Écrit par Caroline Poirier
L’intelligence artificielle générative (IA générative) offre aux entreprises d’énormes avantages sur le plan de la productivité : rationalisation des tâches administratives, réduction des tâches redondantes, automatisation des processus et meilleure analyse des données. Cette technologie puissante s’accompagne toutefois de risques importants liés notamment à l’utilisation qu’en font les employés. Bien que le Canada n’ait adopté à ce jour aucune loi spécifique à l’IA, il faut savoir que d’autres cadres juridiques, comme les lois relatives à la protection des renseignements personnels, les lois sur la propriété intellectuelle et les lois et normes propres à certains secteurs, régissent indirectement l’utilisation de l’IA. En se dotant d’une politique interne sur l’utilisation de l’IA générative, les entreprises peuvent non seulement mieux gérer les risques et respecter leurs obligations légales actuelles, mais aussi se préparer à une réglementation future propre à l’IA.
Facteurs à considérer
Les risques auxquels l’IA expose les entreprises peuvent provenir de sources internes, particulièrement des employés qui utilisent ou comprennent mal les outils d’IA. Ces risques peuvent s’expliquer par une formation insuffisante, un manque de surveillance ou l’absence de politiques internes claires. Les entreprises ont donc tout intérêt à agir sur les facteurs suivants pour mieux gérer les risques associés à l’utilisation de l’IA générative par leurs employés.
1. Fiabilité
L’un des risques internes les plus importants est le manque de fiabilité potentiel des résultats générés par l’IA. Les systèmes d’IA générative sont entraînés à l’aide de vastes ensembles de données qui contiennent souvent à la fois des renseignements exacts et inexacts. Or ces outils d’IA sont en grande partie incapables de faire la différence entre les deux, ce qui peut générer des résultats inexacts. Par exemple, l’IA générative crée parfois des renseignements incorrects, mais convaincants, couramment appelés « hallucinations », qui peuvent avoir de graves répercussions si l’entreprise ou ses clients s’y fient1. Comme les entreprises peuvent être tenues responsables des renseignements fournis par les outils d’IA qu’elles utilisent pour servir leur clientèle et le public2, les employés doivent impérativement vérifier le contenu généré avant de l’utiliser ou de le communiquer aux clients. Une politique interne devrait donc mettre l’accent sur la nécessité d’une supervision et d’une validation par un humain afin de prévenir des erreurs coûteuses.
2. Confidentialité et protection des données
Même en l’absence de loi spécifique à l’IA, les lois fédérales et provinciales existantes sur la protection des renseignements personnels pourraient toujours s’appliquer et régir indirectement l’utilisation de l’IA au sein des entreprises. Si des employés saisissent des renseignements personnels et/ou confidentiels dans des outils d’IA, en particulier dans des modèles du domaine public, ces données pourraient être utilisées pour entraîner l’IA et réapparaîtraient dans de futurs résultats, compromettant ainsi les renseignements personnels et confidentiels. L’utilisation ou la communication non autorisées de données peut entraîner de graves conséquences juridiques et nuire à la réputation de l’entreprise. Votre politique interne doit donc prévoir des consignes claires sur le traitement des renseignements personnels et confidentiels dans le cadre de l’utilisation des outils d’IA, afin d’assurer la conformité aux lois existantes en matière de protection des données et de prévenir les atteintes à la vie privée.
3. Préjugés (biais)
Les systèmes d’IA entraînés à l’aide de grands ensembles de données peuvent refléter et amplifier les préjugés, conduisant à des résultats discriminatoires s’ils ne sont pas gérés avec précaution. À l’interne, les employés qui s’appuient sur des résultats générés par l’IA pour prendre des décisions, comme pour le recrutement, les évaluations de rendement ou le service à la clientèle, pourraient perpétuer ces préjugés à leur insu et, par conséquent, appliquer des pratiques injustes ou discriminatoires. Bien que l’IA elle-même ne soit pas encore réglementée, les entreprises doivent tout de même respecter les lois antidiscrimination qui régissent indirectement l’utilisation de l’IA. Une politique interne devrait donc prévoir une formation conçue pour aider les employés à reconnaître et à atténuer les préjugés dans les contenus générés par l’IA afin d’assurer un processus décisionnel juste et équitable.
4. Propriété intellectuelle
Lorsque des employés utilisent l’IA générative pour créer du contenu, ils peuvent involontairement enfreindre les droits de propriété intellectuelle existants si les résultats générés par l’IA sont fondés sur des données de tiers, y compris des données du domaine public. Cela pourrait entraîner des litiges juridiques, en particulier si le contenu généré par l’IA a une valeur commerciale.
L’autre question que les entreprises doivent prendre en compte est l’absence actuelle au Canada d’attribution de droits de propriété intellectuelle à une œuvre générée par l’IA. Le débat sur ce sujet est actif et des lignes directrices plus précises devraient être publiées prochainement. La Cour fédérale du Canada est actuellement sollicitée pour déclarer que seul un humain peut être considéré comme un auteur au sens de la Loi sur le droit d’auteur. Pour l’instant, les entreprises ne devraient pas présumer qu’elles possèdent des droits de propriété intellectuelle sur les œuvres créées exclusivement par l’IA générative. Une politique interne devrait donc prévoir des lignes directrices sur la révision du contenu généré par l’IA pour éviter toute violation des droits de propriété intellectuelle et assurer le respect des cadres juridiques actuels.
5. Usage malveillant et cybersécurité
La mauvaise utilisation de l’IA générative par les employés pose aussi des risques de cybersécurité. En effet, cette technologie peut servir à créer des « hypertrucages » ou d’autres formes de contenus artificiels conçus pour tromper ou manipuler les gens. Les entreprises s’exposent donc à des risques de cybersécurité importants, notamment à de l’hameçonnage ou à des atteintes à la protection des données. Par ailleurs, l’usage malveillant de contenus générés par l’IA peut contrevenir aux lois actuelles en matière de fraude et de sécurité des données, même en l’absence de loi spécifique à l’IA. Une politique interne devrait donc tenir compte du risque associé à une mauvaise utilisation et prévoir des protocoles de sécurité clairs, ainsi qu’une formation sur la reconnaissance et l’atténuation de ces risques avant qu’ils ne s’aggravent.
6. Facteurs ESG
La révolution de l’IA entraîne une augmentation soudaine de la demande en énergie des centres de données3, et les entreprises doivent prendre en compte l’impact environnemental des outils d’IA qu’elles utilisent. Les employés pourraient choisir par inadvertance des fournisseurs qui ne cadrent pas avec les objectifs environnementaux, sociaux et de gouvernance (ESG) de l’organisation et, par conséquent, entraver les démarches de développement durable. Une politique interne en matière d’IA peut orienter les employés dans le choix de fournisseurs d’IA ayant à cœur les facteurs ESG, notamment ceux qui exploitent des centres de données carboneutres ou qui disposent de chaînes d’approvisionnement transparentes. Ainsi, l’utilisation de l’IA sera conforme aux engagements liés aux facteurs ESG de l’entreprise et aux normes de durabilité propres à l’industrie.
Création d’une politique en matière d’IA pour gérer les risques associés à l’utilisation de l’IA par les employés
Une politique complète sur l’utilisation de l’IA est importante pour la bonne gestion des risques internes associés à son utilisation par les employés et au respect des cadres juridiques existants. En effet, une politique bien conçue aidera vos employés à utiliser l’IA de façon éthique et responsable, ce qui aidera à protéger votre organisation contre les risques juridiques, financiers et réputationnels.
Pour en savoir plus sur la création d’une politique personnalisée qui tient compte des défis et des occasions uniques associés à l’IA générative, communiquez avec Caroline Poirier.
Nous remercions Alexia Armstrong, étudiante en droit, pour son aide dans la préparation de cet article.
1 Voir par exemple Zhang v. Chen 2024 BCSC 285.
2 Moffatt v. Air Canada, 2024 BCCRT 149 au paragr. 27.
3 https://www.goldmansachs.com/insights/articles/AI-poised-to-drive-160-increase-in-power-demand
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones