Utilisation de l’IA et Shadow IT : Quelles mesures pour limiter la casse ?

Sujet d’actualité brûlant, l’IA est aujourd’hui sur toutes les lèvres et suscite bien des questionnements, notamment dans le monde professionnel.  

De ChatGPT en passant par les lunettes connectées, l’IA s’invite de plus en plus dans le quotidien des salariés.  

On estime que 70% des salariés utilisent des outils reposant sur de l’IA (ChatGPT, Mistral AI, etc.) sans l’accord de leur Direction.  

Ces chiffres frappants démontrent la nécessité de définir un encadrement clair de l’utilisation de ces outils au sein des organismes.  

Interdiction ou autorisation ?  

Interdire totalement l’utilisation de l’IA en entreprise semble aujourd’hui être un exercice complexe. Bien que certaines activités nécessitent une protection renforcée des données (secret des affaires, secret défense, confidentialité des relations précontractuelles, etc.), l’utilisation de l’IA semble difficilement arrêtable.  

Il en va de la responsabilité de chaque entreprise de définir les lignes directrices en matière d’utilisation. (Autorisation limitée, totale, interdiction, blocage de certains sites, etc.)   

L’interdiction générale est souvent complexe en pratique. Le déploiement d’un outil en interne, comme la solution professionnelle de ChatGPT, peut permettre d’éviter une sortie des données de l’entreprise.  

Comment faire en pratique ?  

Afin de garantir une utilisation conforme aux exigences de sécurité et de confidentialité de votre entreprise, il est recommandé de mettre en place une charte d’utilisation de l’IA.  

L’objectif est de coucher sur le papier (ou la feuille Word) l’essentiel des grands principes et/ou règles à respecter lorsque les salariés utilisent des systèmes d’IA. Ces règles vont généralement faire référence aux grands principes éthiques de l’IA. L’objectif n’est pas d’alourdir les ressources documentaires existantes au sein de l’organisme, mais d’apporter des règles d’utilisation claires dans un document synthétique.  

En l’annexant à un document contraignant (ex : Règlement intérieur), la charte aura une force contraignante et des sanctions pourront s’appliquer aux salariés qui ne la respectent pas, sur le même modèle que la Charte informatique.  

La sensibilisation :  Clé de voûte d’une utilisation responsable et raisonnable ?  

Comme dans de nombreux domaines (sécurité des systèmes d’information, RGPD, loi Sapin II, etc.), la sensibilisation du personnel est un moyen efficace de permettre aux salariés de prendre conscience des enjeux du sujet. Elle permet ici d’éviter les dérives et les utilisations compromettantes des outils d’IA.  

Le format choisi peut être assez libre (e-learning, fiches flash de sensibilisation, présentation en séance, etc.). L’objectif étant de permettre aux salariés de s’approprier les notions (IA, IA générative, LLM, Machine Learning, etc.) et de comprendre les risques (fuite de données, mauvaises interprétations des résultats, RGPD, etc.) 

L’IA ACT : Quelles implications pour mon organisme ?  

L’IA Act ou Règlement IA propose un encadrement des systèmes d’IA par les risques. Il s’agit d’une régulation produit visant à encadrer la mise sur le marché et l’utilisation de systèmes d’IA sur le territoire de l’Union Européenne.  

Pas de différence donc sur la mise en place d’un encadrement de l’utilisation de l’IA au sein de votre organisme. Cependant, une étude des systèmes que vous pouvez développer ou déployer au sein de votre organisme est nécessaire afin de se conformer à la législation. Des mesures de transparence renforcées sont notamment exigées pour certains systèmes tels que les chatbots et pourraient avoir une incidence sur votre activité. Une analyse du niveau de risque des systèmes que vous développez ou déployez est donc nécessaire.  

 

En résumé, proposer un cadre d’utilisation de l’IA en entreprise semble aujourd’hui primordial. Afin de garantir une bonne application du cadre d’utilisation défini, il est nécessaire de sensibiliser ses salariés aux enjeux de cette nouvelle technologie.  

 

N’hésitez pas à contacter SRC Solution pour plus d’informations sur ces questions.