiables et permet d’éviter les erreurs potentielles ou la désinformation. En outre, il est nécessaire de maintenir les données à caractère personnel à jour et exactes pour se conformer à l’obligation de protection des données. Les personnes concernées ont le droit d’obtenir la modification des données personnelles inexactes les concernant.
Enfin, une formation adéquate des utilisateurs tels que les employés est essentielle pour promouvoir une utilisation responsable et efficace. Les entreprises devraient :
- mettre en place des programmes de formation qui informent les individus sur les capacités et les limites des outils utilisés;
- encourager une culture d’utilisation responsable de l’IA, afin de limiter les risques liés à une mauvaise utilisation ou à une mauvaise interprétation des informations générées par l’IA.
L’éducation des utilisateurs à l’utilisation correcte des outils d’IA améliore leur compréhension et favorise une prise de décision responsable.
Utiliser des outils d’IA en externe
L’intégration d’outils d’IA comme ChatGPT ou de chatbots dans les sites internet et les applications mobiles peut améliorer l’expérience des utilisateurs et leur apporter des fonctionnalités utiles.
Lorsque vous incluez ces outils d’IA dans vos services, vous devez être conscient du traitement potentiel des données par des tiers et établir une claire distribution des rôles et responsabilités impliqués.
Par exemple, si vous utilisez des outils d’IA d’un fournisseur comme OpenAI, il est essentiel d’examiner et de comprendre les activités de traitement des données menées par le fournisseur et d’établir une relation claire entre les responsables de traitement ou entre le responsable de traitement et le sous-traitant, si c’est le cas. Cela signifie que les entreprises devraient :
- Examiner les pratiques de traitement des données des fournisseurs d’outils d’IA et choisir celles qui sont les plus favorables à la protection de la vie privée;
- Conclure des contrats de sous-traitance avec les fournisseurs d’outils d’IA et veiller au respect des réglementations pertinentes en matière de protection des données;
- Dans le cas des transferts de données vers des pays tiers, notamment les États-Unis, s’assurer qu’il existe des garanties appropriées. Si la Commission de l’UE ou le Conseil fédéral suisse n’ont pas adopté de décisions d’adéquation concernant ces pays, veillez à inclure des Clauses contractuelles types dans votre contrat de sous-traitance ainsi qu’à adopter d’autres mesures jugées appropriées;
- Effectuez une répartition claire des rôles entre vous et le prestataire de services d’IA, où il est clair qui est (sont) le(s) responsable(s) de traitement des données et qui est (sont) cas échéant le sous-traitant des données;
- Appliquer des mesures techniques et organisationnelles supplémentaires telles que la pseudonymisation ou l’anonymisation et des lignes directrices internes si nécessaire.
Dans ce contexte, les entreprises devraient également établir des politiques de conservation des données appropriées pour les interactions avec les chatbots alimentés par l’IA. Cette période de conservation doit être basée sur les finalités du traitement des données et garantir que les données sont supprimées de manière sécurisée ou anonymisées une fois qu’elles ne sont plus nécessaires.
D’autre part, la transparence est essentielle pour les sociétés qui utilisent des outils d’IA en externe. C’est pourquoi, lors du déploiement de ces outils, vous devez:
- Informer les utilisateurs et les parties prenantes de l’utilisation des outils d’IA et de leur finalité, y compris des implications de cette inclusion pour le traitement des données et la protection de la vie privée, notamment en ce qui concerne l’implication de tiers, les transferts vers des pays tiers et la sécurité des données;
- Veiller à ce que les politiques de confidentialité soient facilement accessibles, rédigées dans un langage simple et fournissent des instructions claires permettant aux utilisateurs d’exercer leurs droits;
- Informer et conférer des droits supplémentaires si vous utilisez un outil d’IA pour une décision automatisée ayant un impact significatif sur la personne concernée par exemple dans votre processus de recrutement ou lors de l’octroi d’un accès à vos services uniquement sur la base d’une décision d’IA.
Conclusion
En conclusion, vous pouvez profiter de la puissance des outils d’IA et des LLM, tels que ChatGPT, tout en restant conforme aux lois sur la protection des données telles que le RGPD et la LPD.
En respectant les lignes directrices relatives aux meilleures pratiques en matière de protection de la vie privée, il est possible de trouver un équilibre entre l’innovation en matière d’IA et la protection des droits en matière de vie privée. Dans cette perspective, les sociétés qui cherchent à intégrer des outils d’IA dans leurs produits et processus devraient vérifier les pratiques suivantes:
- Examiner et mettre à jour les politiques et procédures internes : Veillez à ce qu’elles s’alignent sur les réglementations en matière de protection des données et qu’elles tiennent compte des considérations spécifiques liées à l’utilisation d’outils d’IA tels que ChatGPT. Inclure des lignes directrices pour l’utilisation d’informations confidentielles/sensibles, la vérification de l’exactitude des résultats et la formation des employés à l’utilisation appropriée des outils d’IA.
- Mettre en œuvre des mesures de protection des données strictes : Employez des techniques de minimisation des données, telles que la collecte des seules données nécessaires, la pseudonymisation et l’anonymisation, pour réduire les risques d’atteinte à la vie privée. Établir des politiques claires de conservation des données et supprimer ou anonymiser les données de manière sécurisée lorsqu’elles ne sont plus nécessaires.
- Communiquer de manière transparente avec les utilisateurs et les parties prenantes : Mettez à jour les politiques de confidentialité afin d’indiquer clairement l’utilisation des outils d’IA et l’implication éventuelle de tiers. Veillez à ce que les politiques de confidentialité soient facilement accessibles, rédigées dans un langage clair et simple, et à ce qu’elles fournissent des instructions permettant aux utilisateurs d’exercer leurs droits.
- Rester informé de l’évolution des réglementations et des meilleures pratiques : Suivre en permanence les mises à jour des lois sur la protection des données et des autres réglementations, lignes directrices et meilleures pratiques du secteur liées à l’utilisation des outils d’IA.
Pour plus d’informations, n’hésite pas à parler à l’un de nos experts en protection de la vie privée!
