Comment fixer des règles claires pour un usage sûr de ChatGPT en entreprise ?
Les outils comme ChatGPT ont un réel potentiel. Mais ils ne sont pas sans risque (fuites de données, erreurs qui peuvent être coûteuses, etc.). Voici comment établir des garde-fous qui éviteront les mauvaises surprises tout en optimisant les bénéfices de l’IA générative.
ChatGPT d’OpenAI et les autres grands modèles de langage (LLM pour Large Language Model) sont extrêmement prometteurs pour automatiser ou améliorer des workflows. Ils peuvent résumer des documents complexes, extraire des informations, faire une veille, ou encore traduire des contenus pour différentes audiences.
Mais ChatGPT pose également des risques nouveaux, comme la production d’une prose grammaticalement correcte, mais factuellement inexacte (un phénomène appelé « hallucination »). Un cabinet américain d’avocats a par exemple été condamné pour avoir soumis un argumentaire juridique qui citait des affaires qui n’existaient pas.
Des services d’IA générative collectent également les prompts (les requêtes) des utilisateurs pour entraîner leurs modèles. Quand Samsung s’en est rendu compte, le groupe coréen a interdit d’utiliser ChatGPT en interne. Des employés partageaient en effet des informations confidentielles avec le service d’OpenAI.
Compte tenu de ces risques, les entreprises ont tout intérêt à être proactives pour élaborer rapidement des règles claires et des politiques qui définissent une utilisation responsable de ChatGPT et des LLMs.
Clarifier la terminologie
Bien que basique en apparence, la première étape consiste à définir correctement de quoi l’on parle, afin que l’IA générative soit claire pour tout le monde. On pourra par exemple expliquer qu’un service comme ChatGPT repose sur des LLMs… et donc que quand on parle de l’un, on parle aussi de l’autre.
L’IA générative est également de plus en plus infusée dans des applications. Ces fonctionnalités sont alors marketées avec des noms différents. GPT – pour Generative Pretrained Transformer – s’appelle ainsi Copilot chez Microsoft et chez Github. Dans le milieu juridique, ces outils sont de plus en plus appelés des « co-conseils ».
Peu importe leurs noms, tous ces outils doivent être intégrés dans vos politiques d’entreprise.
Gardez à l’esprit et insistez sur le fait que les mots « co-pilote » ou « co-conseil » ne signifient pas que ces outils sont « autonomes ». Au contraire, le « co » indique qu’ils doivent toujours être supervisés afin d’éviter les erreurs les plus graves.
Fixer des garde-fous clairs
« Les entreprises devront établir des lignes directrices claires qui indiqueront ce que les employés peuvent faire et ce qu’ils ne peuvent pas faire, afin d’établir des garde-fous pour une expérimentation responsable de l’IA », avertit Steve Mills, directeur général et responsable de l’IA éthique au Boston Consulting Group (BCG).
Les employés disposeront ainsi d’une marge de manœuvre claire qui leur permettra d’expérimenter sereinement l’IA générative pour faire des ébauches de textes marketing ou pour identifier des contenus pertinents en vue d’une analyse plus poussée.
Les recherches du BCG semblent montrer que les entreprises qui ont ces lignes directrices innoveraient plus. Leurs employés peuvent avancer rapidement dans l’expérimentation, car ils savent quand et où s’arrêter, et demander des précisions pour des cas d’usages limites ou qui sortent du cadre fixé.
Une fois les lignes directrices établies, communiquez-les largement en interne afin que tous les employés (ou en tout cas le plus grand nombre) comprennent comment utiliser la technologie de manière sûre, conforme et responsable.
Insister sur le cas des informations sensibles
Le BCG conseille également de prendre des précautions particulières – et d’insister – sur le cas des informations sensibles ou confidentielles, qu’il s’agisse des informations de l’entreprise ou de celles de leurs interlocuteurs externes (clients, fournisseurs, etc.).
En fonction de ses besoins propres, une organisation sera amenée soit à créer ses propres modèles, soit à acheter des services auprès d’éditeurs (ou à faire les deux). Dans le deuxième cas, il faut impérativement évaluer la manière dont vos données et vos prompts sont utilisés par l’éditeur en fonction des options qu’il propose.
Une fois ce point établi, là encore, communiquez-le en interne avec les recommandations appropriées.
« La direction doit communiquer explicitement les informations qui peuvent être partagées ou qui au contraire ne doivent pas être fournies au modèle d’IA », résume Steve Mills.
Mettre en place des programmes d’IA responsables
Une pierre angulaire du succès de toute politique interne est l’engagement et le soutien de la direction. « Dans de nombreux cas, ce succès dépend largement de la compréhension par le PDG de l’importance de ces initiatives », constate Steve Mills.
Le BCG a constaté que les organisations où le top management est le plus impliqué sont celles qui tirent le plus d’avantages opérationnels de l’IA. « Pour que l’IA apporte une réelle valeur, et que les risques ne tournent pas en crise, des ressources dédiées et un stewardship sont des ingrédients indispensables », avance Steve Mills.
Investissez donc le temps et les ressources nécessaires pour comprendre les nouveaux risques – ils peuvent varier d’une entreprise à l’autre. La prise de conscience interne n’en sera que plus grande. Et elle aidera à concevoir et à promouvoir vos politiques d’IA sur le terrain.
Code de conduite et retours du terrain
Car une bonne politique vient aussi du terrain. Les employés – qui sont les plus gros utilisateurs – sont centraux pour créer un code de conduite qui favorisera un environnement de confiance.
Un code de conduite de l’IA résume les règles des politiques et les règlements de manière concrète. Il peut s’organiser sous la forme de choses possibles (do) ou pas (do not) pour chaque outil.
Pour cela, l’utilisation quotidienne des outils permet d’obtenir des informations précieuses. Le partage ouvert de ces informations facilite ensuite une meilleure compréhension, mais aussi la responsabilisation. Et cette transparence permet finalement de réagir plus rapidement en cas de problèmes.
Vous pouvez commencer par dresser l’inventaire de tous les outils d’IA générative utilisés en interne. Ensuite, faites un sondage pour connaître l’avis des employés sur les implications qu’ils ont sur leur travail.
Enfin, créez un document de travail, daté, pour élaborer une politique évolutive. Et tenez tout le monde au courant de la dernière version à jour. Ce point est très important, car tout comme l’IA est un processus itératif, une politique en matière d’IA repose sur une rédaction continue de règles en constante évolution.
Conclusion et bonnes pratiques pour une politique interne sur l’IA générative
Lors de l’élaboration de votre politique d’IA générative, vous pourrez garder à l’esprit les points de départ suivants :
Do (à faire) | Do not (à ne pas faire) |
Faire de l’usage responsable de l’IA une priorité de la direction. | Attendre avant de déterminer une politique interne sur l’usage de l’IA. |
Clarifier les différents mots et les marques qui désignent tous les outils de type IA générative. | Partager des données sensibles avec les services « publics » d’IA. |
Donner les grandes lignes puis laisser les employés façonner la politique. | Automatiser vos processes avec l’IA sans supervision humaine. |
Faire un audit des outils d’IA de votre entreprise, et déterminer les risques liés à chacun. | Faire croire qu’un contenu généré par une IA a été créé par un humain. |
Mettre en place une méthodologie pour évaluer la qualité des résultats fournis par l’IA (et s’assurer que cette qualité est bonne). | Faire confiance au contenu généré par l’IA sans vérifier les sources, les citations et les affirmations qu’il contient. |
Mettre en place un processus pour remonter tout nouveau problème. | Faire confiance aux modèles d’IA sans auditer leurs possibles biais. |