IA Souveraine et Open Source : bénéficier des LLMs en toute sécurité

L’avènement des IA génératives a entraîné certains changements dans le comportement des salariés. En effet, ces outils sont particulièrement utiles pour améliorer l’efficacité opérationnelle. Toutefois, l’utilisation de l’intelligence artificielle au travail pose question, notamment pour la sécurité des données. Ces risques ne doivent pas être ignorés par les dirigeants des entreprises. Quels sont les dangers réels de leur utilisation ? Doit-on interdire ChatGPT aux salariés ? Dans cet article, nous vous expliquons quels sont les risques liés à l’utilisation de l’IA en entreprise, les solutions pour y remédier, et comment l’IA souveraine peut répondre à ces enjeux de sécurité tout en préservant les bénéfices de l’intelligence artificielle.

Les risques liés à l’utilisation de ChatGPT au travail

L’IA : un outil utile qui se nourrit de données

Les outils d’intelligence artificielle permettent de traiter plus rapidement certaines tâches. Ainsi, utiliser ChatGPT au travail est un avantage pour de nombreux salariés. Outre sa capacité à rédiger des contenus, l’application est efficace pour extraire et synthétiser les données. Elle s’impose donc comme une solution idéale pour gagner du temps sur les tâches fastidieuses et chronophages.

Cependant, pour accomplir ces tâches, l’IA se nourrit de données. Or, lors de leur traitement, ces dernières sont collectées par la base de données d’OpenAI. Le principal risque est la réutilisation des données par ChatGPT pour entraîner l’IA. Dans ce cas, il y a un risque important de fuites de données confidentielles via l’outil et la divulgation de ces dernières à d’autres utilisateurs. Ce problème ne se limite pas à ChatGPT, mais à tous les modèles d’IA qui ont un fonctionnement identique comme Google Gemini.

Un risque réel de fuite de données via ChatGPT

Face à ce risque, de nombreuses grandes entreprises ont décidé d’interdire l’utilisation de l’IA à leurs salariés. C’est le cas d’Apple, d’Amazon ou encore de Samsung. Samsung a pris cette décision après que des incidents se soient réellement produits. Plusieurs salariés ont été mis en cause :

• Suite à un problème lors de l’exécution d’un programme, un salarié avait téléchargé le code source de ce dernier sur ChatGPT pour trouver une solution ;
• Un autre employé avait optimisé le code d’un autre projet, toujours en introduisant le code source dans l’application ;
• Un troisième employé avait fourni à l’IA le compte-rendu d’une réunion afin de réaliser une présentation.

Certes, les données fournies à l’IA ne restent que pendant un temps limité sur la base de données d’Open AI. Cependant, durant les 30 jours où ces données sont conservées, il existe de nombreuses opportunités qu’elles soient communiquées à un ou plusieurs utilisateurs.

Cela implique que les outils d’intelligence artificielle sont susceptibles de divulguer des contenus protégés par la propriété intellectuelle, mais également des données clients. Une erreur qui peut entraîner différents litiges et être contraire au RGPD.

L’utilisation de l’IA ChatGPT non conforme aux RGPD

En France, le traitement des données doit être conforme au RGPD.

Pour être en conformité avec le règlement général pour la protection des données, le traitement des données doit :

• être consenti par toute personne concernée ;
• être transparent, c’est-à-dire que toute personne concernée connaisse l’usage et la finalité pour lesquels ses données sont collectées et ses droits les concernant ;
• avoir une finalité et ne pas être utilisé dans un autre but ;
• être minimisé afin d’être pertinent : en d’autres termes, seules les données utiles doivent être collectées pour répondre à leur finalité ;
• être temporaire : le temps de conservation doit être connu et les données supprimées une fois son terme échu ;
• être sécurisé afin que la confidentialité de ces données ne puisse pas être compromise.

Or, ChatGPT est en infraction par rapport à ce règlement européen. D’une part, il peut utiliser des informations sans le consentement de l’utilisateur. D’autre part, les utilisateurs ne sont pas informés de l’utilisation de leurs propres données pour l’entraînement de l’application.

En cas de diffusion des données personnelles de ses clients, c’est le gérant de l’entreprise qui est tenu responsable. Les sanctions peuvent aller de simples rappels à l’ordre à des sanctions pénales et des amendes administratives pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires d’une entreprise. Il s’agit d’une raison légitime d’interdire l’utilisation de ChatGPT à ses salariés.

De plus, les RGPD encadrent précisément l’envoi de données à l’étranger en dehors de l’Union européenne. Tout responsable du traitement des données doit prendre des garanties suffisantes pour leur protection. Ainsi, l’utilisation de n’importe quel outil d’intelligence artificielle américain peut aller à l’encontre de ces règles lorsque les données sont placées sur leur interface. D’autant plus que celles-ci peuvent tomber sous le coup du Cloud Act.

Les risques liés au Cloud Act

Le Cloud Act est né à la suite d’un contentieux entre Microsoft et le gouvernement américain. La firme stockait une partie de ses données en dehors des État-Unis, ce qui empêchait l’administration américaine d’y accéder. Suite à cette bataille juridique, la loi fédérale du Clarifying Lawful Overseas Use of Data Act est née. Son objectif est de pouvoir saisir des données hébergées dans le Cloud par toute entreprise américaine, quel que soit le pays où celles-ci sont hébergées.

Elle donne le droit à l’administration américaine de procéder à leur consultation sans en avertir l’entreprise, sans autorisation et sans faire de demande d’entraide internationale.

Il est évident que le Cloud Act ne respecte pas les RGPD, notamment le consentement des individus et les conditions de transfert des données à l’étranger.

Utiliser des services Cloud basés aux États-Unis constitue un risque important pour les entreprises. L’utilisation de services d’IA américains est tout aussi risquée. Si vos données confidentielles se retrouvent sur la base de données d’OpenAI ou d’une autre IA, elles peuvent donc être accessibles au gouvernement américain. Dans ce cas, la confidentialité des données n’est pas assurée.

Quelles solutions pour empêcher les fuites de données liées à l’utilisation des IA ?

Interdire ChatGPT aux salariés

La solution la plus radicale pour empêcher toute fuite via une IA est d’interdire ChatGPT aux salariés. Nous avons vu que de grands groupes l’avaient fait, mais ce ne sont pas les seuls. Ainsi, selon une enquête menée par OnePoll pour Black Berry, 82 % des entreprises françaises et 75 % des entreprises mondiales envisagent l’interdiction des IA génératives au travail.

Dans les faits, c’est déjà le cas pour certains types d’entreprises. Dans les banques, les personnels commerciaux ne peuvent pas les utiliser afin d’éviter la divulgation des données sensibles.

D’autres entreprises se tournent vers une autre approche. Elles encadrent l’utilisation de l’IA en sensibilisant le personnel et en le formalisant par une charte informatique. Ce document définit les règles d’utilisation informatiques et numériques dans l’entreprise. Une clause dédiée à l’IA est particulièrement appropriée. Elle doit rappeler :

• L’importance de l’éthique dans l’utilisation de l’IA en insistant sur la transparence et l’équité ;
• Les bonnes pratiques pour le respect des droits de la propriété intellectuelle ;
• La protection des données à caractère personnel en regard avec le RGPD ;
• Une utilisation responsable des données fournies par l’IA qui impose une vérification des données et de poser un regard critique sur ces dernières.

Utiliser des IA on-premise

Les IA on-premise sont une alternative intéressante aux IA de type ChatGPT. En effet, avec ce modèle d’IA, vos données sont hébergées au sein de l’entreprise. Cet usage sur site améliore considérablement la sécurité et la confidentialité des données. Celles-ci ne peuvent pas se retrouver sur une base de données extérieure où elles peuvent être vues par d’autres utilisateurs. Il est possible d’installer et d’utiliser des IA on premise robustes et performantes grâce à leur disponibilité en open source comme Ollama.

Bien sûr, le modèle on-premise demande des efforts en termes d’investissement matériel et humain. La confidentialité des données ne sera respectée que si la maintenance est effectuée correctement et les infrastructures parfaitement sécurisées.

Se tourner vers le Cloud souverain

Pour garantir l’intégrité et la confidentialité des données, le Cloud souverain s’avère une solution idéale. Un service Cloud basé en France ne dépend que des lois françaises et européennes. En aucun cas, les données hébergées ne peuvent tomber sur le coup du Cloud Act. Il s’agit d’ailleurs de la solution utilisée par les collectivités territoriales, les établissements du secteur public, de recherche et de santé, qui collectent de nombreuses données sensibles.

La solution Scaleway offre un Cloud fiable et 100 % européen utilisé par différents acteurs du secteur public. Scaleway est certifié ISO/IEC 27001:2022, une norme qui garantit la sécurité de l’information, la cybersécurité et la protection de la vie privée et également certifié HDS (certification des hébergeurs de données pour la santé).

De plus, Scaleway permet de créer des applications d’intelligence artificielle performantes. Vous pouvez développer des modèles d’IA adaptées à vos besoins et à votre secteur d’activité. Créez, entraînez, optimisez et déployez vos modèles dans un environnement sécurisé avec vos données hébergées en Europe, en conformité avec le RGPD.

Scaleway garantit la souveraineté des données, leur transparence et leur traçabilité. Elles ne peuvent pas se retrouver sur une base de données tierce comme lors de l’utilisation d’IA américaine telles que ChatGPT.

Privilégier un usage souverain des données : la meilleure alternative

Pour résumer, toute entreprise a le choix entre interdire ChatGPT à ses salariés ou choisir un modèle d’IA différent. L’usage d’IA américaines, bien que pratique pour les employés s’avère peu sécurisé. Les données utilisées stockées sur la base de données d’OpenAI peuvent se retrouver sous les yeux d’un autre utilisateur ou saisies par l’administration américaine. C’est pourquoi opter pour une IA on-premise ou développer une IA sous Scaleway sont les meilleures solutions pour conserver la souveraineté de ses données.

Toutefois, les IA ne sont pas les seuls outils utilisés par les entreprises qui présentent de tels risques. Ainsi, une application comme WhatsApp qui met en avant le chiffrement des messages de bout en bout, n’est pas aussi sécurisée qu’elle n’y paraît.

D’une part, l’application n’est pas exempte de vulnérabilités et plusieurs ont déjà été corrigées par le passé. D’autre part, WhatsApp est la propriété de Meta. Or, la société multiplie les amendes pour violation de données personnelles. Cette dernière a, en 2021, modifié les politiques de confidentialité de WhatsApp afin de recueillir un plus grand nombre de données utilisateurs. D’autre part, en tant qu’entreprise américaine collectant des données, elle peut tomber sous le coup du Cloud Act.

Il est donc utile de choisir avec soin les applications et outils utilisés en entreprise et de privilégier les solutions européennes et sécurisées.

Sources :

• Village de la Justice – Analyse de la confidentialité des données sur Chat GPT selon la réglementation européenne par Ariel Illouz
• Entreprendre.Service-Pubic.fr – Obligations en matière de protection des données personnelles (RGPD)
• ITSOCIAL – L’IA générative en passe d’être blacklistée par les entreprises par Philippe Richard
• Mathias Avocats – L’intégration de l’intelligence artificielle dans votre charte informatique : un impératif juridique et opérationnel