Directives relatives à l’utilisation de l’IA générative

Présentation
Le déploiement fulgurant des technologies d’IA générative laisse entrevoir de formidables perspectives d’innovation, qui ouvriront de nouvelles opportunités pour un grand nombre d’organisations et de particuliers. Ces outils s’accompagnent également de risques, dont certains sont aujourd’hui bien connus, tandis que d’autres sont en train d’apparaître ou restent encore à découvrir. À ce titre, toute organisation développant de nouvelles capacités et de nouveaux contenus à l’aide de l’IA générative devrait se doter d’une politique d’utilisation appropriée.
Une politique d’utilisation réfléchie et bien conçue peut aider une organisation à promouvoir l’innovation à l’aide des technologies d’IA générative tout en gérant les risques et en permettant de procéder à des changements à mesure que le paysage évolue. Sophos a élaboré une politique d’utilisation de l’IA générative afin que nos employés puissent explorer en toute sécurité des innovations susceptibles de bénéficier à nos clients et partenaires. Depuis, nous avons reçu de nombreuses demandes nous invitant à partager notre politique, et nous avons conclu que si une telle démarche pouvait aider nos clients, nos partenaires et l’industrie en général, nous aurions tout intérêt à l’entreprendre.
Les discussions, exemples et contenus reproductibles de ce document peuvent être utilisés pour développer une approche, formelle ou informelle, de l’utilisation de l’IA générative dans les activités d’une entreprise. Nous espérons que ce cadre stratégique contribuera à orienter l’utilisation de l’IA générative au cours des premières étapes de l’exploration et de la découverte. Comme chaque organisation a ses propres approches en matière de stratégie et d’exécution, il va de soi que l’utilisation de l’IA générative doit être adaptée à l’organisation qui compte la mettre en œuvre.
Ce document n’est pas un modèle et est fourni à titre informatif uniquement. Ce contenu ne constitue pas un avis juridique, et nous vous recommandons de consulter un conseiller juridique ou professionnel avant d’adopter ou de mettre en œuvre toute politique basée sur les directives et les sujets suggérés ci-dessous.
Définitions et considérations
Définition du terme « politique »
Nous utilisons ici le terme « politique » dans son sens le plus général pour désigner les règles ou les lignes directrices qu’une organisation établit pour régir les comportements. Dans ce cas, il s’agit de l’utilisation de l’IA générative au sein de l’organisation. Dans ce contexte, une politique peut être officiellement adoptée dans le cadre d’un processus d’approbation de l’entreprise ou mise en place de manière plus informelle. L’approche d’une organisation vis-à-vis de l’IA générative, tel que nous l’abordons ici, peut être appelée une politique ou autrement. Bien qu’il soit important pour une organisation de réfléchir à la manière dont elle communique ses attentes, nous nous concentrons ici sur l’approche générale de l’IA générative, et non sur la formulation d’une politique ou sur la manière dont celle-ci pourrait être mise en œuvre ou appliquée.
Le champ d’application
Une première considération concerne les personnes concernées par la politique d’utilisation de l’IA générative. Par exemple, une telle politique pourrait s’appliquer à tous les employés et/ou tiers qui interagissent avec l’organisation, tels que les sous-traitants, les fournisseurs et les partenaires technologiques et commerciaux. Elle pourrait aussi concerner une partie ou la totalité de ces entités.
Une autre question à prendre en considération est la portée de la technologie qui sera couverte par la politique. Par exemple, le terme « IA générative » peut désigner une catégorie de technologies entraînées à partir d’ensembles de données dans le but de générer du texte, des images, des vidéos, des sons ou d’autres contenus (sortie) en réponse à des invites (entrée). Exemples : ChatGPT/Bard (texte-texte/image), GitHub CoPilot (texte-code), Midjourney/Stability AI (texte-image), ModelScope (texte-vidéo) et code de langage de programmation. L’IA générative peut également apparaître comme une fonctionnalité dans une autre application.
Considérations relatives à l’IA générative
L’IA générative a le potentiel d’apporter des avantages significatifs en augmentant l’efficacité et la productivité. Cependant, les implémentations actuelles peuvent présenter des risques, notamment des résultats inexacts ou peu fiables (« hallucinations »), des résultats biaisés ou inappropriés, des failles de sécurité, des problèmes liés à la propriété intellectuelle (PI) et à la confidentialité, des incertitudes juridiques et des conditions générales de licence des fournisseurs qui peuvent être inacceptables pour une organisation donnée. De plus, certaines incertitudes juridiques subsistent quant à la possibilité de protéger les résultats générés par l’IA générative au titre de la propriété intellectuelle et quant au régime de propriété des contenus créés par l’IA générative. Par conséquent, avant d’intégrer une implémentation d’IA générative dans les processus ou les applications de votre organisation, il est essentiel d’identifier clairement les contenus créés à l’aide d’outils d’IA générative afin d’éviter de potentielles difficultés liées à la propriété intellectuelle de l’entreprise.
En raison du développement rapide et continu de l’IA générative et de l’évolution des risques associés, les organisations ont tout intérêt à adopter une politique d’utilisation responsable de l’IA générative, comme indiqué ci-dessous.
Mises à jour et révisions
Compte tenu du rythme rapide des innovations dans le domaine de l’IA générative, il convient de revoir régulièrement les politiques mises en place et de les adapter si nécessaire. L’état de l’art évolue si rapidement, tout comme le paysage juridique et réglementaire, que toute négligence peut conduire à une perte de pertinence de la politique.
Adoption, mise en œuvre et utilisation de l’IA générative
De nombreux fournisseurs ont développé des implémentations d’IA générative avec différentes méthodes d’accès (par exemple, interface de chat, API) via différents types de comptes (par exemple, comptes personnels, comptes gratuits, comptes payants) et selon différentes conditions d’utilisation. Une question plus technique pour les organisations consiste à savoir comment permettre aux employés et aux partenaires commerciaux d’accéder aux informations produites par l’IA générative et de les échanger.
Comme pour d’autres applications utilisées à des fins professionnelles, certaines entreprises peuvent limiter l’utilisation de l’IA générative aux comptes de l’entreprise. Si cela présente un intérêt pour l’organisation, celle-ci peut exiger l’utilisation de comptes dont les conditions générales sont acceptables pour elle. À cet égard, il est utile d’envisager le recours aux solutions d’IA générative comme vous le feriez pour un fournisseur SaaS ou tout autre prestataire de services cloud qui exploite en partie vos données collectées.
Mise en œuvre/adoption d’une nouvelle plateforme d’IA générative
Il convient également de tenir compte du processus d’approbation requis pour l’adoption d’une plateforme d’IA générative. Par exemple, l’acquisition d’une nouvelle plateforme d’IA générative destinée à être utilisée par une organisation (que ce soit en tant qu’application autonome ou en tant que fonctionnalité d’un autre système) peut nécessiter le suivi du processus d’approvisionnement standard de l’organisation, auquel s’ajoutent des demandes de renseignements et des conditions spécifiques à l’IA générative.
Les mesures qui pourraient être prises avant la mise en œuvre pourraient inclure :
- Approbation par les parties prenantes fonctionnelles appropriées, le cas échéant, issues de services internes tels que la gestion des produits, l’ingénierie, la confidentialité des données, le service juridique, la sécurité et la gestion des risques. Certaines de ces fonctions pourraient évidemment être regroupées entre un nombre plus restreint d’acteurs.
- Une évaluation technologique des possibilités commerciales couvrant les domaines suivants :
- Source et qualité de l’ensemble des données d’entraînement.
- Si les entrées et les sorties font partie du jeu de données d’entraînement et s’il est possible de refuser que les données d’entrée/sortie soient utilisées pour entraîner le modèle d’IA générative.
- Identification des risques liés à l’utilisation du modèle d’IA générative et définition de mécanismes internes permettant de les atténuer/gérer.
- Capacité à respecter les conditions générales du système d’IA générative.
- Implications commerciales et droits de licence associés.
- Une évaluation commerciale de la mise en œuvre prévue qui tient compte de divers facteurs, tels que :
- Coût de mise en œuvre.
- Retour sur investissement (ROI) attendu.
- Le développement de mécanismes de suivi pour aider à calculer le retour sur investissement réel.
- Utilisation prévue de la mise en œuvre, qui est examinée en détail dans la section suivante.
Utilisation d’une IA générative approuvée
- Chaque nouveau cas d’utilisation de l’IA générative pourrait être soumis à un processus d’approbation. Par exemple, il peut être utile de désigner un approbateur attitré pour chaque partie prenante fonctionnelle afin de concentrer et d’accélérer l’apprentissage.
- Utilisation des fonctionnalités de sécurité. Le cas échéant, chaque utilisateur pourrait être tenu d’activer toutes les fonctionnalités de sécurité disponibles, de suivre la mise à disposition de nouvelles fonctionnalités de sécurité et de les activer dès qu’elles sont disponibles.
Interdit par défaut, autorisé à titre exceptionnel
Dans certains cas, il peut être utile d’exiger l’examen et l’approbation des usages de l’IA générative qui ne relèvent pas de l’ensemble standard des usages approuvés. Par exemple, l’utilisation de l’IA générative pourrait être interdite sauf autorisation exceptionnelle. Si cette approche est retenue, il pourrait être important de mettre régulièrement à jour la liste des cas d’utilisation approuvés en raison de la rapidité des innovations.
Par exemple, les types d’utilisation suivants pourraient être interdits, sauf autorisation expresse :
- Utilisation nécessitant tout ou partie des catégories d’entrées suivantes :
- Toute information confidentielle ou sensible sur le plan commercial.
- Toute donnée à caractère personnel ou toute information permettant d’identifier l’organisation.
- Toute propriété intellectuelle de l’organisation.
- Code informatique propriétaire.
- Toute information relative aux clients, fournisseurs, partenaires ou autres informations protégées de l’organisation, y compris les informations personnelles identifiables (PII).
- Toute information concernant les employés.
- Identifiants d’accès au système (pour les systèmes de l’organisation ou ceux de tout tiers).
- Utilisation lorsque la sortie est susceptible d’affecter les droits ou obligations d’une personne.
- Intégration du résultat dans la technologie ou toute autre propriété intellectuelle de l’organisation.
- Toute utilisation qui enfreint les politiques de l’organisation, les obligations contractuelles ou les conditions générales d’utilisation de la technologie.
- Toute utilisation illégale ou témoignant d’une visée contraire à l’éthique (par exemple, désinformation, manipulation, discrimination, diffamation, atteinte à la vie privée).
Code écrit par une IA générative
La mise en œuvre de l’IA générative pour réécrire le code existant dans des langages à mémoire sécurisée modernes est une entreprise complexe et ambitieuse. Un tel usage implique plusieurs considérations techniques, éthiques et pratiques. Voici quelques exemples de questions à prendre en considération :
- Qualité et fiabilité : préserver la fonctionnalité du code d’origine tout en respectant les pratiques modernes en matière mémoire sécurisée.
- Analyse de la sécurité et des vulnérabilités : examen approfondi du code généré afin de valider les pratiques sécuritaires.
- Performances : évaluation et optimisation du code généré afin qu’il soit équivalent ou dépasse les performances du code d’origine.
- Droits de propriété intellectuelle : établir les droits de propriété intellectuelle pour le code généré par l’IA. Il s’agit-là d’une question complexe, que les cadres juridiques actuels ne permettent pas toujours de traiter de manière exhaustive.
- Confidentialité et conformité des données : prendre les mesures appropriées en matière de protection des données, conformément à la réglementation en vigueur, afin d’éviter toute divulgation involontaire de données sensibles ou personnelles utilisées dans le cadre de la formation des modèles d’IA générative.
Utilisation de ChatGPT et d’outils similaires pour la productivité personnelle
Dans certaines organisations, l’utilisation de plateformes d’IA générative peut être autorisée dans le but d’accroître la productivité administrative personnelle, comme illustré ci-dessous. Toute utilisation de ce type doit être soumise aux conditions suivantes :
- Éviter toute utilisation interdite par l’organisation.
- Respect des conditions générales et des politiques applicables.
- Lorsque cela est possible, refuser de contribuer aux jeux de données d’entrainement avant leur utilisation.
- Vérification de l’exactitude, de la fiabilité et de la pertinence des résultats avant leur mise en œuvre.
Exemples d’utilisation professionnelle autorisée de ChatGPT (et d’outils d’IA générative gratuits similaires) via des comptes personnels :
- Vérification des faits ou recherche similaire à l’utilisation de Google, Wikipédia et d’autres ressources Internet.
- Rédaction des premières ébauches des emails courants et des documents internes.
- Modification de documents
- Génération des idées de base (par exemple, créer une liste d’activités sociales pour une sortie d’entreprise, décrire le fonctionnement d’un bloc de code particulier, détailler comment écrire une fonction particulière)
Une organisation peut décider de mettre en place un programme de formation et/ou de certification pour les personnes qui utiliseront l’IA générative. Les formations actuelles en matière de sécurité pourraient être mises à jour afin d’inclure les risques liés à l’utilisation de l’IA générative.
Il convient également d’examiner les conséquences du non-respect du cadre par un utilisateur. Ces directives seront probablement adoptées de la même manière que les autres politiques formelles ou informelles de l’entreprise.
Dernières réflexions
L’IA générative ne manquera pas d’avoir un impact sur de nombreux aspects d’une organisation, avec des risques connus et inconnus qui devront être habilement atténués. Nous commençons tout juste à comprendre la portée de cette technologie, et les organisations avant-gardistes ne manqueront pas de tirer pleinement parti des possibilités d’innovation offertes par l’IA générative. Réduire les risques tout en encourageant l’exploration, la curiosité et l’expérimentation sera la marque distinctive des gagnants de cette nouvelle ère.
Adopter une approche intelligente pour établir des politiques d’utilisation adaptées aux cas d’utilisation probables d’une organisation est une première étape judicieuse, à l’heure où le monde est en train de se familiariser avec l’IA générative et ses nombreuses possibilités. Au-delà de cela, les politiques et les lignes directrices pourraient être intégrées dans une stratégie plus large de gouvernance et de gestion des risques, qui pourrait inclure la création d’un comité directeur, la réalisation d’audits et d’évaluations des risques réguliers, et la mise en place de processus continus d’amélioration des politiques afin d’équilibrer l’utilisation responsable de l’IA générative et les efforts appropriés d’atténuation des risques.