L’intelligence artificielle en entreprise : un guide pratique pour l’adoption de l’IA

Points clés à retenir sur l’IA en entreprise

• L’IA en entreprise doit être considérée comme un outil d’assistance et non comme un décideur autonome. Toute décision impliquant des données, des clients ou des enjeux réglementaires doit rester sous supervision humaine.
• La principale source de risque liée à l’IA provient des données saisies par les utilisateurs. Les entreprises doivent éviter de partager des informations confidentielles, sensibles ou des données personnelles dans des outils d’IA externes.
• Une gouvernance IA efficace repose sur des politiques internes, des outils approuvés, des licences professionnelles, l’anonymisation des données et des accords de traitement conformes au RGPD.
• Les entreprises utilisant l’IA doivent évaluer leurs obligations réglementaires, notamment la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD) lorsque les traitements présentent un risque élevé pour les personnes concernées.
• La formation continue des collaborateurs et la mise en place d’un cadre de gouvernance dédié sont essentielles pour réduire les risques de fuite de données, de biais, d’hallucinations et de non-conformité liés à l’intelligence artificielle.

L’IA : une assistante en entreprise

L’intelligence artificielle n’est pas une décideuse, mais une assistante. Son rôle est d’amplifier l’expertise humaine sans s’y substituer. Les entreprises conservent la responsabilité finale des résultats, des traitements de données et des décisions stratégiques. Une règle d’or s’impose : toute utilisation de l’IA doit être encadrée par des garde-fous préservant la primauté du jugement humain.

Pour déployer l’IA en toute sécurité, nous recommandons d’adopter une démarche structurée, formalisée dans une politique interne claire. Voici les éléments clés à préciser :

• La finalité définie de l’IA au sein de l’entreprise ;
• Les outils d’IA autorisés et interdits ;
• Les tâches et cas d’usage approuvés pour le soutien par l’IA ;
• Les catégories de données autorisées pour le traitement par l’IA.

Il est essentiel de définir l’usage de l’IA au sein de votre entreprise en mettant en place des politiques internes, plutôt que de le laisser à la discrétion des employés. Des garde-fous critiques et réfléchis permettront d’éviter les risques juridiques ou de sécurité.

Maîtriser les données saisies lors de l’utilisation de l’IA en entreprise

La majorité des risques associés à l’IA découlent des informations communiquées par les utilisateurs. Un principe fondamental s’impose : un collaborateur ne doit jamais saisir dans un outil d’IA des données qu’il ne serait pas disposé à rendre publiques. Cela concerne notamment :

• Les informations confidentielles
• Les données commerciales ou propriétaires
• Les données personnelles non indispensables
• Les données sensibles ou réglementées.

Les informations transmises à une IA doivent se limiter au strict nécessaire, et, autant que possible, être anonymisées ou épurées. Les noms, identifiants et documents complets doivent être remplacés par des extraits anonymisés ou des descriptions abstraites.

Une vigilance particulière s’impose également lors de l’utilisation d’outils d’enregistrement ou de transcription de réunions fondés sur l’IA. Ces outils captent fréquemment les voix, les identités, les messages de discussion et les documents partagés, qui constituent autant de données personnelles. La transparence est fondamentale : les participants doivent être informés préalablement, un rappel doit être effectué en début de réunion, et chaque participant doit pouvoir s’opposer ou se retirer librement.

Les garde-fous essentiels pour une utilisation sécurisée de l’IA en entreprise

L’intégration sécurisée de l’IA en entreprise repose sur la mise en œuvre rigoureuse de mesures techniques et organisationnelles. Nos évaluations internes ont identifié les comportements à haut risque suivants, nécessitant une atténuation immédiate lors du déploiement de l’IA :

• Licences professionnelles obligatoires : Les collaborateurs ne doivent pas utiliser de comptes ou licences personnelles d’IA pour des tâches professionnelles. Les comptes personnels échappent au contrôle de l’entreprise en matière de sécurité des données, de journaux d’accès et de traçabilité, et entraînent souvent une conservation indéfinie des données. Les licences professionnelles permettent un contrôle administratif centralisé, des paramètres de conservation et de suppression maîtrisées, ainsi qu’une traçabilité complète.
• Outils approuvés et accès contrôlé : Les entreprises doivent tenir à jour une liste des outils d’IA autorisés et des cas d’usage permis.
• Localisation des données dans l’Union européenne (UE) : Pour les organisations opérant dans l’UE, le traitement et le stockage des données au sein de l’UE constituent un facteur clé de conformité au RGPD, réduisant notamment les risques liés aux transferts internationaux et à la surveillance associés à un hébergement hors UE. Si un outil d’IA traite des données en dehors de l’UE/EEE, l’entreprise doit s’assurer de la mise en place de garanties adaptées, telles que les clauses contractuelles types et des mesures techniques ou organisationnelles complémentaires.
• Système d’IA interne : Pour les données les plus sensibles, propriétaires ou confidentielles, l’utilisation d’outils externes doit être proscrit. L’utilisation d’un système d’IA interne, hébergé sur une infrastructure maîtrisée par l’entreprise, représente le niveau optimal de protection pour la confidentialité et les informations stratégiques.
• Anonymisation et suppressions systématiques : Avant toute saisie de données dans un outil d’IA externe, les collaborateurs doivent supprimer tous les éléments identifiants, tels que les noms de clients ou les références précises de projets, en les remplaçant par des mentions fictives (ex. : « Client X »).
• Accords de traitement des données (DPA) : Lorsqu’un fournisseur d’IA agit en tant que sous-traitant de traitement des données, un accord de traitement des données (DPA) est généralement requis. L’accord clarifie les instructions de traitement, les mesures de sécurité, les durées de conservation, les sous-traitants et les transferts internationaux de données.

Une gouvernance efficace de l’IA repose sur la combinaison de mesures techniques, contractuelles et organisationnelles. Ces garde-fous garantissent la conformité et répondent aux risques de sécurité, notamment ceux identifiés par les agences de renseignement. Mis en œuvre de manière cohérente, ils permettent aux entreprises de bénéficier de l’efficacité et de l’innovation de l’IA, tout en assurant le respect des réglementations et la préservation de la confiance des clients.

L’alerte de la DGSI sur les dangers de l’IA non maîtrisée en entreprise

La Direction Générale de la Sécurité Intérieure (DGSI) a récemment mis en lumière les risques majeurs liés à l’utilisation non contrôlée de l’intelligence artificielle dans les entreprises. Selon l’agence, de nombreuses versions publiques, gratuites ou standard des outils d’IA générative réutilisent fréquemment les données soumises par les utilisateurs pour entraîner leurs modèles, une pratique susceptible d’exposer des informations sensibles propres aux organisations.

La DGSI souligne également les enjeux de protection des données posés par certains outils d’IA générative, dont les politiques de confidentialité imposent le stockage des données utilisateurs sur des serveurs situés hors de l’UE, souvent sans consentement explicite et éclairé. Pour l’agence, ces pratiques accroissent les risques d’ingérence économique, de fuites de données et de perte de maîtrise sur des informations stratégiques, notamment lorsque ces outils sont utilisés pour traiter des documents confidentiels ou évaluer des partenaires commerciaux.

La DGSI identifie plusieurs risques concrets découlant d’une utilisation non encadrée de l’IA en milieu professionnel, parmi lesquels :

• La réutilisation des données fournies par les utilisateurs pour l’entraînement des modèles
• Le stockage d’informations sensibles sur des serveurs étrangers sans garanties suffisantes
• Les biais et hallucinations affectant les évaluations assistées par IA
• Les actes d’ingérence étrangère et de fraude exploitant des deepfakes générés par IA, reproduisant la voix ou l’image de dirigeants d’entreprise.

Par ailleurs, la DGSI relève que, malgré l’adoption généralisée des outils d’IA, une part significative des entreprises européennes ne dispose toujours ni de politique formelle encadrant l’IA, ni de directives internes claires. Cette absence de gouvernance aggrave considérablement les risques de mauvaise utilisation, de fuites de données et de manipulation. L’autorité appelle donc les entreprises à établir un cadre structuré pour l’IA, insistant sur la nécessité de règles internes précises et de formations complètes pour les collaborateurs afin de limiter ces dangers.

La formation et la sensibilisation des collaborateurs à une utilisation responsable de l’IA

La sensibilisation des collaborateurs est essentielle pour la prévention des expositions accidentelles de données via l’IA. Pour renforcer les défenses de votre entreprise et limiter les risques liés à ces outils, nous recommandons de mettre en place des actions de formation et de sensibilisation régulières, notamment à travers :

• Une formation annuelle obligatoire sur l’IA et le RGPD
• Des ateliers pratiques sur les bonnes pratiques de saisie des données dans les outils d’IA
• Des consignes claires sur les outils autorisés et les cas d’usages permis
• Des initiatives de sensibilisation aux risques de biais, d’erreurs et d’hallucinations de l’IA
• Une formation spécifique sur l’obtention du consentement avant l’utilisation d’outils d’IA pour la prise de notes ou l’enregistrement de réunions.

Nous conseillons d’organiser des sessions de formation et de sensibilisation récurrentes. Des programmes continus, tels que des modules de rappel, des sessions d’intégration pour les nouveaux collaborateurs, des rappels concis et des guides internes, permettront à vos équipes de maintenir des pratiques sûres, même face à l’évolution constante des outils d’IA.

La conformité RGPD et l’utilisation de l’IA en entreprise

Pour les entreprises établies dans l’Union européenne, le respect du RGPD est obligatoire. Un pilier central de cette conformité est l’Analyse d’Impact relative à la Protection des Données (AIPD). Cette évaluation des risques permet d’identifier, d’évaluer et d’atténuer les menaces pesant sur les droits et libertés des personnes, découlant du traitement de leurs données. Elle offre aux entreprises la possibilité d’analyser les types de traitements de données avant l’introduction d’une nouvelle technologie, comme l’IA, en milieu professionnel.

Selon l’article 35 du RGPD, une AIPD est obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé pour les individus. Sans réaliser une AIPD lorsque celle-ci est requise, les entreprises s’exposent à des manquements à l’article 35 du RGPD, notamment en matière d’évaluation des risques, de transferts internationaux ou de respect des droits des personnes.

Une AIPD relative à l’IA doit notamment examiner la minimisation des données, les durées de conservation, les transferts internationaux, la dépendance aux fournisseurs et le maintien d’une supervision humaine.

Une AIPD complète doit inclure les éléments suivants :

Description du traitement

• Quelles données sont traitées ?
• Quel est l’objectif du traitement des données ?
• Qui traite les données ?
• Comment les données sont-elles utilisées et collectées ?
• Les données sont-elles stockées dans l’Union européenne ou en dehors ?
• À quelle fréquence et dans quelles circonstances les données sont-elles supprimées ?
• Quels outils sont utilisés pour le traitement ?
• Quels fournisseurs interviennent dans le traitement ?

Finalité et base légale

• Pourquoi le traitement est-il nécessaire ?
• Quelle base légale du RGPD s’applique ?

Évaluation de la nécessité et de la proportionnalité

• Le traitement est-il adapté à son objectif ?
• Plus de données que nécessaire sont-elles collectées ?
• Existe-t-il des alternatives moins intrusives ?

Analyse des risques

• Quels sont les risques pour les droits et libertés des personnes concernées ?
• Quelle est la probabilité et la gravité des préjudices ?
• Certaines libertés individuelles risquent-elles d’être enfreintes ?
• Les outils d’IA impliquent-ils des transferts internationaux des données ?
• Quels sont les risques de fuite de données, de détournement, de biais, ou de perte de contrôle ?

Mesures de protection et de réduction des risques

• Quels contrôles techniques seront mis en œuvre pour réduire les risques ?
• Quels contrôles organisationnels seront appliqués ?
• Quelles actions spécifiques seront entreprises pour limiter les risques ?
• L’entreprise prévoit-elle de conclure des accords de traitement des données (Data Processing Agreements) avec ses prestataires, incluant des clauses contractuelles types (CCT / SCC) ?

Évaluation des risques résiduels

• Parmi les risques identifiés, lesquels sont acceptables ?
• Certains risques nécessitent-ils des actions supplémentaires ?
• Des mesures d’atténuation complémentaires peuvent-elles être mises en œuvre ?

Suivi et gouvernance

• À quelle fréquence l’AIPD sera-t-elle révisée ?
• Qui est le délégué à la protection des données (DPO) de l’entreprise ?
• Qui sera chargé de la mise en œuvre des mesures d’atténuation et dans quel délai ?
• Qui est responsable de la supervision et du suivi de l’AIPD ?
• Un modèle d’AIPD est disponible sur le site du RGPD pour vous aider à rédiger le vôtre : https://gdpr.eu/wp-content/uploads/2019/03/dpia-template-v1.pdf

Cadre pratique pour l’intégration de l’IA en entreprise

À mesure que l’IA s’intègre dans les opérations professionnelles, son déploiement doit s’accompagner de directives claires, une responsabilisation, des mécanismes de contrôle et d’une gouvernance rigoureuse. Les principes ci-dessous offrent un cadre pragmatique que les entreprises peuvent adopter pour maîtriser les risques liés à l’IA :

• Définir la finalité des usages de l’IA : L’IA doit être utilisée pour soutenir des tâches professionnelles précises (rédaction, synthèse, recherche, support client, etc.). Il convient d’identifier précisément les usages de l’IA au sein de l’entreprise ainsi que les catégories de données concernées. Chaque usage doit être associé à une finalité et à un périmètre clairement définis.
• Établir une politique IA claire et accessible : Les entreprises doivent fournir aux collaborateurs une politique d’usage de l’IA claire, structurée et accessible, précisant les outils d’IA autorisés et interdits, les tâches et cas d’usage éligibles pour un soutien à l’IA, l’obligation d’utiliser des licences professionnelles, les types de données exploitables ou exclues et la nécessité d’un contrôle humain sur toute sortie générée par l’IA.
• Mettre en place des contrôles juridiques et techniques : Les collaborateurs ne doivent utiliser que des outils d’IA formellement approuvés par l’entreprise, et exclusivement via des comptes professionnels. Les contrats, accords de traitement des données (DPA), configurations de sécurité et paramètres de conservation doivent être soigneusement définis et mis en œuvre. Les comptes personnels doivent être interdits, car ils compromettent la sécurité, le contrôle et la conformité.
• Minimiser et protéger les données : Seules les informations strictement nécessaires doivent être partagées avec des outils d’IA. Les données confidentielles, sensibles, ou réservées aux clients doivent être exclues, anonymisées ou traitées via des systèmes internes contrôlés.
• Garantir transparence et supervision : Les mentions de confidentialité, communications clients et documentations internes doivent être mises à jour pour refléter l’usage de l’IA. Les personnes concernées doivent être informées de manière transparente et préalable de l’utilisation d’outils d’IA de transcription ou d’enregistrement de réunions. L’IA ne doit jamais fonctionner sans supervision humaine ni constituer le seul fondement d’une décision.
• Assurer formation et sensibilisation : Des formations régulières, des initiatives de sensibilisation et des révisions périodiques des outils et pratiques d’IA sont indispensables au rythme de l’évolution technologique et réglementaire. La création d’un comité de pilotage dédié à l’évaluation et à l’approbation des nouveaux outils d’IA est fortement recommandée.
• Suivre les évolutions réglementaires : Les entreprises doivent suivre les cadres réglementaires émergents, notamment le Règlement européen sur l’IA (AI Act), qui introduira des obligations de conformité supplémentaires en fonction du niveau de risque des applications d’IA. Une veille proactive permet d’anticiper les exigences, d’ajuster les pratiques de gouvernance et d’éviter les perturbations liées à de nouvelles obligations.

Questions fréquentes sur l’IA en entreprise

Les collaborateurs peuvent-ils utiliser des outils d’IA publics comme ChatGPT au travail ?

Uniquement dans un encadrement bien défini. Les outils doivent être autorisés par l’entreprise, utilisés via des licences professionnelles et soumis à des règles strictes de saisie des données.

L’IA en entreprise est-elle compatible avec le RGPD ?

Oui, l’IA peut être utilisée de manière conforme au RGPD, à condition de mettre en place des garanties adaptées, reposant sur une base légale claire, une transparence suffisante et, dans de nombreux cas, de la réalisation préalable d’une AIPD.

Quelles données ne doivent jamais être partagées avec une IA ?

Les données confidentielles, stratégiques, propriétaires, réglementées ou les données personnelles non indispensables ne doivent jamais être saisies dans des outils d’IA.

L’intelligence artificielle et les exigences réglementaires continueront d’évoluer conjointement. Les entreprises qui intègrent dès aujourd’hui la gouvernance, la responsabilisation et la transparence dans leurs pratiques liées à l’IA seront les mieux préparées à s’adapter avec confiance et conformité.