Gouvernance de l’utilisation interne de l’intelligence artificielle : considérations clés

Selon de nombreuses études, plus de 70 % des entreprises ont recours à l’intelligence artificielle (l’« IA ») à des fins internes. Dans certains cas, il peut s’agir du développement d’un outil agentique ou d’un robot conversationnel destiné à la clientèle afin d’améliorer l’efficacité d’un processus de travail particulier. Dans d’autres cas, il peut s’agir d’employés qui utilisent des outils d’IA largement accessibles à des fins plus générales. Nous le constatons de plus en plus dans nos interactions avec nos clients. Parfois, un client nous dit qu’il s’est penché sur une question en effectuant d’abord une recherche sur Internet assistée par l’IA; d’autres fois, le formatage d’un courriel ou d’une correspondance indique que le contenu a été rédigé à l’aide d’un outil d’IA. Il arrive aussi qu’un outil de prise de notes virtuel s’affiche tout simplement parmi les participants d’une réunion en ligne.

Bien que ces outils puissent donner lieu à des gains en efficacité et entrainer des économies, il est essentiel d’en gérer l’utilisation au sein d’une organisation. La nature fondamentale de ces outils fait en sorte que même leur usage occasionnel par des entreprises et leurs employés peut entrainer d’importants risques qui ne sont pas toujours évidents. Dans le présent bulletin, nous cernons plusieurs de ces risques et suggérons des solutions pour les gérer.

Menace aux droits légaux établis

Dans bon nombre de cas, l’utilisation d’outils d’IA a pour effet que l’information visée doit être transmise à un tiers à des fins de traitement, le produit de ce traitement étant renvoyé par la suite à l’utilisateur. Cette transmission de données à l’extérieur de l’organisation constitue une activité qui pourrait aller à l’encontre non seulement des pratiques exemplaires courantes en matière de traitement confidentiel des renseignements, mais aussi des exigences juridiques relatives à la conservation de droits précieux.

Par exemple, pour breveter une technologie, il faut que l’idée sous-jacente n’ait pas été rendue publique antérieurement. La transmission de renseignements confidentiels à un tiers du fait de l’utilisation d’un outil d’IA peut donc compromettre la brevetabilité d’une idée. Pour qu’une entreprise puisse protéger sa capacité d’obtenir un brevet, elle doit exercer un contrôle rigoureux sur ses renseignements qui sont transmis à tout outil d’IA externe, y compris les assistants de recherche, les robots conversationnels, les outils utilisés pour les recherches liées à Internet et les outils de création. Un tel contrôle doit s’appliquer également aux outils de prise de notes alimentés par l’IA, dont l’usage est de plus en plus répandu en raison de leur efficacité pour transcrire et résumer des réunions.

Il en va de même avec la préservation du secret professionnel. Le traitement confidentiel des renseignements échangés entre un particulier ou une entreprise et son conseiller juridique constitue un principe de droit fondamental, mais ce droit n’existe que si les renseignements concernés ne sont pas partagés avec d’autres parties. Même l’utilisation d’un outil de prise de notes propulsé par l’IA peut mettre fin à la protection du secret professionnel. Par conséquent, la possibilité de découvrir, dans le cadre d’un litige, tout renseignement traité au moyen d’un outil d’IA externe suscite des inquiétudes.

Plus généralement, il y a lieu de craindre une perte de confidentialité. Cela implique, pour une entreprise, le risque de perte du traitement confidentiel de ses renseignements exclusifs, ainsi que le risque de rupture de contrat si les renseignements ont été fournis par un tiers conformément à une entente de confidentialité ou de non-divulgation interdisant une telle divulgation. Il est donc crucial pour les entreprises de limiter et de surveiller activement l’utilisation de ces outils par leurs employés afin de veiller à la protection des renseignements confidentiels et visés par le secret professionnel.

Menace aux mesures de sécurité et aux renseignements personnels

Les failles de sécurité qui apparaissent à la suite de l’introduction de technologies non testées dans un écosystème informatique existant soulèvent de plus en plus d’inquiétudes. Par exemple, en l’absence de solides mesures de sécurité, des acteurs malveillants peuvent accéder à des systèmes dans lesquels les fonctions de traitement de l’information d’un nouvel outil d’IA sont liées à Internet. Il est donc essentiel pour les entreprises de veiller à ce que tous les services qu’elles se procurent fassent l’objet d’un examen rigoureux, comme tout autre processus d’approvisionnement important en matière de technologie, afin qu’elles puissent se protéger contre des préjudices imprévus. Nous examinons cette question plus en détail dans notre Bulletin Blakes récent sur la souveraineté en IA.

Il y a lieu de craindre aussi que la transmission de certains renseignements (tels que des renseignements personnels) dans le cadre de l’utilisation d’outils d’IA constitue une violation des lois qui régissent l’utilisation et la divulgation de tels renseignements, comme la Loi sur la protection des renseignements personnels et les documents électroniques du Canada. Les législateurs s’efforcent de gérer les répercussions de ces outils puissants sur les particuliers. On peut s’attendre d’ailleurs à ce que les législateurs élargissent, dans un avenir proche, la portée de la réglementation fédérale et provinciale régissant l’utilisation des renseignements personnels au moyen d’outils d’IA. La conformité à certaines exigences prévues à cette réglementation, lesquelles sont susceptibles d’être fondées sur des obligations de transparence, pourrait entrainer d’importants délais d’exécution; ces délais pourraient à leur tour donner lieu à une interruption des activités de l’entreprise, faute de planification. Il est donc important de bien connaitre les exigences juridiques existantes et de suivre de près la réglementation envisagée.

Transparence et supervision humaine

Alors que le développement des cadres réglementaires relatifs à l’IA se poursuit, les discussions en matière de politiques ont pour élément commun l’importance de la transparence; par exemple, dans un contexte de service à la clientèle, le fait d’indiquer à l’utilisateur qu’il interagit avec un humain ou avec l’IA agentique. En l’absence d’une réglementation exhaustive de l’IA, les règles en matière de commercialisation prévues à la Loi sur la concurrence et aux lois sur la protection des consommateurs interdisent les déclarations fausses ou trompeuses. Les entreprises doivent veiller à s’acquitter de leurs obligations d’information liées à l’utilisation des systèmes d’IA et à informer de façon appropriée les utilisateurs quant à une telle utilisation, notamment au moyen de filigranes ou d’avis de non-responsabilité.

Selon certaines études, des entreprises produisent des rapports « hallucinés » à l’intention de leurs clients, c’est-à-dire des rapports s’appuyant sur des citations et des données qui ne sont pas fondées sur des renseignements véridiques. Ces hallucinations résultent généralement de l’utilisation d’outils d’IA accessibles au public dont les modèles sont intentionnellement pondérés de manière à générer des réponses qui ont la semblance d’une réponse juste (techniquement connue sous le nom de « fabulation » ou, en anglais, confabulation) à la requête de l’utilisateur. De tels résultats inciteraient ainsi l’utilisateur à se servir de nouveau de l’outil, et ce, au détriment de la précision. Pour éviter les risques juridiques découlant de ces hallucinations, comme la rupture de contrat et les problèmes liés à la réputation, les entreprises doivent veiller à ce que l’utilisation d’outils d’IA pour générer des documents à l’intention de clients fasse l’objet d’une supervision humaine appropriée.

Responsabilité du conseil d’administration et gouvernance 

Bien que l’IA présente de nombreuses occasions intéressantes, les risques qui y sont associés doivent être gérés soigneusement. Les administrateurs et les dirigeants doivent ainsi adapter les pratiques de gouvernance traditionnelles afin de surveiller adéquatement l’utilisation de l’IA.

Dans un premier temps, les entreprises devraient adopter une politique de gouvernance de l’IA adéquate qui prévoit un cadre pour la supervision de cette technologie en évolution rapide. Cette politique de gouvernance devrait comprendre une politique relative à l’utilisation de l’IA, laquelle établit clairement les attentes en la matière pour les employés, les consultants et les autres membres du personnel ainsi que les fournisseurs de services.

Conformément à leurs obligations fiduciaires, les administrateurs et les dirigeants doivent s’assurer d’avoir une bonne compréhension de la technologie sous-jacente aux outils d’IA utilisés au sein de leur organisation, ou dont l’utilisation est envisagée, de la manière dont ces outils seront utilisés et des contraintes juridiques qui se rapportent à cette utilisation.

Les entreprises doivent prendre connaissance du cadre réglementaire applicable et veiller à s’y conformer de façon continue. Elles doivent également se tenir au courant des nouveaux développements en matière de réglementation afin d’éviter toute transition difficile.

Les entreprises doivent s’assurer de se conformer à leurs obligations contractuelles en ayant une solide compréhension des restrictions contractuelles applicables à l’utilisation de l’IA ou, indirectement, des limitations applicables à l’utilisation de données de tiers lorsque de telles limitations interdisent l’utilisation d’un outil d’IA. Elles doivent également comprendre l’utilisation de l’IA que font les fournisseurs de services auxquels elles transmettent des données et s’assurer que ces usages sont conformes aux exigences contractuelles et réglementaires.

Les outils d’IA offrent aux utilisateurs la possibilité de réaliser d’importants gains en efficacité. Le présent bulletin ne suggère pas que leur utilisation entrainera nécessairement d’importants problèmes. Nous tenons plutôt à souligner certains des risques liés à l’utilisation de ces nouveaux outils en évolution continue, ainsi que les approches en matière de gouvernance qui peuvent aider à composer avec ces préoccupations.

Pour en savoir davantage, communiquez avec l’un des auteurs ou un autre membre de nos groupes Entreprises émergentes et capital de risque ou Intelligence artificielle.