Outils IA: Directives et formation des collaborateurs en entreprise
Marco S. Meier
Marco S. Meier, avocat, MLaw, CIPP/E, informaticien CFC, est partenaire chez Binder Rechtsanwälte KLG. Il conseille et représente des clients nationaux et internationaux dans tous les domaines du droit de l'informatique, de la technologie, de la protection des données, de la cybersécurité et de la propriété intellectuelle, ainsi que dans les questions de conformité d’ordre technologique, comme par exemple l'utilisation ou le développement de l'intelligence artificielle (IA). De plus, il est expert en questions de logiciels et de licences ainsi qu'en projets technologiques et d'externalisation dans divers secteurs. Le règlement des litiges dans le domaine des TIC ainsi que le conseil en matière d'activités de marketing digital et de transactions IT/IP M&A constituent d'autres points forts de son activité.
Aides de travail appropriées
Décision de principe : interdire ou non les outils IA (intelligence artificielle)
Avant de penser à la manière dont l'intelligence artificielle peut être utilisée de manière profitable dans l'entreprise, la direction de l'entreprise doit prendre la décision de principe de savoir si l'IA doit être utilisée au quotidien dans l'entreprise. Quelle que soit la décision prise, elle sera suivie d'une mise en œuvre. Si la direction de l'entreprise décide d'interdire l'utilisation d'outils d'IA (par ex. ChatGPT, Copilot, DeepL, etc.), les collaborateurs doivent en être informés et les règles correspondantes doivent être rendues transparentes. Une interdiction totale de l'utilisation d'outils IA peut notamment conduire les collaborateurs à utiliser les outils d'IA via un compte privé (par ex. dans une version gratuite). Dans ce cas, l'entreprise n'a aucun contrôle sur les versions utilisées et sur leur conformité aux exigences légales. Il est évident qu'une interdiction augmente en général considérablement les risques pour les entreprises au lieu de les réduire à un niveau acceptable.
Si la direction de l'entreprise décide d'intégrer activement des outils IA dans certains domaines, l'entreprise devrait réfléchir de manière approfondie à la manière dont l'utilisation souhaitée d'outils d'IA évalués et approuvés doit se faire. L'utilisation d'outils d'IA par les collaborateurs devrait justement être réglée dans les grandes lignes (par exemple dans une directive).
Le déploiement actif d'outils IA au sein de l'entreprise offre de nombreux avantages, tels que
- le contrôle de l'utilisation des outils d'IA validés.
- l'utilisation d'outils d'IA selon des directives claires.
- l'utilisation exclusive d'outils d'intelligence artificielle testés et utilisables conformément à la législation.
Dans les cas susmentionnés, il est donc utile de donner des instructions correspondantes aux collaborateurs. En raison de son importance croissante, le sujet devrait en outre faire l'objet d'une formation.
Une directive comme mesure de réduction des risques
Outre le choix minutieux des outils IA mis à la disposition des collaborateurs et les possibilités de restrictions techniques qui y sont liées, une directive générale est d'une importance capitale pour une utilisation conforme au droit des outils d'IA dans le quotidien de l'entreprise. D'un point de vue juridique, l'entreprise peut invoquer le droit de donner des instructions en vertu du droit du travail et introduire des règles de base correspondantes pour l'utilisation d'outils d'IA. Le contenu de la directive devrait préciser comment un outil d'IA peut être utilisé conformément à la loi, quelle responsabilité repose sur les épaules des collaborateurs pour garantir une utilisation conforme à la loi et quels principes éthiques doivent être respectés en relation avec l'utilisation de l'IA dans le travail quotidien.
Pour que la directive soit efficace et apporte une valeur ajoutée (par exemple en raison de son caractère éducatif), son contenu doit être mûrement réfléchi. La pratique a montré qu'en plus de certains principes, des instructions concrètes concernant l'introduction de certaines catégories de données dans un outil d'IA concret permettent d'atteindre l'objectif.
Contenu d'une directive de l'IA
En ce qui concerne le contenu, la directive sur l'IA de l'entreprise devrait d'abord aborder la question de principe de savoir si et quels outils d'IA peuvent être utilisés et qui est responsable en interne de l'outil en question. En outre, la directive devrait fixer certains principes généraux. Il s'agit par exemple de
- que les collaborateurs comprennent l'outil d'IA (c'est-à-dire son fonctionnement) dans les grandes lignes.
- que l'utilisation d'un outil IA doit être transparente vis-à-vis des personnes concernées.
- que les principes de la protection des données (par exemple, conformément à la directive sur la protection des données) doivent être respectés lors de l'utilisation d'outils IA.
- que les personnes concernées puissent effectivement exercer leurs droits (par exemple le droit d'accès prévu par la législation sur la protection des données).
- qu'un contrôle du résultat fourni par l'outil d'IA doit toujours être effectué par un collaborateur.
- que l'utilisation équitable, légale et non discriminatoire de l'outil d'IA soit garantie.
- que l'utilisation abusive doit être évitée (voire dénoncée).
Il va de soi qu'il peut y avoir d'autres principes individuels dans l'entreprise, qui seront intégrés dans la directive.
Recommandations de produits
Dans la pratique, il s'est avéré particulièrement utile de préciser, pour chaque outil d'intelligence artificielle approuvé, si l'introduction de certaines catégories de données, telles que les données personnelles, les données sensibles, les informations protégées par le secret, les informations confidentielles ou les secrets d'affaires, peut se faire sans hésitation dans l'outil en question. Cette directive aide les collaborateurs à garantir une utilisation conforme à la loi et aide à son tour l'entreprise à minimiser les risques.
Outre les instructions données aux collaborateurs, il est important que l'entreprise comprenne les risques d'un outil d'intelligence artificielle évalué, ce qui peut se faire par exemple par le biais d'une évaluation structurée des risques. C'est la seule façon pour les responsables de comprendre et de gérer les risques. D'un point de vue technique, il est également essentiel de mettre en place des mesures de sécurité informatique robustes et actuelles afin de garantir la confidentialité, la disponibilité et l'intégrité des données traitées par l'outil d'IA.
Formation des collaborateurs à l'utilisation des outils IA
Mais la plupart du temps, une directive seule ne suffit pas pour encourager les collaborateurs à utiliser les outils d'IA de manière responsable. C'est justement pour des thèmes importants comme l'utilisation d'outils d'IA dans l'entreprise qu'une formation correspondante est indispensable. Pour que la formation ne manque pas son effet, elle ne devrait pas être dispensée une seule fois, mais à intervalles périodiques et de manière documentée pour tous les collaborateurs qui utilisent des outils d'IA.
Directive et formation - Mesures centrales lors de l'utilisation d'outils d'IA
En résumé, on peut donc affirmer que l'introduction d'une directive ainsi que la réalisation de formations sont des mesures indispensables lors de l'utilisation d'outils d'IA dans l'entreprise. En interaction avec une évaluation approfondie de l'outil d'IA, la conclusion de contrats correspondants avec le fournisseur et les mesures techniques, la directive et la formation sont des éléments indispensables pour réduire les risques (tant juridiques que de réputation) à un niveau raisonnable.
L'essentiel en bref
- Une interdiction générale de l'utilisation d'outils IA conduit généralement à une augmentation des risques et ne permet pas d'atteindre l'objectif visé.
- L'évaluation des risques avant l'utilisation de l'outil d'IA est une condition indispensable à son utilisation.
- En complément des mesures techniques, des mesures organisationnelles doivent être prises. Une directive et une formation en font partie.
- En ce qui concerne le contenu, la directive englobe idéalement les principes d'utilisation des outils d'IA ainsi que des directives spécifiques pour certains outils d'IA, notamment en ce qui concerne la saisie de données plus ou moins sensibles.
- Les directives et la formation, ainsi que d'autres mesures, permettent de réduire les risques juridiques et les risques pour la réputation lors de l'utilisation d'outils d'IA vin.
