Sensibilisation IA : comment former ses équipes aux risques de l’ Intelligence Artificielle ?
Depuis l’arrivée tonitruante de ChatGPT, accessible au grand public, l’Intelligence Artificielle est sur toutes les lèvres. Pour certains, cet ensemble de technologies présente un grand danger, pour d’autres l’incontournable outil dont ils ne peuvent plus se passer.
L’intelligence artificielle est en effet une technologie à la puissance formidable. Mais celle-ci doit faire l'objet d'un cadre et de précautions pour être utilisée en toute sécurité. D’autant que ces technologies sont en constante évolution.
A l'avenir, les IA vont prendre de plus en plus de place et devenir des alliées particulièrement précieuses. A vous de saisir les opportunités !
Cependant, pour que ces technologies deviennent un réel atout, il s’avère essentiel de former ses collaborateurs aux problématiques liées à l'IA. Plus particulièrement, à la mise en danger des données sensibles et confidentielles ainsi qu’au respect des droits fondamentaux des personnes.
L'IA Act stipule même dans l'article IV que: "Les fournisseurs et les utilisateurs de systèmes d'IA prennent des mesures pour assurer, dans la mesure du possible, un niveau suffisant de connaissances en matière d'IA à leur personnel et aux autres personnes chargées du fonctionnement et de l'utilisation des systèmes d'IA en leur nom, en tenant compte de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation, du contexte dans lequel les systèmes d'IA doivent être utilisés et des personnes ou groupes de personnes sur lesquels les systèmes d'IA doivent être utilisés."
La formation et la sensibilisation des équipes sont donc obligatoire pour se mettre en conformité.
Dans ce guide, nous verrons :
- la définition de l’intelligence artificielle ;
- les potentiels risques auxquels sont exposés les utilisateurs de l’IA ;
- les différents niveaux de risques définis par l’IA Act ;
- les bonnes pratiques pour sensibiliser vos équipes à l’utilisation de l’intelligence artificielle.
1- Qu’est-ce que l’ IA (intelligence artificielle) ?
Le Parlement européen a donné une définition de l’intelligence artificielle. L’IA représente l'ensemble des outils utilisés par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ». De ce fait, peuvent être qualifiés d’intelligence artificielle tous les systèmes qui mettent en œuvre des mécanismes proches de ceux du raisonnement humain.
On parle alors d’ IA générative. L'intelligence artificielle générative est une sous-section de l'intelligence artificielle. Ces systèmes ont la capacité de créer des œuvres inédites, de manière pleinement autonome.
Les systèmes d'intelligence artificielle reposent sur l'exploitation de données personnelles pour entraîner le modèle (ou l'algorithme) à se développer et à imiter une tâche humaine.
L’IA générative a permis au plus grand nombre d’accéder à cette technologie quand elle était auparavant réservée à des spécialistes. L’outil ChatGPT en est l’exemple le plus flagrant puisque cette IA conversationnelle est désormais utilisable par le grand public. Tout le monde peut mener une conversation avec l’IA d’Open AI en créant très simplement un compte.
Plus précisément, l’IA générative recoupe les algorithmes de l’intelligence artificielle et le machine learning. Le Machine Learning permet aux algorithmes d'apprendre à partir de l'expérience et d'adapter leur comportement en fonction des nouvelles données. Concrètement, l’IA et le machine learning utilisent des contenus existants pour leur apprentissage, de manière à en générer de nouveaux. Le fonctionnement de cette technologie repose sur les modèles stockés dans une base de données qui lui permettent de créer un modèle similaire.
Or, l'émergence de l'intelligence artificielle au quotidien, notamment en entreprise, génère un bouleversement majeur.
Ces technologies viennent notamment se heurter aux règles en matière de protection des données personnelles, et plus particulièrement aux grands principes du RGPD (règlement général sur la protection des données).
Voyons en quoi l’ IA présente des risques pour les personnes et les entreprises.
2- Quels sont les risques de l’intelligence artificielle pour les données personnelles ?
Comme toute technologie, les outils développés avec l’intelligence artificielle sont sujets à des défaillances. Ensuite, face à leur développement, nous n’avons pas encore le recul nécessaire pour mesurer les conséquences qu’ils pourraient avoir sur les personnes et la société dans son ensemble.
Les différents types de risques liés à l’IA
Si les systèmes d’IA présentent de nombreux avantages, il est important d’en connaître les risques afin de s’en prémunir. Et notamment les risques sur les données car comme nous l’avons vu, la source principale d'alimentation et de développement de l'IA sont les données, dont des données à caractère personnel.
Le risque de biais
Les outils d’IA ne son pas exempts du risque d’erreur lié à une défaillance ou à une discrimination intégrée dans l’outil. Le risque de biais est réel, induisant un vrai risque sur la vie des personnes concernées en cas de décision individuelle automatisée et de profilage.
Or, l’article 22 du RGPD précise que : “La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire”.
De ce fait, parmi les droits des personnes concernées, s’impose celui de s’opposer à certains traitements automatisés, lorsque ceux-ci n’intègrent pas une intervention humaine dans le processus de décision.
🔎 Par exemple, il est possible d’utiliser un système d’IA pour rendre une décision concernant un candidat à l‘embauche, à condition qu’un être humain soit intervenu dans ce processus de recrutement.
Les erreurs liées aux données
Les erreurs peuvent être engendrées par les conditions d’utilisation du système d’IA, et notamment une mauvaise qualité des données. C’est de la qualité des données fournies au système pour l'entraîner que dépend sa performance.
Prenons l’exemple de ChatGPT. L’outil est entraîné avec des volumes faramineux d’informations. Parmi elles, il y a de vraies informations mais aussi des données inexactes voire complètement fausses. Pire certaines, relèvent de la “fake news”, c’est-à-dire sciemment inventées. Le robot conversationnel ne peut absolument pas faire la différence.
Or, un traitement de données inexactes constitue une violation au principe d’exactitude des données posé par l’article 5 du RGPD.
Un traitement de données personnelles sans base légale
La collecte et le traitement des données personnelles n’est autorisé que s’ils reposent sur l’une des 6 bases légales édictées par l’article 6 du RGPD : consentement, contrat, intérêt légitime, etc.
Reprenons l’exemple de ChatGPT. L’outil collecte des données personnelles pour son entraînement. Or, il ne se fonde sur aucune base légale pour justifier ce traitement de données personnelles. La société Open AI estime poursuivre des intérêts légitimes avec son outil de chatbot. Cependant, pour que cet argument soit justifié, l'intérêt légitime doit contrebalancer l’atteinte à la vie privée des personnes. Ce n’est pas le cas car cette IA générative utilise des quantités gigantesques de données dont certaines sont des données sensibles. Le risque pour les personnes concernées est trop important au regard de l'intérêt légitime avancé par Open AI.
Pour être licite, l’utilisation de ces données pourrait faire l’objet d’un consentement.
Cependant, d’une part, le consentement des utilisateurs de ChatGPT au traitement de leurs données n’est jamais demandé.
D’autre part, il est impossible d’identifier les données personnelles pour les retirer des modèles. Et sans doute encore plus compliqué d’identifier leurs propriétaires pour leur demander leur consentement à l’utilisation de ces données pour l'entraînement de l’IA. Les sociétés d’IA achètent des quantités massives de données pour entraîner leurs modèles et ils ne connaissent généralement pas leur origine.
Un manque d’information des personnes concernées
Les articles 12, 13 et 14 du RGPD imposent aux organismes de délivrer une information concise, transparente, compréhensible et accessible aux personnes dont les données sont collectées.
Continuons avec notre exemple de ChatGPT. Dans son communiqué du 31 mars 2023, l’autorité de contrôle italienne a relevé un défaut d'information des utilisateurs concernant le traitement réservé à leurs données personnelles.
Les conversations qu’ont les utilisateurs avec ChatGPT sont enregistrées pour nourrir l’algorithme et entraîner le modèle de langage. Or, on ne trouve aucune mention de ce fait lorsque l’on utilise le chatbot. Cependant, il est désormais possible de désactiver l'enregistrement.
Vous ne trouverez pas non plus de politique de confidentialité sur le site web et il n'est n’indiqué clairement les finalités d’utilisation des données personnelles des utilisateurs.
L’IA Act : encadrer le développement de l’IA en fonction du risque
La législation européenne s’est emparée du sujet de l’intelligence artificielle.
L’IA Act est une nouvelle loi visant à encadrer le développement de l’IA. Ces mesures s’appliquent aux entreprises qui développent des systèmes d’intelligence artificielle ou intègrent l’IA dans leurs produits ou services.
La Communauté Européenne mettra en œuvre un “label CE” pour certaines applications utilisant l'intelligence artificielle, sans lequel la commercialisation sera impossible.
La nécessité de mise en conformité dépend du niveau de risque engendré par l’IA :
- IA à risque inacceptable : ces systèmes contreviennent aux valeurs de l'UE et portent atteinte aux droits fondamentaux. Il s’agit notamment des systèmes de scoring social à usage général.
- IA à haut risque : IA qui posent des problèmes éthiques comme la manipulation du contenu ou les identifications biométriques.
- IA à risque faible : système d’IA interagissant avec les personnes physiques et n’étant ni à risque inacceptable, ni à haut risque. Il s’agit par exemple des deepfakes à vocation artistique ou encore les chatbots.
- IA à risque minime : tous les autres systèmes d'IA qui n'entrent pas dans les autres catégories. La majeure partie des systèmes d’intelligence artificielle actuellement utilisés dans l’UE relèvent de cette catégorie.
🔎 Si nous reprenons notre exemple de ChatGPT, à quel niveau de risque est-il classé ? D'après l’IA Act, ce robot conversationnel est considéré comme un système d’IA à haut risque car il pose des défis éthiques.
Faut-il se priver des outils d’IA pour autant ? Il serait dommage de ne pas profiter des nombreux avantages de ces systèmes performants, mais encore faut-il les utiliser en toute sécurité !
Souvenez-vous : “Sans maîtrise, la puissance n’est rien”, selon le célèbre slogan de Pirelli.
En raison de ces risques sur la vie privée des personnes, il est essentiel d’encadrer l’utilisation des systèmes reposant sur l’intelligence artificielle. Cela commence par la formation des utilisateurs, notamment en entreprise.
3- Sensibilisation IA : comment former les utilisateurs aux risques de l’intelligence artificielle ?
L’Intelligence Artificielle (IA) générative s’impose comme un outil indispensable afin d’automatiser certaines tâches, de réduire les coûts de production et d’améliorer la productivité.
Toutefois, comme nous venons de le voir, l’utilisation de l’intelligence artificielle n’est pas dénuée de risques. Pour les limiter, il devient indispensable de dispenser des formations aux collaborateurs afin de les sensibiliser à l' intelligence artificielle.
Voici 5 bonnes pratiques pour une campagne de sensibilisation réussie :
1- Identifier les collaborateurs qui utilisent et/ou pourraient utiliser l’IA
Il s’agit d’identifier les salariés qui utilisent déjà l’intelligence artificielle dans leur travail ainsi que ceux qui ne le font pas mais qui y gagneraient.
Pour initier une campagne de sensibilisation à l'intelligence artificielle efficace, ciblez les équipes dont l’IA peut améliorer le quotidien. Si certaines équipes ne l’utilisent pas encore, une formation pourrait les aider à intégrer l’intelligence artificielle dans leur quotidien.
Il ne sert à rien de lancer une campagne de formation globale dans toute l’entreprise, embarquant des personnes non concernées et qui ne sont pas exposées à des risques liés à l’IA.
De même, les campagnes de sensibilisation doivent être personnalisées. En effet, les différents services n’utilisent pas l’IA de la même manière et les données traitées ne sont pas les mêmes. Ainsi, les risques encourus diffèrent d’une équipe à l’autre. La formation doit donc être adaptée au métier, au secteur d’activité et aux enjeux.
La cartographie des besoins des utilisateurs et futurs utilisateurs est la première étape pour une formation efficace.
2- Rassurer les équipes concernant l’intelligence artificielle
La formation à l'intelligence artificielle doit avoir pour objectifs :
- de comprendre comment tirer profit de l’IA sans mettre en danger les données sensibles et confidentielles ;
- de rassurer quant à l’usage de l’IA dans l’entreprise car si pour certains il s’agit d’un outil formidable, pour d’autres, c’est une source de craintes, notamment celle que l’IA entraîne la suppression de leur poste.
Pour cela, la formation doit :
- présenter clairement les outils et les fonctionnalités de l’IA générative utilisées dans l’entreprise ;
- expliquer comment leur utilisation peut faciliter le quotidien et réduire la charge de travail ;
- indiquer les limites de l’intelligence artificielle ;
- identifier les bonnes pratiques.
3- Inciter les utilisateurs à prendre des précautions dans le partage de données
Les utilisateurs des IA ne sont généralement pas assez informés des risques.
Par exemple, ChatGPT ne mentionne aucune information concernant la collecte et le traitement des données personnelles. Il est alors essentiel d’attirer l’attention des utilisateurs sur les conséquences d’un partage de données personnelles et/ou sensibles ainsi que des données de l’entreprise.
🔎 Exemple, un salarié partage des données à une IA générative dans le but de résoudre un cas pratique. Certaines informations peuvent être confidentielles. Or, ces données sont réutilisées par l’IA pour s'entraîner.
Les précautions élémentaires de sécurité doivent être rappelées aux utilisateurs quant au partage des données.
4- Prendre garde aux deepfakes
Si les utilisateurs doivent avoir conscience que les IA ne sont pas infaillibles et peuvent générer des réponses erronées, il est également nécessaire de les sensibiliser au risque de deepfake.
Le deepfake est une technologie avancée d’intelligence artificielle permettant de générer des contenus vidéos ou audios ultra réalistes. Ils peuvent :
- imiter des voix : voice cloning,
- imiter des expressions faciales de véritables personnes : face swap.
Le deepfake est utilisé par des pirates informatiques pour créer des arnaques et pratiquer le phishing. Les vidéos et les enregistrements sont modifiés pour manipuler les victimes et les inciter à adopter le comportement voulu : divulgation d’informations, réalisation de transactions, etc.
L’évolution rapide de cette technologie grâce aux progrès continus des algorithmes de deep learning, rend difficilement identifiables ces deepfakes. Il est fondamental d’alerter les utilisateurs sur cette technique qui a déjà fait des victimes.
🔎 Exemple : nous avons tous en tête l’histoire de ce salarié de Hong Kong qui a fait perdre 25 millions à son entreprise à cause d’un deepfake. Il pensait assister à une réunion à distance avec ses collègues. En réalité, les participants avaient été créés par IA dans une visio-conférence deep fake imitant à la fois leurs voix et leurs visages. Le salarié a ainsi transféré l’argent, croyant répondre à la demande de son supérieur.
Vous voyez que ces techniques de phishing sophistiquées exposent les entreprises à de très sérieuses menaces en matière de sécurité.
5- S’équiper d’un outil de sensibilisation à l’intelligence artificielle
Pour sensibiliser les collaborateurs aux défis de sécurité posés par l'utilisation de l’IA, il devient essentiel de mettre en place des programmes de formation dédiés.
Objectif : augmenter le niveau de vigilance des collaborateurs face aux risques de l’intelligence artificielle et développer une culture de la cybersécurité.
Vous n’êtes pas seuls ! Il existe des outils de sensibilisation à l'IA pour vous aider dans cette mission. Vos collaborateurs deviendront ainsi la meilleure protection de l'entreprise contre les problématiques liées à l'IA.
Pour une plus grande efficacité, l‘outil de formation doit être adapté à votre secteur et à vos enjeux en la matière !
C’est pourquoi, Leto propose un module de sensibilisation à l’IA avec :
- Des formations ultra-personnalisées et ultra-engageantes pour les collaborateurs ;
- Des mises en situation concrètes et actionnables avec plus de 500 questions ;
- Une évaluation avec un score de maturité pour faire grandir vos équipes sur les sujets liés à l’IA ;
- Un webinar pour comprendre les grands enjeux et opportunités de l'IA Act.
Le module de sensibilisation de LETO est un outil complet. Il se présente sous la forme de campagnes de questions-réponses ultra ludiques.
Cet outil permet aux participants de monter en compétences régulièrement, tout en n’y consacrant que quelques minutes par session.
- Pour en savoir plus, c’est par ici : Le module de sensibilisation à l’IA et à la cybersécurité de Leto