Les intelligences artificielles génératives, comme ChatGPT, ont pris une place prédominante au cours des derniers mois. Capables de restituer du contenu et faire gagner du temps, de nombreux collaborateurs les adoptent dans leur routine de travail.
Cependant, leur utilisation n’est pas sans risques et peuvent mettre en péril la sécurité des données d’une entreprise.
Les mécanismes de fonctionnement de ChatGPT
Pour comprendre les risques liés à la divulgation de données sensibles, rappelons brièvement le fonctionnement de ces modèles.
Entraînés sur d’immenses quantités de données textuelles, ils apprennent à prédire le mot suivant dans une séquence. Cette capacité leur permet de générer des textes cohérents et pertinents, mais aussi de mémoriser des informations. C’est cette capacité de mémorisation qui pose problème.
Les données renseignées dans ces outils cessent de nous appartenir une fois le bouton d’envoi cliqué. Il existe un risque que ces données soient stockées, même de manière indirecte. Ces informations pourraient alors être utilisées pour générer de nouveaux contenus, ou pire, être exploitées à des fins malveillantes.
Les risques liés à la divulgation de données sensibles
- Fuites d’informations confidentielles : Les entreprises, les chercheurs ou les particuliers peuvent être tentés d’utiliser ChatGPT pour traiter des informations confidentielles. Or, ces données peuvent être involontairement divulguées si le modèle est piraté ou si son code source est compromis.
- Usurpation d’identité : Des requêtes avec des informations personnelles, peuvent créer des contenus très réalistes imitant le style d’écriture de l’utilisateur. Il est possible que ces contenus soient utilisés à des fins de phishing ou de désinformation.
- Violation de la vie privée : L’utilisateur qui intègre des données personnelles dans une requête prend le risque de les voir détournées. Ce qui engendrerait la création de profils détaillés des utilisateurs, ce qui constitue une atteinte grave à leur vie privée.
Quelles mesures pour limiter les risques ?
Il est essentiel de sensibiliser les utilisateurs quant à l’utilisation de ChatGPT afin qu’ils n’y partagent pas d’informations sensibles.
OpenAI, l’organisation à l’origine de ChatGPT, a introduit la possibilité de désactiver l’historique des conversations*, ce qui empêchera l’utilisation des données des utilisateurs pour former et améliorer les modèles d’IA d’OpenAI.
De cette manière, les utilisateurs ont un meilleur contrôle sur leurs données. Si les collaborateurs de votre entreprise souhaitent utiliser des outils tels que ChatGPT, la première chose à faire est donc de désactiver l’historique des conversations.
Cependant même si l’historique est désactivé, toutes les requêtes restent stockées sur les serveurs du chatbot. Il existe donc un risque potentiel d’accès non autorisé par des pirates. Des bugs techniques peuvent également donner l’accès à des personnes non autorisées aux données d’autres utilisateurs.
Comment s’assurer que les collaborateurs de votre entreprise utilisent des plateformes telles que ChatGPT en toute sécurité ?
- Ne pas utiliser des données clients comme entrants
La première erreur commise par les collaborateurs est de partager par inadvertance des informations sensibles sur les clients de leur entreprise.
Anonymiser en permanence les requêtes avant de les saisir dans les chatbots. Eviter soigneusement les détails sensibles, tels que les noms, les adresses ou les numéros de compte. La meilleure pratique consiste à éviter d’utiliser des informations personnelles en premier lieu et se contenter de questions ou de requêtes générales. - Eviter de télécharger des documents confidentiels dans les chatbots
Il peut être tentant de télécharger un document ou de copier-coller son contenu pour disposer d’un résumé de ce dernier par l’IA ou des suggestions de diapositives de présentation.
Cela vaut pour les documents importants comme pour les notes prises lors d’une réunion, qui peuvent conduire les collaborateurs à divulguer le savoir-faire de leur entreprise.
Pour minimiser ce risque, les collaborateurs doivent examiner manuellement les documents avant de faire appel à un chatbot et supprimer toutes informations sensibles et personnelles du texte. - Cacher des données de l’entreprise dans les requêtes
Ce qui vaut pour les documents, vaut pour toute recherche visant à améliorer l’organisation ou faciliter des tâches de travail en entreprise.
L’inclusion de données sensibles d’une entreprise dans une requête est une pratique malheureusement courante. Cela peut conduire à une fuite d’informations confidentielles. C’est pourquoi des sociétés comme Samsung interdisent les outils d’« IA générative » ou qu’Amazon sensibilise ses employés à une utilisation responsable.
Il est donc nécessaire d’encadrer l’usage de ces outils pratiques et puissants mais risqués. La sensibilisation des collaborateurs, la mise à disposition de requêtes standardisées sous forme de modèles et la mise en place d’un cadre réglementaire sont autant de pistes à explorer pour garantir un développement responsable de ces technologies.