Depuis son apparition en novembre 2022, l’adoption de l’intelligence artificielle générative ne cesse de croître au sein des entreprises. Si cette technologie apporte son lot d’avantages comme la création d’articles, d’images ou encore de codes source, l’utilisation faite des données soulève néanmoins des interrogations en matière de confidentialité et de souveraineté des données.
Avec l’intégration de l’assistant virtuel basé sur ChatGPT dans l’environnement des produits Microsoft sous la dénomination de Microsoft 365 Copilot, l’utilisation de l’IA devrait se démocratiser. Face à cette tendance, comment s’assurer que les données utilisées par cet outil ne soient pas utilisées pour fournir un résultat sur une même thématique à un autre utilisateur ? La confidentialité des données utilisateurs est-elle respectée ? Comment s’assurer que Microsoft 365 Copilot n’accède pas à des données sensibles ? Et plus largement, comment allier l’utilisation de l’intelligence artificielle et la protection des données ? Explications.
Comment Microsoft 365 Copilot peut-elle augmenter la productivité de vos collaborateurs ?
En décembre 2023, ChatGPT ne comptabilise pas moins de 180,5 millions d’utilisateurs à travers le monde. Si ce chiffre semble important, il reste cependant faible du fait de l’obligation d’utiliser un Xᵉ nouvel outil et de créer un compte pour pouvoir l’utiliser. Un effort que bon nombre d’entreprises n’ont pas souhaité faire.
L’arrivée de Microsoft 365 Copilot simplifie cette friction en s’intégrant nativement dans les outils Microsoft que les entreprises utilisent déjà tout au long de la journée tels qu’Excel, Outlook, Word, Powerpoint ou encore Teams.
Effectuer une analyse complexe des données d’un fichier Excel à partir d’un simple prompt. Créer un document Powerpoint à partir d’une liste d’idées. Résumer une série d’échanges dans Outlook. Trier automatiquement les emails. Rédiger des comptes rendus de réunions Teams. Les cas de figure sont nombreux, autant de gains de productivité qu’il était jusqu’alors impossible à faire.
Un investissement que bon nombre d’entreprises vont effectuer en 2024 puisque selon l’étude du cabinet IDC Business Value of AI Survey, 1€ investi dans l’intelligence artificielle rapporterait un retour sur investissement moyen de 3,5€ au bout de 14 mois.
Notons cependant que s’il est rentable de l’utiliser, son implémentation demande 6 mois en moyenne pour qu’elle soit opérationnelle et que les équipes l’adoptent et l’utilisent correctement. Un travail de sensibilisation et d’adoption de l’outil est donc nécessaire.
Quels sont les risques en matière de confidentialité à utiliser l’intelligence artificielle générative dans votre entreprise ?
L’accès aux données par des tiers.
Pour fonctionner, les modèles d’intelligences artificielles génératives se basent sur un large ensemble de données appelé Data Lake sur lequel ils s’entraînent, améliorant petit à petit la qualité de leurs réponses. Pour s’assurer de la véracité des résultats, une part de relecture humaine est nécessaire, on parle alors ici de modération. Cette collaboration homme-machine permet d’interpréter et de corriger au besoin les réponses de l’IA. Pour ce faire, un accès aux données des utilisateurs est donc octroyé à un tiers, ce qui accentue les potentielles fuites d’informations confidentielles. Notons cependant que si OpenAI avait fait appel en novembre 2022 à la société Sama pour modérer ses résultats, rien n’indique aujourd’hui que Microsoft 365 Copilot suive le même procédé.
Une utilisation à risque de l’intelligence artificielle générative par vos collaborateurs.
D’après un rapport d’Exploding Topics, 77% des entreprises utilisent ou songent à utiliser l’intelligence artificielle, mais, le manque de connaissances dans son utilisation par les employés est un facteur de risque à prendre en compte. Et pour cause ; par manque de compréhension ou de sensibilisation, ces derniers, utilisent dans les prompts des données à caractères confidentielles telles que des informations juridiques, financières en encore personnelles, sans en informer leur hiérarchie, violant par la même occasion le RGPD. Ce phénomène à un nom, le Shadow GPT.
L’extraterritorialité américaine inquiète les entreprises françaises quant à l’utilisation de l’intelligence artificielle générative.
En mars 2018, l’instauration du Cloud Act aux États-Unis a également soulevé de réels problèmes en matière de souveraineté des données. Pour rappel, cette législation donne le droit à la justice américaine de pouvoir accéder, sur simple demande (dans le cadre d’une action en justice), aux données stockées sur les serveurs de toute entreprise américaine, et ce même en dehors du territoire américain.
Du fait que la majorité des produits d’intelligence artificielle générative soient développés par des sociétés américaines, ces dernières sont soumises à ce mécanisme législatif. Cette extraterritorialité juridique crée donc un problème de souveraineté et de confidentialité.
Quelles solutions existent pour faire face à ces enjeux ?
Afin d’encadrer cette adoption de l’intelligence artificielle et d’endiguer les risques pour les entreprises, la CNIL (Commission nationale de l’informatique et des libertés) a créé en janvier 2023 le service de l’intelligence artificielle (SIA) qui a pour but de préparer l’entrée en application du règlement européen sur l’IA qui est en cours de discussion au niveau européen, tout en consolidant au passage son expertise sur le sujet.
En attendant la mise en place de règles législatives, les entreprises peuvent opter pour des solutions techniques.
Tout d’abord, sachez que Microsoft 365 Copilot se base sur les mêmes fonctionnalités de contrôle d’accès, de gestion des autorisations ou encore d’étiquettes de confidentialité que vos collaborateurs utilisent déjà dans les autres outils de la suite Microsoft 365. De ce fait, si un utilisateur n’a pas les droits d’accéder à un fichier, il ne pourra pas non plus y accéder au travers de l’assistant virtuel de Microsoft. Ce sont ces modèles de permissions qui évitent les fuites de données entre utilisateurs, groupes et instances clients (appelés “locataires” par Microsoft).
À la question de la réutilisation des données d’apprentissage pour d’autres de ses clients, la firme américaine est claire sur son site internet “Microsoft 365 isole logiquement le contenu des clients au sein de chaque locataire à travers l’autorisation Microsoft Entra et le contrôle d’accès basé sur les rôles.” En clair, Microsoft affirme que vos données utilisées dans le cadre de l’exploitation de Copilot ne se retrouveront pas chez votre concurrent.
Pour les solutions d’intelligences artificielles génératives autres que Microsoft 365 Copilot, les entreprises doivent renforcer leur politique de sécurité en se concentrant sur quatre aspects clés :
-
- Recourir à une passerelle web pour filtrer l’accès aux outils d’intelligence artificielle en établissant une liste noire.
- Faire appel à un outil de data loss prevention intégrant les outils d’intelligence artificielle générative.
- Mettre à jour la politique de sécurité et la charte informatique de l’entreprise en prenant en compte les enjeux liés à l’utilisation de ces technologies.
- Mener des campagnes de sensibilisation à l’utilisation de l’IA en entreprise.
Dans l’attente de solutions spécifiques pour parer à cette problématique, de nombreuses entreprises de renom telles qu’Amazon, Samsung, ou encore JP Morgan ont adopté une approche radicale en interdisant totalement l’utilisation de ChatGPT, craignant un risque d’espionnage industriel. Cette position semble se généraliser au sein des grandes entreprises qui optent aujourd’hui pour le développement de leur propre modèle d’intelligence artificielle générative. En France des sociétés comme le Crédit Mutuel Arkéa ou Véolia ont suivi cette même voie.
L’essentiel
Même si l’adoption de l’intelligence artificielle générative présente des avantages remarquables en termes d’innovation et d’efficacité opérationnelle, elle fait cependant apparaître de nouvelles inquiétudes quant à la confidentialité et à la souveraineté des données.
Les entreprises doivent dès à présent intégrer les risques potentiels de fuite d’informations sensibles et adopter une approche mesurée dans l’utilisation de l’IA afin de garantir la sécurité et la confidentialité des données.