SOMMET DU DROIT EN ENTREPRISE - IA Act : une approche par les risques
Mercredi 9 octobre 2024, SOMMET DU DROIT EN ENTREPRISE reçoit Alessandro Fiorentino (Product Owner, ADEQUACY) , Alexandre Grux (Chief Product Officer, DiliTrust) et Franck Richard (Country Manager France, EQS GROUP)
Category
🗞
NewsTranscription
00:00Vous êtes de retour sur BeSmart4Change à l'occasion de la dixième édition du sommet du droit en entreprise.
00:05Une édition anniversaire pensée pour décrypter les grands enjeux des professionnels du droit et de la compléhence.
00:10Et s'il y en a un qui devait figurer et nous intéresser au fil de cet après-midi,
00:14c'est l'essor et l'installation de l'intelligence artificielle dans les rouages de la direction juridique.
00:19Pour en parler, un panel d'experts que j'ai le plaisir d'accueillir en plateau.
00:22A ma droite, Alessandro Fiorentino, Product Owner au sein d'Adequacy.
00:26Bonjour Alessandro.
00:27Bonjour.
00:28Avec nous également Franck Richard, vous êtes Country Manager de QS Group.
00:32Bonjour Jonathan.
00:34Et également pour compléter ce panel d'exceptions, Alexandre Grux, Chief Product Officer au sein de D-Lit Trust.
00:39Bonjour.
00:40Vaste sujet effectivement que l'intelligence artificielle.
00:43Peut-être effectivement pour les néophytes, ceux qui ne savent pas comment l'implémenter.
00:47Je me tourne vers vous Franck.
00:49Est-ce qu'il y a des étapes indispensables à respecter pour une adoption disons rapide et réussie de l'intelligence artificielle
00:56dans la direction juridique ou dans les processus juridiques ?
00:58Il faut avant tout beaucoup de communication et mettre en avant la vraie valeur que ça apporte.
01:03L'IA en ce moment c'est vraiment le buzzword comme l'a été le big data à une époque ou le cloud à une autre.
01:08Donc il faut vraiment apporter une preuve de la valeur comme quoi ça enrichit quelque chose
01:14et on ne le met pas juste pour rajouter quelque chose et augmenter ses prix de solution.
01:19Donc notre solution chez UQS qu'on a proposé sur la partie lanceur d'alerte par exemple,
01:23ça permet typiquement une alerte est automatiquement mise dans une catégorie par l'IA.
01:28Ça évite que le salarié le fasse mal.
01:32Donc l'IA est censée être plus intelligente que le salarié lambda qui va saisir son alerte.
01:37Ça permet aussi d'anonymiser son alerte.
01:42S'il laisse un message téléphonique, l'IA va transformer sa voix pour qu'elle ne soit pas reconnaissable.
01:46L'IA va aussi traduire ce qui a été déclaré par la personne
01:52et ça peut être fait dans différents pays, donc dans des langues qui ne sont pas forcément maîtrisées par ceux qui gèrent les alertes.
01:56Donc ça permet d'automatiser beaucoup de tâches que si on devait faire à la main avec des personnes,
02:02ça prendrait beaucoup trop de temps, ça serait beaucoup trop coûteux.
02:06Donc là on apporte une vraie valeur avec l'IA dans nos solutions.
02:10Mais pour que ça passe, il faut aussi rassurer nos interlocuteurs qu'on utilise le bon moteur.
02:17Qu'on a des accords de confidentialité sur la notion de la donnée, où est-ce qu'elle est hébergée et comment elle est traitée.
02:23Donc c'est hyper important de rassurer et on a quand même quelques clients qui nous disent non, moi je n'en veux pas.
02:27Donc on le garde à titre optionnel.
02:31Donc la solution peut faire avec ou sans.
02:35C'est plus de valeur avec et la plupart de nos clients, ceux qui sont rassurés, voient l'intérêt de le faire et prennent l'option.
02:41Je fais écho à cette nécessité de spécifier le besoin, de le comprendre aussi.
02:47Il y a des échéances réglementaires aujourd'hui et notamment l'IA Act qui n'est plus une surprise et qui promeut une approche par les risques.
02:54Comment ça se décline techniquement cette approche par les risques ?
02:58Je pense que l'IA c'est une technologie comme d'autres.
03:03En tant qu'éditeur logiciel, on a été habitué avec nos clients, que ce soit leur partenaire IT ou les équipes juridiques,
03:11à devoir aussi être très transparent à la fois sur nos processus, la manière dont on traite la donnée,
03:17si on la partage et si on la partage notamment avec des tiers.
03:21Et sur l'intelligence artificielle, il y a toute une batterie de questions indispensables à se poser pour déployer des projets d'IA dans la direction juridique.
03:31Je pense que ça passe déjà par avec qui on travaille.
03:35Est-ce que l'intelligence artificielle est hébergée sur vos serveurs ou est-ce qu'on travaille avec des tiers ?
03:40Typiquement chez Digitrust, on a fait le choix de rester sur un traitement dans nos serveurs
03:45et de mettre en avant une approche souveraine sans risque de confidentialité
03:56ou bien de risque de partage de la donnée à des tiers notamment sur des entités hors Europe.
04:03Donc ça c'est une transparence sur ces traitements.
04:06Et puis il y a toute une batterie d'outils qui vient avec cette nouvelle technologie d'intelligence artificielle, la Generative AI,
04:12dont on entend beaucoup parler, qui de la même façon réinvente les risques de sécurité et donc leurs réponses.
04:19Par exemple on parle beaucoup de risque de fuite de données,
04:24justement en essayant de tromper l'IA en posant des questions un peu ouvertes pour essayer de lui extraire de la donnée.
04:31Maintenant il y a des outils technologiques, des tests, un peu comme des tests d'intrusion comme on le voit en sécurité,
04:36qui vont permettre aussi de s'assurer que l'intelligence artificielle ne sort pas du périmètre qu'on lui a confié,
04:43qu'elle ne va pas dévoiler des données qu'elle n'est pas censée dévoiler
04:46ou même qu'elle va rester dans le cadre de l'information qu'on lui a demandé de traiter.
04:52Typiquement chez Daily Trust, on lui demande de répondre à des questions sur les documents de l'utilisateur
04:59et pas d'aller inventer ou d'aller chercher sur même ses connaissances culture générale plus globales,
05:06là où elle risquerait peut-être de se tromper, de ne plus être à jour.
05:09Par exemple de l'actualité juridique qui change quand même régulièrement.
05:12Pour ça pareil, on met en place des tests avec des IA qui vont contrôler les IA,
05:17qui vont relire toutes les réponses pour dire attention, là la réponse sort du cadre du document,
05:24donc on ne l'affiche pas par exemple.
05:26C'est pour limiter le risque d'hallucination juridique par exemple ?
05:28L'hallucination, mais parfois c'est même simplement dire une information qui n'est plus à jour.
05:33Vous savez que les modèles comme ChatGPT, les 3.5 etc. sont basés sur des bases de données qui datent de plusieurs mois.
05:40Donc par exemple, si un président d'un pays a changé dernièrement, il ne va pas halluciner,
05:45il va juste donner une donnée qui n'est plus juste.
05:47Et donc en droit, on sait que l'information juridique change régulièrement,
05:50donc c'est aussi important de se mettre au niveau des professionnels, des experts qui sont nos clients,
05:56pour justement rester dans là où on a un domaine de certitude
06:00et d'être sûr de lui apporter la bonne valeur, la bonne information,
06:04tout en bien sûr gardant notre client là où il est,
06:09c'est-à-dire un expert dont on est là pour lui faire des recommandations,
06:12l'éclairer, pas pour prendre des décisions à sa place.
06:14Je crois que c'est aussi important.
06:16J'aimerais rester avec vous Alessandro sur l'IA Act.
06:20Est-ce que celui-ci d'un point de vue purement réglementaire va suffisamment loin
06:23dans l'encadrement de l'intelligence artificielle au service de la direction juridique,
06:27même si l'IA Act a une portée plus générale, mais en tout cas pour ce qui est de votre activité ?
06:31Alors moi, mon activité c'est beaucoup d'accompagner les DPO,
06:35effectivement protection des données.
06:37Sur la partie IA Act, est-ce que l'IA Act va assez loin ?
06:40Je pense qu'il est déjà assez rugueux, donc il va déjà bien loin.
06:45Je ne sais pas si actuellement, on va dire, je pense qu'il va assez loin.
06:50Avec les IA qu'on aura dans 5 ans, peut-être qu'un règlement européen,
06:54généralement ça se revoit tous les 5 ans.
06:56Donc on n'est pas à l'abri d'un IA Act 2 dans 5 ans
06:59qui prendra en compte d'autres évolutions qui pourraient arriver dans les prochaines années.
07:03Sur la partie DPO, après, le rôle du DPO finalement, c'est un vrai sujet.
07:10On a une autorité de contrôle, qui est donc la CNIL,
07:13qui fait un petit peu de lobbying, on va dire ça comme ça,
07:16pour prendre l'IA Act chez elle, avec un département IA.
07:22Ce n'est pas le choix par exemple qu'a fait l'Espagne avec une autorité de contrôle dédiée.
07:26Donc en France, l'IA arrive, on va dire, dans les bannettes des DPO au fur et à mesure.
07:32Sans qu'on ait vraiment la certitude que ça soit tout pour lui.
07:36Ça va être un sujet transverse.
07:38C'est un petit peu au fond comme le RGPD.
07:40Il va y avoir de la sécurité, il va y avoir de l'organisation,
07:43il va y avoir de la gestion de projet.
07:45Je pense qu'il y aura forcément deux niveaux de réponse.
07:47Pour un délégué à la protection des données, il y a des choses qui vont être très basiques.
07:51Évaluer la compatibilité par exemple d'une finalité initiale avec une finalité ultérieure,
07:56ça le DPO ne va pas pouvoir s'échapper.
07:59C'est quand même lui qui va être le mieux placé pour pouvoir répondre à des choses comme ça.
08:04Sur la partie analyse de risque, c'est peut-être lui aussi qui devra évaluer le niveau de dangerosité de cette IA.
08:10Et finalement, le niveau de dangerosité de l'IA sera un nouveau facteur d'appréciation
08:14pour savoir si on fait une analyse d'impact relative à la protection des données.
08:18Jusqu'à maintenant, on a les neuf critères du CEPD
08:21qui sont un des principaux facteurs d'appréciation.
08:28Aujourd'hui, je pense que le niveau de dangerosité de l'IA va se rajouter à ça.
08:33Et puis sur la partie analyse d'impact, bien que ce ne soit pas que la patate chaude du DPO,
08:40c'est un document qui doit être fait collégialement avec le RSSI, peut-être avec le DSI, avec les métiers,
08:46avec l'assistance des sous-traitants notamment sur toutes les fournitures d'informations de sécurité.
08:52Il est évident que certains scénarios de menaces vont se présenter, de nouveaux scénarios de menaces,
08:58du fait de l'usage de l'IA.
09:00Donc oui, forcément le DPO, il y aura une partie qui sera chez lui.
09:05Après, si on rentre un petit peu plus profond dans le texte,
09:08sur tout l'inventaire des SIA, l'inventaire des modèles,
09:12en fonction des différents types d'apprentissage des différents modèles,
09:16je pense que le DPO va forcément être obligé de travailler avec l'IT,
09:22parce qu'il y aura une limite finalement à son rôle.
09:26Et pour aller au fond finalement de l'analyse qui lui permettra de faire de la documentation technique,
09:31à l'organisation de réaliser la documentation technique,
09:34je pense que forcément ça devra être quelque chose de collégial.
09:37Collégial, mais on attend encore du DPO d'être ce fameux mouton à cinq pattes dans l'organisation.
09:41Il l'a toujours été, le CIL était déjà un mouton à cinq pattes.
09:44Le DPO, peut-être maintenant un mouton à six pattes, et puis peut-être une septième arrive.
09:49Les tables rondes s'enchaînent effectivement sur le sommet du droit d'entreprise.
09:52J'aimerais quand même poser une dernière question à notre panel.
09:54Vous êtes tous les trois des acteurs de l'intelligence artificielle,
09:57effectivement dans vos domaines distincts, mais systématiquement au profil de la direction juridique.
10:01Quelle ambition vous pouvez nourrir, si on réfléchit par la prospective,
10:04pour l'intelligence artificielle d'ici 2030, l'intelligence artificielle juridique ?
10:08D'ici 2030, selon vous, c'est quoi en quelques mots ?
10:12Je pense que l'objectif, c'est que les personnes travaillent un peu plus à le rajouter.
10:17Pour moi, l'IA ne doit pas remplacer l'humain, elle doit juste le décharger des tâches pénibles.
10:22Et ça, c'est vrai dans n'importe quel domaine.
10:25Pour le DPO, comme il a 15 000 casquettes, peut-être de les réduire un petit peu,
10:31et qu'il se focalise sur ce qui est le plus important, et là où il a le plus de valeur.
10:34Là où il a le plus de valeur.
10:36De mon côté, je vois vraiment un réel renfort au quotidien.
10:40Là où parfois on peut être un peu démuni, et nos clients aussi,
10:44sur des questions techniques qui ne sont pas dans leur domaine, ou des questions business.
10:49Là où habituellement l'expert va répondre seul, avec sa limite de connaissance,
10:54la possibilité d'avoir l'appel à un « ami », un dernier renfort,
10:59pour vérifier, se valider, se tester, tester ses idées avant de s'exprimer.
11:07C'est quelque chose qu'on voit déjà chez nos utilisateurs,
11:10et même en interne de Diditrus, des gens qui prennent ce réflexe d'aller questionner,
11:15un peu comme un miroir.
11:17Je pense que c'est ça aussi pour les experts juridiques,
11:20avoir un peu un compagnon à qui échanger, jeter la balle.
11:25Un compagnon pour jeter la balle ? On vous laisse en gros.
11:28L'ambition, c'est de ne pas faire les mêmes erreurs qu'on a fait avec les moteurs de recherche,
11:33avec le cloud, c'est peut-être une idée souveraine pour 2030.
11:37De quoi nourrir là aussi nos discussions pour les prochaines éditions du Sommet du droit en entreprise.
11:43Merci infiniment à chacun d'entre vous pour votre présence sur notre plateau.
11:47Cette dixième édition du Sommet du droit en entreprise se poursuit,
11:49vous restez avec nous sur Bsmart for Change.