Les outils d’intelligence artificielle au travail : risques et meilleures pratiques pour les employeurs
Les services d’IA grand public tels que ChatGPT, Bing et Bard sont des agents conversationnels qui répondent aux questions au moyen de modèles de traitement linguistique fondés sur l’IA. Ces outils ont vu leur popularité exploser au cours des derniers mois, compte tenu de leur gratuité, de leur facilité d’accès, de leur convivialité et, dans bien des cas, des résultats impressionnants qu’on obtient en leur posant des questions.
La popularité de ces outils, conjuguée au fait qu’ils n’en sont qu’aux premiers stades de développement et commencent déjà à faire l’objet de mesures réglementaires, soulève un certain nombre de préoccupations quant à leur utilisation au travail. Ces préoccupations vont de la confidentialité et du respect de la vie privée à l’exactitude de l’information obtenue, au harcèlement et aux droits de propriété intellectuelle.
Nous présentons ci-dessous les principaux éléments dont les employeurs devraient tenir compte pour élaborer des lignes directrices sur l’utilisation de ces services au travail.
Ce que vous devez savoir
- Les employeurs doivent déterminer s’ils autorisent l’utilisation des services d’IA grand public à des fins professionnelles et en informer les employés.
- S’ils en autorisent l’utilisation, ils doivent élaborer des lignes directrices traitant des points suivants :
- la sensibilisation aux risques pour les employés et l’organisation;
- l’intégration aux politiques internes existantes;
- les contrôles de conformité organisationnelle et technologique;
- l’incidence sur les plaintes et les processus d’enquête en milieu de travail.
- Les entreprises doivent être prêtes à mettre à jour régulièrement ces lignes directrices à mesure que la réglementation évolue.
Comprendre les risques liés aux outils d’IA grand public
Alors que même les parlementaires utilisent désormais ChatGPT pour rédiger leurs questions dans le cadre des débats de la Chambre des communes (et commentent le degré d’exactitude de ces questions)1, les organismes de réglementation au Canada et à l’étranger s’inquiètent de ce qu’il advient des données collectées par ces outils. Ainsi, en mars 2023, ChatGPT a été interdit en Italie en attendant les résultats d’une enquête sur sa conformité à la loi sur la protection des renseignements personnels de l’UE et en avril, le Commissariat à la protection de la vie privée du Canada a ouvert une enquête sur cet outil à la suite d’une plainte d’un consommateur. La Federal Trade Commission examine actuellement une plainte similaire aux États-Unis.
L’utilisation de ces outils par les employés dans le cadre de leur travail peut avoir des répercussions sur l’entreprise et soulève notamment les enjeux suivants :
- Atteintes à la confidentialité et à la vie privée. Supposons que des employés des RH font appel à un outil d’IA grand public pour rédiger une lettre de cessation d’emploi. Même si leur demande ne mentionne pas le nom de l’employé ou de l’entreprise, les paramètres fournis à l’outil peuvent divulguer des données commerciales ou personnelles confidentielles. Une fois que l’information est entrée dans l’outil, l’entreprise a peu de visibilité ou de contrôle sur la façon dont celle-ci peut être utilisée, distribuée ou retracée à ses activités.
- Informations inexactes. Des analystes pourraient demander à un outil d’IA grand public d’analyser les tendances économiques d’un secteur pour étayer un rapport de recherche interne. Ils obtiendraient alors une analyse détaillée et plausible, accompagnée de citations. Toutefois, les sources citées pourraient s’avérer inexactes, incomplètes, obsolètes ou inventées de toutes pièces. La réponse de l’outil pourrait également provenir de sources non divulguées, de sorte qu’on ne pourrait pas vérifier son exactitude ou sa neutralité. Le rapport de recherche sera ainsi fondé sur des informations potentiellement erronées, ce qui compromettra le processus décisionnel de l’entreprise et la qualité du travail produit par ses employés. De plus, si des informations inexactes sont utilisées pour prendre des décisions au sujet des employés, l’entreprise pourrait faire l’objet de réclamations fondées sur les droits de la personne ou la protection des consommateurs.
- Propriété des produits de travail et propriété intellectuelle. Comme dans l’exemple ci-dessus, les employés qui se fient sur de l’information obtenue au moyen des outils d’IA grand public n’en connaissent pas la provenance. Cette information pourrait faire l’objet de revendications de droits de propriété, par exemple si elle a été tirée de sites Web à accès restreint. De telles situations ont d’ailleurs déjà donné lieu à des litiges commerciaux en Amérique du Nord (voir notre article ici). Les employés qui intègrent sans le savoir des données exclusives dans leur travail peuvent exposer l’entreprise à des réclamations en propriété intellectuelle et à des litiges commerciaux. Par exemple, si des développeurs produisent un code informatique à l’aide d’un outil d’IA, l’entreprise pourrait être empêchée d’en revendiquer la propriété dans ses propres produits.
- Harcèlement au travail. Bien que les exemples ci-dessus mettent l’accent sur les risques découlant d’une utilisation bien intentionnée, il existe également un risque d’utilisation malveillante des outils d’IA grand public au travail. En effet, ces services peuvent être utilisés pour générer du contenu trompeur ou diffamatoire au sujet d’une personne, comme des biographies ou des déclarations publiques fausses ou inexactes ou des images sexuelles. Les employeurs doivent être conscients de l’utilisation potentielle de ces outils en élaborant leurs programmes de sensibilisation au harcèlement et en menant des enquêtes.
- Enquêtes en milieu de travail. Comme dans l’exemple ci-dessus, les employeurs doivent savoir que les outils d’IA grand public pourraient être utilisés pour générer de l’information inexacte qui pourrait entraîner une plainte d’employé ou être présentée en preuve par les défendeurs dans le cadre d’une enquête interne. Les employeurs doivent s’assurer que leurs équipes d’enquêtes ont les compétences et les ressources nécessaires pour repérer l’information potentiellement inexacte générée par l’IA et la traiter dans le cadre de leurs processus d’enquête.
- Risque de non-conformité juridique. Au-delà de ces risques particuliers, les organisations doivent surveiller la nouvelle législation ou réglementation qui pourrait interdire complètement l’utilisation d’outils d’IA grand public. Par exemple, une entreprise ayant des activités en Europe doit déterminer si l’interdiction récente de ChatGPT en Italie signifie qu’elle doit interdire toute utilisation du service par ses employés en Italie, dans l’UE ou partout dans le monde afin d’éviter des accusations ou une couverture médiatique négative concernant l’autorisation d’un comportement qui enfreint une ordonnance réglementaire.
Lignes directrices à l’intention des employés
Les entreprises au Canada et aux États-Unis doivent envisager d’élaborer des politiques, des lignes directrices ou des outils de formation sur l’utilisation appropriée des outils d’IA grand public au travail afin d’atténuer les risques susmentionnés. Certaines organisations pourraient décider d’interdire ces outils, à moins qu’ils ne soient intégrés à un logiciel autorisé. D’autres pourraient mettre l’accent sur la sensibilisation aux risques et la détermination des utilisations potentiellement appropriées. Dans leurs lignes directrices, les employeurs devraient traiter des points suivants :
Sensibilisation et formation
Les lignes directrices doivent expliquer pourquoi l’utilisation de l’IA grand public peut créer des risques pour l’entreprise et son personnel. En effet, les employés peuvent ne pas réaliser que l’information qu’ils entrent dans ces outils est stockée à tout jamais dans le modèle et peut être utilisée à diverses fins non définies sur lesquelles l’entreprise n’a aucun contrôle, et qu’elle peut être facilement retracée et associée à l’entreprise, à ses clients ou à ses employés. Les employés pourraient ne pas faire le lien entre l’utilisation de ces services et leurs obligations de confidentialité.
De même, les employés peuvent ne pas réaliser que les réponses apparemment justes fournies par ces outils ne sont pas toujours exactes. Il est important d’expliquer la différence entre les résultats obtenus à l’aide ces outils et les produits de recherche approuvés par l’entreprise afin que les employés comprennent les risques.
Intégration aux politiques internes existantes
Les employeurs doivent réitérer l’application de leurs politiques existantes en matière de confidentialité, d’utilisation acceptable des TI et de comportement au travail, expliquer la manière dont ils peuvent restreindre ou interdire l’utilisation des outils d’IA grand public et préciser les mesures disciplinaires qui peuvent s’appliquer en cas d’utilisation non autorisée de ces services.
Contrôles de conformité organisationnelle et technologique
Les employeurs doivent déterminer si la sensibilisation et les politiques sont suffisantes pour assurer la conformité des employés ou s’ils devraient y ajouter des mesures de surveillance, de vérification, d’attestation de conformité et de restriction des accès.
Incidence sur le comportement et les enquêtes en milieu de travail
Comme nous l’avons mentionné précédemment, les employeurs doivent être conscients de la façon dont les progrès de l’IA grand public peuvent changer la nature des plaintes liées au comportement en milieu de travail. Ils doivent déterminer s’il y a lieu de mettre à jour leurs programmes de formation sur le comportement en milieu de travail et leurs processus d’enquête pour tenir compte de ces développements technologiques.
Mises à jour régulières
Compte tenu de l’évolution rapide de la technologie et de la réglementation de l’IA grand public, les employeurs doivent indiquer clairement dans leurs communications internes que leurs lignes directrices sont sujettes à changement. Ils doivent également désigner une personne chargée de mettre à jour les politiques et les contrôles en fonction de l’évolution des risques, par exemple en cas d’interdiction d’un outil d’IA par un organisme de réglementation.
Bien qu’il puisse y avoir des avantages à ce que certains employés utilisent les services d’IA grand public, les entreprises doivent clairement expliquer la portée d’une telle utilisation et être prêtes à ajuster leurs pratiques en fonction des développements technologiques et réglementaires.
Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.
Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.
Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.
© Torys, 2024.
Tous droits réservés.
Catégories
Protection des renseignements personnels
Stratégie et gouvernance des données
Retraite et emploi
Litige en matière de droit de l’emploi et de retraite
Technologies
Contrats technologiques
Propriété intellectuelle
Litige en propriété intellectuelle
Cybersécurité
Services-conseils et réglementation
Opérations et transactions
Consommation et vente au détail
Montréal