Les échecs les plus courants des politiques d'IA dans les organisations

L'adoption de l'IA dans les entreprises de taille moyenne progresse rapidement. Dans de nombreux cas, elle progresse plus rapidement que les politiques, les contrôles et la surveillance ne peuvent suivre. Pour les responsables informatiques, cela crée un risque discret mais croissant. Les outils d'IA sont déjà intégrés dans le travail quotidien, mais peu d'entreprises ont des règles claires sur la manière dont ces outils doivent être utilisés.

Pourquoi les échecs des politiques en matière d'IA sont-ils si fréquents ?

Dans la plupart des entreprises, l'adoption de l'IA ne se fait pas par le biais d'un processus formel, mais plutôt par le biais d'équipes individuelles. Les développeurs utilisent des outils d'IA pour accélérer le développement. Les analystes les utilisent pour résumer les données. Les équipes marketing les utilisent pour rédiger du contenu. Ces outils semblent inoffensifs car ils sont faciles d'accès et souvent gratuits ou peu coûteux.

Le problème principal n'est pas une intention malveillante. Le problème est une utilisation non contrôlée. Les employés collent souvent du contenu interne dans des outils d'IA sans comprendre où vont ces données, comment elles peuvent être stockées ou comment elles peuvent être réutilisées.

Lorsque l'adoption de l'IA est informelle, les politiques sont généralement mises en place plus tard, voire pas du tout. À ce moment-là, des schémas risqués sont déjà intégrés dans les processus.

Échec n° 1 : absence de règles claires sur les données pouvant être partagées avec les outils d'IA

L'une des erreurs les plus courantes est l'absence de limites claires en matière de données. De nombreuses organisations ont mis en place des politiques générales de protection des données, mais celles-ci ont été rédigées avant la généralisation des grands modèles linguistiques. Elles n'expliquent souvent pas si les employés peuvent coller :

• Code source
• Les dossiers clients
• Des documents internes
• Rapports d'incident
• Des identifiants ou des détails de configuration

En l'absence de règles explicites, les employés prennent leurs propres décisions. Des incidents largement médiatisés ont montré que des employés avaient copié du code source et des notes confidentielles dans des chatbots publics, exposant ainsi leur entreprise à un risque de divulgation et de perte de propriété intellectuelle. 

La plupart des fournisseurs d'IA commerciaux collectent les données fournies par les utilisateurs. Certains utilisent ces interactions pour former les futures versions de leurs modèles. Votre code propriétaire, vos données clients et vos documents stratégiques font alors partie d'un ensemble de données auquel vous ne pouvez pas accéder, que vous ne pouvez ni contrôler ni supprimer¹.

Échec n° 2 : supposer que les outils d'IA sont sûrs parce qu'ils sont populaires

Une autre erreur consiste à assimiler popularité et sécurité. Les outils tels que ChatGPT ou les assistants similaires sont largement utilisés et bien connus. Cela peut créer un faux sentiment de sécurité. Les équipes informatiques peuvent supposer que si un outil est largement adopté, il doit déjà être conforme aux attentes de l'entreprise.

En réalité, la plupart des outils d'IA à usage général sont conçus pour une large utilisation par les consommateurs, et non pour des environnements professionnels réglementés. Ils ne sont pas automatiquement alignés sur les politiques de sécurité internes, les exigences en matière de résidence des données ou les obligations de conformité spécifiques au secteur.

Des lacunes en matière de gouvernance apparaissent souvent parce que les outils d'IA ne sont pas officiellement examinés, approuvés ou soumis à des restrictions de la même manière que les autres logiciels .

Échec n° 3 : ignorer les hallucinations de l'IA comme un risque commercial

Les systèmes d'IA génèrent des textes qui semblent fiables, mais qui sont parfois erronés sur le plan factuel. En termes techniques, on parle d'hallucination. En termes commerciaux, cela signifie que des erreurs peuvent s'introduire dans vos documents, votre code et vos communications avec les clients sans que personne ne s'en aperçoive.

En l'absence de contrôles politiques, il n'y a souvent aucune obligation de validation ou de révision. Les résultats hallucinés se retrouvent souvent dans les documents commerciaux, car les équipes font trop facilement confiance aux réponses de l'IA.

Pour les responsables informatiques, cela crée un risque en matière de responsabilité. Des décisions peuvent être prises sur la base de contenus qui semblent fiables, mais qui ne reposent pas sur des données vérifiées.

Échec n° 4 : l'IA est exclue des cadres de conformité existants

Si votre organisation traite des données clients en Europe, vous avez des obligations en vertu du RGPD que les outils d'IA enfreignent discrètement. Le problème est simple : lorsque les systèmes d'IA accèdent à des bases de données contenant des informations personnelles, cet accès doit être documenté, divulgué et justifié en vertu de la loi sur la protection des données.

Cependant, la plupart des réglementations relatives à la confidentialité des données d'entreprise ont été mises en œuvre avant que les outils d'IA ne se généralisent. Elles couvrent la manière dont les données clients circulent entre les systèmes internes et les partenaires externes. Elles précisent la durée de conservation des données et les personnes qui peuvent y accéder. Mais elles abordent rarement la question de savoir si un système d'IA peut traiter ces données ou ce qui se passe lorsque ce traitement a lieu sur des serveurs que vous ne contrôlez pas.

Il en résulte un angle mort en matière de conformité. Votre politique de confidentialité explique comment les données de vos clients sont protégées. Mais si un employé introduit ces données dans un outil d'IA externe, vous risquez de rompre des promesses que vous ne savez même pas avoir faites. 

Échec n° 5 : absence de liste approuvée d'outils d'IA

Une autre lacune courante est l'absence de liste d'outils validés. Dans de nombreuses organisations, les employés choisissent eux-mêmes leurs outils d'IA. Certains utilisent des outils basés sur un navigateur. D'autres installent des extensions ou intègrent des API directement dans leurs processus. Les équipes informatiques ne s'en aperçoivent souvent qu'après un incident ou un audit.

Sans liste approuvée, les responsables informatiques ne peuvent pas :

• Appliquer des contrôles de sécurité cohérents.
• Garantir le respect des exigences en matière de localisation des données.
• Appliquer la journalisation ou la surveillance.
• Réagir efficacement aux incidents.

Échec n° 6 : considérer l'IA uniquement comme un outil de productivité

L'IA est souvent considérée en interne comme un moyen d'améliorer la productivité. Cette perception peut limiter la réflexion stratégique. Lorsque l'IA est uniquement considérée comme un moyen de gagner du temps, les organisations peuvent négliger l'analyse des risques. Elles peuvent ne pas se poser les questions suivantes :

• Quelles sont les données exposées ?
• À qui appartient le résultat ?
• Comment le modèle est-il entraîné ?
• Qu'advient-il de nos données d'entrée ?

Cette vision étroite ignore les risques à long terme, notamment la fuite de propriété intellectuelle, l'exposition aux risques de conformité et la perte de contrôle sur les connaissances sensibles.

Des recherches indépendantes montrent que l'exposition des données reste l'une des formes de risque commercial les plus coûteuses et les plus préjudiciables, en particulier pour les entreprises de taille moyenne³.

Échec n° 7 : absence de responsabilité quant à l'utilisation de l'IA

Enfin, de nombreuses politiques en matière d'IA échouent parce que personne n'en assume la responsabilité.

Il n'y a souvent pas de réponse claire à des questions telles que :

• Qui approuve les outils d'IA ?
• Qui met à jour la politique en matière d'IA ?
• Qui contrôle l'utilisation de l'IA ?
• Qui réagit aux incidents liés à l'IA ?

Sans appropriation, les politiques restent théoriques. L'utilisation se généralise sans contrôle. Lorsque des problèmes surviennent, les responsabilités ne sont pas clairement définies.

Pourquoi ces échecs sont-ils importants aujourd'hui ?

Ces échecs politiques sont importants car l'adoption de l'IA s'accélère, elle ne ralentit pas. Les entreprises de taille moyenne se trouvent dans une position difficile. Elles sont suffisamment grandes pour faire l'objet d'une surveillance réglementaire, mais manquent souvent des ressources dont disposent les grandes entreprises.

Une gouvernance faible en matière d'IA augmente le risque de :

• Violations de la confidentialité des données.
• Non-conformité réglementaire.
• Perte de propriété intellectuelle.
• Erreurs opérationnelles.
• Atteinte à la réputation.

Pour les cadres intermédiaires informatiques, ce risque est à la fois personnel et organisationnel. Les lacunes en matière de gouvernance apparaissent souvent lors d'audits, d'incidents ou d'examens par la direction, mais il est alors déjà trop tard.

Aller de l'avant : la visibilité et le contrôle comme point de départ

L'objectif n'est pas de bloquer l'utilisation de l'IA, mais de la contrôler. La première étape pour tout responsable informatique d'une PME consiste à comprendre comment les outils d'IA sont réellement utilisés aujourd'hui dans l'organisation. À quels outils les employés ont-ils accès ? Quelles données transitent par ces outils ? Où finissent ces données ?

La plupart des organisations découvrent qu'elles ont beaucoup moins de visibilité qu'elles ne le pensaient. Les outils sont souvent basés sur un navigateur et contournent les contrôles informatiques traditionnels. Leur utilisation est répartie entre les équipes sans suivi centralisé. L'écart entre la politique officielle et la pratique réelle est important.

Pour combler cet écart, il faut mettre en place une gouvernance autour des outils validés, de la localisation des données et de directives claires sur les informations qui peuvent et ne peuvent pas être partagées avec les systèmes d'IA. Il faut également mettre à jour les programmes de conformité afin de traiter l'IA comme une catégorie de traitement des données. Enfin, il faut mettre en place des processus de révision qui tiennent compte des risques spécifiques liés au contenu généré par l'IA.

Comment Upsun vous aide à combler ces écarts

Upsun aide à relier la politique en matière d'IA aux opérations quotidiennes en rendant les contrôles visibles, reproductibles et applicables.

• Configuration YAML basée sur Git : l'infrastructure, les services et les règles d'accès sont définis dans un YAML contrôlé par version, ce qui rend les modifications vérifiables et faciles à examiner sous forme de code.
• Aperçus automatiques par branche : chaque modification peut être exécutée dans un environnement de test isolé, avec prise en charge du clonage des données et de l'application de la désinfection. Cela permet aux équipes de tester en toute sécurité les processus liés à l'IA avant la mise en production.
• Orchestration multiservices : les applications, les API et les services de support sont déployés et gérés ensemble, ce qui réduit le risque de scripts non gérés ou de composants IA déconnectés.
• Observabilité et APM intégrées : la journalisation et la surveillance des performances intégrées facilitent le suivi du comportement, des performances et des défaillances dans tous les environnements dès le premier jour.
• Contrôles de conformité et de sécurité au niveau de la plateforme : Upsun fonctionne selon des cadres de sécurité et de conformité établis, ce qui donne aux équipes informatiques une base contrôlée pour exécuter des charges de travail basées sur l'IA parallèlement à des systèmes réglementés. Cela soutient les efforts de gouvernance interne en alignant l'infrastructure sur des normes reconnues. Consultez le centre de confiance Upsun pour en savoir plus.

Ensemble, ces fonctionnalités aident les équipes informatiques à trouver un équilibre entre la vitesse de développement et la supervision opérationnelle. 

Sources

1. OpenAI, « Politiques d'utilisation et de conservation des données ».
   https://openai.com/policies
2. Commission européenne, « Règlement général sur la protection des données (RGPD) ».
   https://gdpr.eu
3. IBM, « Rapport sur le coût des violations de données 2024 »
   https://www.ibm.com/reports/data-breach
4. Couverture par TechRadar des conclusions de Dataiku sur l'IA fantôme (https://www.techradar.com/pro/businesses-are-losing-control-of-ia-and-bosses-are-starting-to-despair)
5. Récapitulatif de Cybernews sur les incidents de fuite de données chez Samsung (https://cybernews.com/security/chatgpt-samsung-leak-explained-lessons/)
6. Avis du CEPD sur les modèles d'IA et les principes du RGPD (https://www.edpb.europa.eu/news/news/2024/edpb-opinion-ai-models-gdpr-principles-support-responsible-ai_en)
7. Guide du groupe de soutien du CEPD sur les « risques liés à l'IA en matière de confidentialité et les mesures d'atténuation » (https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-experts-projects/ai-privacy-risks-mitigations-large_en)
8. Lignes directrices de l'ICO britannique sur l'IA et la protection des données (https://ico.org.uk/for-organisations/uk-rgpd-guidance-and-resources/ia/guidance-on-ia-and-data-protection/)