Protection des données personnelles en entreprise : « L’IA ne doit pas avoir le premier et le dernier mot »

En matière de protection des données, quelles sont les principales inquiétudes des employeurs liées à l’essor de l’IA générative ?

Yann-Maël Larher : L’intelligence artificielle générative se sert des réponses qu’on lui donne pour s’améliorer en continu. Plus on lui donne de données, meilleurs sont ses résultats. Certaines voix se sont élevées pour demander d’arrêter d’alimenter les IA, mais les créateurs de ces technologies n’ont pas intérêt à limiter les bases de données, car c’est cette matière qui les rendra plus performantes demain.

Il est donc légitime que les employeurs soient attentifs vis-à-vis des informations communiquées sur leur entreprise par leurs collaborateurs. Les algorithmes sont majoritairement développés par des entreprises étrangères et leur modèle de fonctionnement est relativement opaque. On ne sait pas précisément comment sont utilisées et conservées ces données.

Que prévoit la future réglementation européenne sur l’utilisation de l’IA ?

Y-M. L : Ce texte définit différents niveaux de risques. Les systèmes d’IA dont le risque sera qualifié d’inacceptable seront interdits au sein de l’Union européenne : il s’agit notamment des outils qui reposent sur la manipulation comportementale des individus, ceux qui seraient basés sur un score social, comme cela existe en Chine. Mais cela vise aussi les technologies d’identification biométrique en temps réel, notamment la reconnaissance faciale. Il existera également des niveaux de risque élevé et limité. En fonction du degré de risque, les opérateurs des IA auront plus ou moins de contraintes en matière de transparence sur le fonctionnement des modèles de langage.

Actuellement, comment le droit français encadre-t-il l’utilisation de l’IA ?

Y-M. L : La Constitution et la charte sociale européenne comprennent des principes fondamentaux, le droit à la liberté, au respect de la vie privée, à la liberté d’expression et de penser, que l’on peut très bien appliquer à l’utilisation de l’IA.

Quant au RGPD (règlement général sur la protection des données), il est porté par la loi informatique et liberté, qui pose trois grands principes :

• la transparence : ce qui suppose qu’un utilisateur doit savoir quels sont les principes de fonctionnement de l’IA et connaisse ses objectifs intrinsèques ;
• la minimisation des données : l’algorithme ne doit traiter que les données dont il a besoin. Que l’IA collecte la question qu’on lui pose est logique, mais elle n’a pas à poser de questions complémentaires, sur la personne qui l’utilise, par exemple.
• la conservation limitée des données dans le temps : les données ne peuvent être conservées que pour le laps de temps nécessaire au regard des finalités pour lesquelles elles sont traitées. Ce dernier principe entre en contradiction avec le développement des IA, qui s’appuient sur de grandes bases de données et dont on ne peut prédire quels seront les usages de demain. Ce n’est pas dans l’intérêt des entreprises qui développent l’IA de supprimer au fur et à mesure les données collectées.

Dès lors, quelles précautions les RH doivent-elles prendre lorsqu’elles ont recours à l’IA ?

Y-M. L : Il ne faut jamais lui communiquer d’informations qui permettent d’identifier des personnes, que ce soit au sein de l’entreprise ou à l’extérieur, et il faut être d’autant plus vigilant concernant les données de santé.

Et lorsqu’on utilise l’IA dans le cadre d’un recrutement, que faut-il donner comme information au candidat pour respecter le RGPD ?

Y-M. L : En matière de recrutement, l’IA est beaucoup utilisée pour sélectionner les CV, ce qui peut faire passer le recruteur à côté de très bons candidats, qui n’ont pas compris que leur CV sera sélectionné par un algorithme. Ce dernier établit des corrélations entre l’offre d’emploi et les candidatures et écarte certains formats ou certaines informations contenues dans les CV. Or, c’est légalement obligatoire de préciser au candidat que vous utilisez ce mode de sélection, puisqu’il s’agit d’un traitement de données personnelles, et cela permet à tout le monde d’être à armes égales.

La bonne pratique est de le préciser sur chaque offre d’emploi et sur votre site carrière. Ensuite, lorsque vous rejetez une candidature, il est utile de re-préciser au candidat, dans votre mail de réponse,  que ses données vont être conservées pendant un an dans votre vivier, même si ce dernier a déjà coché une petite case.

Certaines entreprises mettent en place des chartes d’utilisation de l’IA. Qu’en pensez-vous et que doit contenir ce document ?

Y-M. L : Les chartes, c’est très bien, mais les entreprises doivent aussi mettre en place des comités éthiques, pour réfléchir aux usages et aux limites de l’IA en entreprise, mais aussi suivre le déploiement opérationnel de ces chartes. Les missions de ce comité seraient, à la fois, de créer la charte, de veiller à son respect et de la faire évoluer pour l’adapter aux nouveaux usages. Le respect des droits fondamentaux, la non-discrimination et la transparence doivent guider ces réflexions.

La charte doit notamment prévoir des actions de formation des salariés, non seulement sur les risques, mais aussi sur les bons usages de l’IA, dans un objectif de compétitivité. Il faut garder à l’esprit que ce n’est pas parce que c’est opaque que c’est dangereux, mais les gens seront moins craintifs si on leur explique le fonctionnement de ces outils.

La charte pourra également aborder les questions de propriété intellectuelle : si l’IA générative fournit à un collaborateur un extrait de quelque chose protégé par le droit, la responsabilité incombe à l’employeur. Le problème, c’est que le collaborateur ne sait pas d’où viennent ces informations. Au-delà de leur justesse, la question du droit d’auteur doit être posée.

En résumé, il faut veiller à toujours mettre des humains en début et en bout de chaîne, car ce sont eux les véritables créateurs de valeur ajoutée pour l’entreprise : l’IA ne doit pas avoir le premier et le dernier mot.