L’intelligence artificielle offre des opportunités aux entreprises mais présente aussi des risques. Dans cet entretien, Anne-Sophie Morand, avocate et Data Governance Counsel chez Swisscom, explique comment une gouvernance adaptée de l’IA peut amener vos clients à avoir davantage confiance en vous.
Utilisez-vous les services de la GenAI (intelligence artificielle générative) dans votre vie quotidienne en dehors du travail et si oui, pour quelles raisons?
Oui, à titre privé, j’utilise des services de la GenAI tels que ChatGPT, DeepL et DALL-E. Avec ChatGPT, j’apprécie cette possibilité de brainstorming et de développement d’idées. J’utilise régulièrement DeepL pour obtenir des traductions rapides dans différentes langues ou pour vérifier les textes que j’ai rédigés dans d’autres langues. Et avec DALL-E, j’ai récemment généré une image adaptée à mon site Internet www.ki-recht.ch. Dans l’ensemble, ces services de la GenAI m’aident à être plus efficace et plus créative au quotidien dans ma vie privée.
À quoi devons-nous faire attention lorsque nous utilisons de tels services de la GenAI à titre privé?
Lorsque vous utilisez les services de la GenAI à titre privé, il est important d’être conscient des performances et des limites de ces outils. Bien que ces services puissent donner des résultats impressionnants, il ne faut pas faire confiance aveuglément aux contenus générés automatiquement. Il est conseillé de toujours vérifier les résultats, car ils ne sont pas toujours exempts d’erreurs et fournissent parfois des informations erronées ou inappropriées.
Découvrir Copilot pour M365 avec Swisscom
Nous proposons aux entreprises un soutien complet autour de Copilot pour Microsoft 365. Nous vous accompagnons lors de l’introduction et élaborons avec vous des scénarios d’utilisation.
Lorsque j’utilise ces services en dehors de mon travail, je veille à protéger ma sphère privée et celle des autres personnes et à éviter toute exposition inutile à des données. Par conséquent, je m’abstiens délibérément de saisir des informations personnelles sensibles telles que mon nom, mon adresse ou autres détails privés dans ces systèmes.
A-t-on le droit d’utiliser des services de la GenAI à titre privé au quotidien dans le cadre professionnel?
Chaque cas est différent. Chez Swisscom, l’utilisation professionnelle d’outils privés basés sur l’IA est réglementée par une directive relative à l’utilisation des ressources TIC. Avant d’utiliser un service approprié, les collaborateurs(trices) doivent donc toujours s’assurer que l’entreprise dispose de la licence et du droit d’utilisation nécessaires pour ce contenu. Cela s’applique aux logiciels ou services que les collaborateurs(trices) ont payés personnellement, ainsi qu’aux logiciels ou services gratuits. On ne peut donc pas simplement utiliser un outil privé pour le travail. Il faut d’abord vérifier si l’usage professionnel est autorisé et quel type de données on a le droit d’introduire dans l’outil. Dans tous les cas, il convient toutefois de privilégier les outils internes existants, tels que SwisscomGPT.
Outre l’utilisation privée des services de la GenAI, nous devons avant tout discuter des risques qui surviennent lorsque les collaborateurs(trices) et les entreprises utilisent l’IA et l’enrichissent de données sensibles. Quels sont les dangers des systèmes d’IA?
Premièrement, l’utilisation de systèmes d’IA peut comporter un risque relevant de la gestion de la conformité. La protection des données représente un défi de taille, car les systèmes d’IA traitent souvent d’importants volumes de données qui peuvent contenir des informations personnelles. Les données saisies dans les systèmes d’IA sont en outre régulièrement utilisées pour le développement du système. Elles sont ensuite intégrées au système d’IA et fusionnent avec lui. Dans quelle mesure les clients concernés peuvent-ils encore exercer leur droit à la suppression des données?
D’autres domaines juridiques à prendre en compte sont notamment la protection du secret, les droits en matière de propriété intellectuelle (par exemple le droit d’auteur), la protection de la sphère privée, les droits relatifs à la discrimination, le droit de la protection des consommateurs ou encore le droit de la concurrence. L’utilisation de systèmes d’IA peut, selon le cas, enfreindre différentes normes juridiques et entraîner des plaintes et des amendes. Par ailleurs, une entreprise peut également commettre une violation classique du contrat vis-à-vis de clients professionnels si, par exemple, le transfert des données clients dans un cloud est contractuellement interdit, mais que des systèmes d’IA basés sur le cloud sont tout de même utilisés.
«La protection des données représente un défi de taille, car les systèmes d’IA traitent souvent d’importants volumes de données qui peuvent contenir des informations personnelles.»
Anne-Sophie Morand
Deuxièmement, l’utilisation de systèmes d’IA peut présenter des risques pour la sécurité. Ainsi, les attaques peuvent par exemple viser à générer des résultats involontaires, à divulguer des informations confidentielles ou à entraver la disponibilité du système d’IA.
Troisièmement, les risques éthiques doivent être pris en compte. Les systèmes d’IA prennent souvent des décisions qui concernent les clients. Par exemple, ils décident de la publicité à afficher ou si un crédit doit être accordé. Il est bien connu que les systèmes d’IA peuvent en quelque sorte dériver, ce qui entraîne des changements au niveau de la qualité et de la fiabilité des résultats. Cela augmente le risque de perte de confiance de la clientèle, du personnel et des partenaires, et donc, en fin de compte, d’entacher la réputation de l’entreprise.
Certains secteurs sont-ils plus exposés aux risques mentionnés?
Les entreprises qui utilisent un grand nombre de systèmes d’IA, qui traitent de grandes quantités de données et qui utilisent des données particulièrement sensibles, sont automatiquement exposées à un risque accru en termes de conformité, de réputation et de sécurité. Je pense par exemple au domaine de la santé. Toutefois, l’exposition élevée aux risques ne dépend pas nécessairement du secteur, car chaque entreprise peut utiliser des systèmes d’IA à haut risque. Il s’agit de systèmes d’IA qui présentent un risque particulièrement élevé pour la santé et la sécurité ou les droits fondamentaux des personnes. Ainsi, une entreprise pourrait utiliser un système d’IA au niveau des RH pour publier des offres d’emploi ciblées ou pour analyser et filtrer les candidatures. En vertu du règlement de l’UE sur l’IA, un tel système entrerait dans la catégorie de risque «Système d’IA à haut risque», pour laquelle des exigences strictes s’appliqueraient en vertu du règlement de l’UE sur l’IA.
La gouvernance des données peut contribuer à minimiser ces risques. Une gouvernance des données efficace est-elle suffisante pour l’utilisation de systèmes d’IA?
Une bonne gouvernance des données dans une entreprise couvre déjà une grande partie des risques, mais généralement pas tous. Le paysage des risques liés aux systèmes d’IA est varié et nécessite, en plus d’une gouvernance des données, des mesures complètes et spécifiques à l’IA dans le cadre d’une gouvernance propre à celle-ci.
Comme vous l’avez déjà mentionné, outre la protection des données, les systèmes d’IA soulèvent des questions en termes d’éthique, de droit d’auteur, de droits fondamentaux et de cybersécurité. À quoi ressemble la gouvernance de l’IA chez Swisscom? Quelles entreprises ont besoin d’une gouvernance globale en matière d’IA?
La gouvernance de lIA désigne un système complet de règles, de mesures organisationnelles, de processus, de contrôles et d’outils qui aident une entreprise et garantissent un développement et une utilisation dignes de confiance, responsables, éthiques et efficaces des systèmes d’IA ainsi que des modèles d’IA généraux (modèles GPAI). Chez Swisscom, nous travaillons à la création d’un cadre de gouvernance de l’IA depuis la fin de l’année sous la direction de l’unité organisationnelle Data Governance au sein d’une équipe composée de différentes unités organisationnelles. Depuis début avril, nous disposons d’une solution intérimaire en matière de gouvernance de l’IA, et jusqu’en septembre, nous travaillons à l’implémentation d’une solution globale basée sur les risques.
Selon moi, toute entreprise qui utilise ou développe des systèmes d’IA ou qui développe des modèles GPAI devrait, à l’avenir, mettre en place une gouvernance en matière d’IA à l’échelle de l’entreprise, non seulement pour prévenir les risques de réputation, mais aussi pour se conformer aux réglementations existantes et futures. La technologie de l’IA évolue rapidement. Il est donc d’autant plus important de suivre les évolutions et de garantir une utilisation et un développement responsables.
Depuis 2021, l’UE travaille à l’élaboration d’un règlement sur l’IA (AI Act) qui entrera en vigueur prochainement. Dans quelle mesure le projet de règlement sur l’IA est-il pertinent pour les entreprises suisses?
Le futur règlement sur l’IA s’appliquera à toutes les entreprises domiciliées dans l’UE. Il aura également des répercussions sur les entreprises en Suisse qui proposent ou exploitent des systèmes d’IA, même si elles ne sont pas établies dans l’UE. Le règlement sur l’IA s’appliquera tout d’abord aux entreprises suisses qui, en tant que fournisseurs, mettent des systèmes d’IA sur le marché de l’UE. Deuxièmement, le règlement sur l’IA s’appliquera également aux fournisseurs et aux exploitants de systèmes d’IA lorsque le résultat produit par le système est utilisé au sein de l’UE. Dans l’ensemble, cela signifie donc que même les entreprises établies en Suisse peuvent être soumises à la réglementation, même si elles n’ont ni siège ni succursale sur le territoire de l’UE.
À mon avis, le règlement sur l’IA devrait également produire ce que l’on appelle l’effet de Bruxelles en Suisse. En effet, de nombreux fournisseurs d’IA suisses ne développeront pas leurs produits spécifiquement pour la Suisse, mais pour les deux marchés. Pour ce faire, ils doivent bien sûr se conformer à des règles européennes strictes. Nous pouvons donc partir du principe que le règlement sur l’IA aura un impact majeur en Suisse.
Quel rôle joue le règlement de l’UE sur l’IA pour une entreprise qui souhaite mettre en place une bonne gouvernance en matière d’IA?
Les entreprises actives à l’international devront probablement s’aligner sur les normes internationales et les exigences réglementaires de l’UE, en particulier lorsqu’elles exportent des systèmes d’IA. L’effet de Bruxelles que nous venons d’évoquer renforce cette influence. L’ordonnance sur l’IA est donc un facteur important dans la conception d’une gouvernance globale et tournée vers l’international en matière d’IA.
Une gouvernance de l’IA ne freine-t-elle pas l’innovation et l’efficacité de la GenAI?
Non, au contraire. Une gouvernance efficace de l’IA avec des règles du jeu claires et compréhensibles aide les entreprises à développer et à déployer des systèmes d’IA fiables. La gouvernance de l’IA ne consiste donc pas seulement à respecter les prescriptions légales spécifiques à l’IA, mais aussi à respecter les normes éthiques et les attentes de la société. Cela préserve non seulement la stabilité à long terme de l’entreprise, mais renforce également sa réputation. Une gouvernance de l’IA efficace permet en outre de démontrer activement l’engagement d’une entreprise en faveur d’une utilisation et d’un développement responsables de l’IA, contribuant ainsi à renforcer la confiance des clients et des partenaires. L’avantage concurrentiel qui en résulte est étroitement lié à l’instauration de la confiance. Grâce à une gouvernance de l’IA bien pensée, les entreprises peuvent mieux se positionner sur le marché et profiter à long terme des avantages de l’utilisation et du développement de systèmes d’IA et de modèles GPAI. En créant des règles du jeu claires, ils peuvent sortir du lot dans un environnement de marché dynamique et bénéficier d’un avantage concurrentiel durable.
Découvrir l’univers de Copilot pour M365 avec Swisscom
Nous proposons aux entreprises un soutien complet autour de Copilot pour Microsoft 365. Nous vous accompagnons lors de l’introduction et élaborons avec vous des scénarios d’utilisation.
À propos d’Anne-Sophie Morand
Docteure en droit, avocate, LL.M., Data Governance Counsel, Swisscom
Anne-Sophie Morand est avocate et travaille comme Data Governance Counsel chez Swisscom. Elle est considérée comme une experte en droit des sujets numériques tels que la protection des données et l’intelligence artificielle. Elle enseigne notamment sur ces thèmes à l’Université et à la haute école spécialisée de Lucerne, rédige des publications spécialisées et anime des événements. Anne-Sophie Morand a étudié le droit dans les universités de Lucerne et de Neuchâtel. Après ses études, elle a fait des recherches à l’Université de Lucerne et a rédigé une thèse sur la protection de la sphère privée et du soutien d’événements sportifs qui a reçu le Prix du droit du sport suisse. Elle a ensuite obtenu un LL.M. en droit informatique à l’Université d’Édimbourg. Anne-Sophie Morand a notamment travaillé pour le Parlement suisse, le préposé fédéral à la protection des données et à la transparence (PFPDT) et le cabinet d’avocats Walder Wyss.