Zerbor - Fotolia

Sans respect du RGPD, pas d’IA pour le Service Desk

Les données recueillies par un Service Desk ont souvent un caractère personnel (dans le sens du RGPD). Il faut donc prendre quelques mesures pour s’assurer d’être en conformité lorsqu’on veut augmenter son ITSM avec de l’Intelligence Artificielle, explique l’expert d’Econocom, Frédéric Anthoine.

Pour assurer le support de systèmes de plus en plus complexes et personnalisés auprès d’utilisateurs de plus en plus exigeants, le Service Desk se tourne désormais largement vers l’intelligence artificielle (IA). Que ce soit pour filtrer les demandes, apporter un premier niveau de réponse, ou aider les agents à diagnostiquer et résoudre plus vite les incidents, l’IA est en passe de devenir incontournable dans ce domaine. Gartner estime même qu’en 2022 elle traitera 80 % des requêtes des utilisateurs aux services support.

Témoin de tous les dysfonctionnements du système d’information et de toutes les frustrations des utilisateurs, le Service Desk constitue par ailleurs une source inestimable d’enseignements pour la DSI. En consolidant, en croisant et en analysant ses données, l’IA peut identifier des usages mal maîtrisés, des ressources sous-utilisées ou mal employées, des outils obsolescents ou mal paramétrés, des signes avant-coureurs de pannes, etc. Ceci permet, entre autres, d’anticiper les opérations de maintenance, d’optimiser l’équipement selon les profils d’utilisateurs, de renforcer et de mieux cibler la formation pour, au final, réduire l’incidentologie et donc les dépenses.

Des données permettent d’identifier les individus

Mais toutes ces utilisations de l’IA nécessitent de collecter énormément de données, dont certaines sont directement rattachées à l’utilisateur : localisation, types de systèmes utilisés, position, rôle et fonction au sein de l’organisation.

Indispensables pour bien qualifier et diagnostiquer les incidents, ces données n’en ont pas moins un caractère personnel. En effet, dans une organisation de taille modeste comme une entreprise, il n’est pas très difficile de remonter jusqu’à un individu en recoupant de telles informations même expurgées des identifiants tels que le nom ou le matricule de l’utilisateur.

L’anonymisation étant impossible (on parlera plutôt de « pseudonymisation » des données), tout usage de l’IA dans le cadre du Service Desk pose donc obligatoirement la question de sa conformité avec le RGPD.

PIA : Analyse d’impact obligatoire

Selon l’article 35 du RGPD, il est impératif de réaliser une analyse d’impact (Privacy Impact Assessment, PIA) lorsqu’un traitement ayant recours à de nouvelles technologies (dont l’IA fait indiscutablement partie) peut engendrer « un risque élevé pour les droits et libertés des personnes ».

Coordonné par le Data Protection Officer (DPO) et porté par le responsable du traitement, le PIA vise à évaluer les conséquences pour les individus d’une éventuelle fuite de données et à détailler les mesures juridiques, organisationnelles, de sécurité physique et de sécurité logique mises en œuvre pour s’en prémunir.

Le PIA doit en particulier justifier de la légitimité des données recueillies, des conditions de leur collecte et de leur conservation, au regard de la finalité du traitement. Début 2020, par exemple, la CNIL a jugé qu’EDF et Engie n’avaient pas obtenu de consentement sur le niveau d’informations collectées et pas lieu de conserver les données de consommation issues des compteurs Linky aussi longtemps qu’ils le prévoyaient.

Tout l’enjeu est donc de trouver le bon équilibre entre les objectifs du service, les données sollicitées pour l’exécuter et les mesures mises en œuvre pour les protéger.

Dans le cas du Service Desk, le but manifeste d’améliorer la qualité du service peut certainement légitimer de recueillir et manipuler des données à caractère personnel… nonobstant quelques précautions à expliciter.

Recueil du consentement

Appréhender la question des données personnelles sous l’angle des objectifs de leur traitement n’est pas seulement une nécessité vis-à-vis du RGPD et de la CNIL ; c’est aussi le meilleur moyen d’obtenir le consentement des utilisateurs. Celui-ci est impératif pour donner une base légale à la collecte et à l’exploitation des données dites personnelles. D’autant plus quand celles-ci sont captées lors d’une conversation téléphonique ou électronique, dont le Code des postes et des communications sacralise la confidentialité.

Il faut par conséquent informer l’utilisateur de l’enregistrement de son échange avec le Service Desk ainsi que de l’utilisation ultérieure des éléments recueillis, et lui demander expressément son consentement.

Conclusion

Pour exploiter tout le potentiel de l’IA sans enfreindre la réglementation, le PIA et le recueil du consentement sont donc les deux passages obligés, ce qui nécessite avant toute chose de bien délimiter les responsabilités entre l’entreprise cliente et son prestataire de Service Desk.

C’est au prix de ces précautions que l’IA parviendra à atteindre l’objectif qui lui a d’ores et déjà été assigné dans le domaine du support aux utilisateurs.

Pour approfondir sur Applications métiers