Village de la Justice : À quoi sert une charte IA ? Est-ce une nécessité pour les entreprises aujourd’hui ?
Clara Ripault : « Une Charte IA permet d’encadrer l’usage de l’IA par les salariés et de mettre en place des bonnes pratiques au sein de l’entreprise. L’objectif de la charte IA est vraiment d’assurer que l’utilisation de l’IA par les salariés est réalisée de façon sécurisée pour l’entreprise.
En effet, il existe de nombreux risques résultant de l’utilisation non contrôlée de l’IA au sein d’une entreprise. Ces risques sont d’ordre financier, juridique et sécuritaire.
À titre d’exemple, un salarié qui utilise l’IA pour générer des emails risque de divulguer des données confidentielles et personnelles. En cas de réutilisation de ces données pour entraîner et améliorer l’IA, elles peuvent devenir accessibles à des utilisateurs tiers à l’entreprise. Dans ce cas, il peut être reproché à l’entreprise une violation de données personnelles ou une violation de ses obligations de confidentialité. Cela emporte alors des conséquences financières et réputationnelles importantes. L’entreprise risque également de perdre ses avantages concurrentiels si ses propres données confidentielles sont divulguées.
De même, une entreprise peut voir sa responsabilité engagée si un salarié génère un contenu, comme une affiche pour une campagne publicitaire, sans s’assurer que l’outil d’IA servant à la génération l’autorise à l’utiliser à des fins commerciales.
La charte IA n’est pas un instrument destiné à interdire l’utilisation de l’IA par les salariés. Au contraire, elle est là pour qu’ils utilisent l’IA de la manière la plus bénéfique possible pour l’entreprise. La préparation d’une charte IA est particulièrement intéressante pour accompagner le développement commercial et technologique de l’entreprise, acculturer les salariés à l’utilisation de l’IA et in fine s’assurer que l’entreprise dispose des compétences et ressources pour profiter des opportunités apportées par l’IA.
La charte IA permet aussi d’éviter le Shadow AI, c’est-à-dire l’utilisation de l’IA par des salariés sans qu’ils y soient autorisés, et du coup sans contrôle des risques liés à cet usage. Une étude récente révèle que 20% des salariés utilisent secrètement l’IA à des fins professionnelles [2]. Une des raisons expliquant ce chiffre est justement qu’ils ne disposent pas d’une politique claire de leur entreprise au sujet de l’IA.
Pour gérer ces risques, protégée l’entreprise et tirer parti des avancées de l’IA, il est indispensable de mettre en place une charte IA pragmatique et actionnable par les salariés. »
V.J : La préparation d’une Charte IA a-t-elle aujourd’hui encore du sens ou de l’intérêt (notamment suite à l’adoption du Règlement européen sur l’IA [3]) ?
CR : « La Charte IA est un complément à la mise en place en interne d’une conformité au RIA et de la prise en compte des exigences du RIA. Plus que jamais, le RIA renforce encore l’importance d’avoir une Charte IA.
La mise en œuvre du RIA nécessite de réaliser une cartographie des systèmes et modèles d’IA utilisés et développés par l’entreprise pour identifier les obligations pesant sur l’entreprise. Cette tâche peut se révéler complexe à mener sur la durée car il faut opérer un contrôle constant des outils d’IA. La charte IA peut aider à ce contrôle en prévoyant un mécanisme d’information ou d’autorisation.
Par exemple, les IA utilisées dans le cadre du recrutement peuvent être considérées comme à haut risque au titre du RIA. Il est alors possible d’identifier ce cas d’usage au sein de la Charte IA afin de s’assurer que le salarié souhaitant utiliser cet outil d’IA en informe la personne en charge de la conformité RIA. »
V.J : Pour les organisations qui souhaiteraient se doter d’une telle charte, par quoi faut-il commencer ? Quels sont, a minima, les points qu’il faut aborder ?
CR : « Lorsqu’une organisation veut adopter une charte IA, la première étape est d’identifier dans l’entreprise la personne ou l’équipe en charge de cette charte.
Une fois qu’un porteur de projet est identifié, il faut échanger avec les équipes pour connaître leurs pratiques actuelles et futures. Cela permet notamment de connaître les systèmes et modèles utilisés, les cas d’usage poursuivis par les salariés et les informations et documents traités par l’IA.
Ces informations sont précieuses pour identifier ensuite les risques réels auxquels l’organisation est exposée et donc élaborer les bonnes pratiques qui devront être respectées par les salariés.
D’une organisation à une autre, le contenu de la charte IA diffère en raison des systèmes et modèles d’IA utilisés par les salariés et des risques propres à l’entreprise. Par exemple, en fonction de leurs activités, certaines organisations vont principalement être exposées à des risques tenant à la propriété intellectuelle alors que d’autres seront sensibles aux risques relatifs à la confidentialité des données. »
En tout état de cause, les points indispensables à aborder dans la Charte IA sont les suivants :
• la mise en place d’une procédure d’approbation et de contrôle des systèmes d’IA et des modèles d’IA utilisés ;
• la mise en place de pratiques que les salariés doivent suivre lors du recours à des systèmes d’IA et des modèles d’IA ;
• la liste des systèmes et modèles d’IA dont l’usage est interdit ;
• l’explicitation des risques afin de sensibiliser les salariés aux enjeux.
V.J : Comment faire en sorte que ces chartes ne restent pas lettre morte, et soient “opérationnelles “ c’est-à-dire appliquées et suivies d’effets ?
CR : « Pour qu’une charte soit opérationnelle, il convient de sensibiliser et de former les salariés aux risques de l’utilisation de l’IA. C’est en ayant conscience des risques qu’ils se rendront compte de l’importance de respecter la charte.
En dehors de cette sensibilisation, pour que la charte IA soit appliquée dans l’entreprise, il faut qu’elle soit facilement lisible et compréhensible. Cela peut par exemple passer par une liste d’outils d’IA ou de cas d’usage interdits à laquelle les salariés peuvent facilement se référer.
En dernier lieu, il est également essentiel de mettre en place des pratiques pragmatiques dont les opérationnels peuvent facilement s’emparer. Par exemple, lorsqu’un outil d’IA est considéré comme trop risqué mais qu’il répond à un cas d’usage important pour les salariés, il convient soit de conditionner son usage à certaines règles ou paramétrages permettant de limiter les risques soit de proposer un autre outil d’IA plus sécurisé et aussi efficace. »
V.J : Qui, dans l’entreprise, doit “porter” cette charte ? (DPO ? Risk manager ? Service juridique ?)
CR : « Il n’y a pas de réponse toute faite à cette question car cela dépend beaucoup de la taille de l’entreprise. Toutefois, les équipes juridiques, conformité et sécurité informatique sont bien placées pour s’emparer de ce sujet.
Comme l’utilisation de l’IA par une organisation emporte des risques allant plus loin que la sécurité informatique et la protection des données personnelles, l’idéal est que la charte IA soit portée par le service juridique et que ce dernier s’appuie, lorsque cela est pertinent, sur les autres équipes. »