KI

FAQ sur l’in­tel­li­gence arti­fi­cielle

L'es­sen­tiel en bref:

  • L’in­tel­li­gence arti­fi­cielle bou­le­verse l’éco­no­mie et la société – et elle sou­lève des ques­tions com­plexes.
  • La nou­velle FAQ d’eco­no­mie­suisse four­nit des réponses pour aider à s’orien­ter dans ce domaine de plus en plus impor­tant.

L’in­tel­li­gence arti­fi­cielle (IA) devient tou­jours plus impor­tante pour l’éco­no­mie et la société. Son uti­li­sa­tion sou­lève cepen­dant de nom­breuses ques­tions juri­diques et pra­tiques. En col­la­bo­ra­tion avec les avo­cats Cor­ne­lia Sten­gel, Luca Stäuble et Jonas Tresch, eco­no­mie­suisse a rédigé une foire aux ques­tions (FAQ) pour offrir un aperçu des prin­ci­paux aspects de l’IA en termes de régle­men­ta­tions et d’ap­pli­ca­tions.

Infor­ma­tions juri­diques: la pré­sente com­pi­la­tion sert uni­que­ment à des fins d’in­for­ma­tion et de sen­si­bi­li­sa­tion et ne sau­rait rem­pla­cer un conseil juri­dique. eco­no­mie­suisse décline toute res­pon­sa­bi­lité pour des actions ou omis­sions en lien avec ces infor­ma­tions.

En com­plé­ment des FAQ, d’autres outils et infor­ma­tions utiles sont dis­po­nibles sous l'outil d'auto-éva­lua­tion de l'IA et le blog de Kel­le­rhals Car­rard.

FAQ sur l’in­tel­li­gence arti­fi­cielle

Il n’est pas facile de défi­nir l’IA. À ce jour, aucune des­crip­tion n’a d’ailleurs su faire l’una­ni­mité et s’im­po­ser. Voici une défi­ni­tion pos­sible, du Par­le­ment euro­péen:

«L’IA désigne la pos­si­bi­lité pour une machine de repro­duire des com­por­te­ments liés aux humains, tels que le rai­son­ne­ment, la pla­ni­fi­ca­tion et la créa­ti­vité.»

Contrai­re­ment aux habi­tuels pro­ces­sus auto­ma­ti­sés, les cas d’ap­pli­ca­tion de l’IA ne sont pas des sché­mas «si/alors» pré­pro­gram­més, mais des algo­rithmes «d’ap­pren­tis­sage». Par consé­quent, la plu­part des défi­ni­tions font elles aussi réfé­rence à un cer­tain degré d’au­to­no­mie et à une forme de com­pré­hen­sion des facul­tés cog­ni­tives de l’hu­main.

Les logi­ciels d’IA sont riches en pos­si­bi­li­tés. Ils per­mettent notam­ment d’ac­croître for­te­ment l’ef­fi­ca­cité, la pro­duc­ti­vité, la dis­po­ni­bi­lité et la qua­lité (par exemple dans le cadre du mar­ke­ting, du suivi des clients ou de la com­pliance). Avec les appli­ca­tions mul­tiples et sans cesse nou­velles, le déve­lop­pe­ment tech­nique de l’IA ouvre la voie à de nou­velles oppor­tu­ni­tés inédites.

L’in­tel­li­gence arti­fi­cielle sou­lève des défis de nature tech­nique, mais tou­chant aussi aux dimen­sions éthiques, éco­no­miques et juri­diques. Concrè­te­ment et tout par­ti­cu­liè­re­ment, il s’agit de risques quant à la pro­tec­tion des don­nées, du dan­ger de dis­cri­mi­na­tion, de l’uti­li­sa­tion de logi­ciels d’IA à des fins illi­cites ou du manque – fré­quent – de trans­pa­rence. Ces défis doivent tou­jours être pris en consi­dé­ra­tion avant d’uti­li­ser des tech­no­lo­gies basées sur l’IA.

À l’heure actuelle, la Suisse ne pré­voit pas (encore) de régle­men­ta­tion spé­ci­fique pour le déve­lop­pe­ment, la dis­tri­bu­tion ou l’uti­li­sa­tion de logi­ciels d’IA. Le Conseil fédé­ral a cepen­dant chargé le DETEC de lui sou­mettre, d’ici fin 2024, un rap­port pré­sen­tant les dif­fé­rentes approches pos­sibles pour régle­men­ter l’IA. L’IA fera donc sûre­ment bien­tôt l’ob­jet d’un règle­ment aussi en Suisse. Reste à savoir néan­moins quelle forme il pren­dra. Une approche «hori­zon­tale» ou inter­sec­to­rielle semble plau­sible, à l’ins­tar du règle­ment euro­péen sur l’IA entré en vigueur le 1er août 2024. Les spé­ci­fi­ci­tés des branches n’y sont tou­te­fois pas assez prises en compte et les auteurs estiment qu’il faut suivre une autre voie. Ils pré­co­nisent donc d’adop­ter une approche orien­tée résul­tats et de ne régle­men­ter que là où une éva­lua­tion préa­lable des risques l’exige.

Non. Les normes juri­diques suisses sont typi­que­ment conçues de manière à s’ap­pli­quer indé­pen­dam­ment de la tech­no­lo­gie uti­li­sée («neu­tra­lité tech­no­lo­gique»). Ainsi, une entre­prise qui pro­pose du conseil en pla­ce­ment doit déjà res­pec­ter les lois appli­cables (p. ex. LSFin) et ce même si elle recourt à l’IA pour ses ana­lyses finan­cières. Des thèmes trans­ver­saux comme le droit de la pro­tec­tion des don­nées sont éga­le­ment essen­tiels pour les logi­ciels d’IA.

Les auto­ri­tés suisses (FINMA, PFPDT notam­ment) publient déjà régu­liè­re­ment des infor­ma­tions pra­tiques et des aides à l’in­ter­pré­ta­tion afin d’ac­croître la sécu­rité juri­dique pour les entre­prises.

Le recours à l’IA géné­ra­tive (p. ex. ChatGPT) notam­ment sou­lève dif­fé­rentes ques­tions quant au droit d’au­teur. Pour les déve­lop­peurs de telles solu­tions, par exemple, il est impor­tant de savoir quelles don­nées peuvent ser­vir dans le cadre de l’ap­pren­tis­sage. Dans de nom­breux pays, la jus­tice s’in­té­resse à cette ques­tion et l’ave­nir mon­trera si et dans quelle mesure il en résul­tera une solu­tion uni­forme. Les déployeurs qui exploitent les pro­grammes, eux, doivent savoir quelles don­nées d’en­trée peuvent être uti­li­sées pour les «invites». S’il s’agit d’œuvres pro­té­gées par des droits d’au­teur (textes, images, etc.), il faut se pro­cu­rer une licence. À noter en outre que les sor­ties pro­duites par l’IA peuvent éga­le­ment vio­ler les droits d’au­teur de tiers, un aspect par­ti­cu­liè­re­ment per­ti­nent lors­qu’il est prévu de les mettre à la dis­po­si­tion de tiers. Enfin, la ques­tion se pose de savoir si, et dans quelles condi­tions, les sor­ties pro­duites par l’IA béné­fi­cient elles aussi de la pro­tec­tion du droit d’au­teur. Celle-ci pré­sup­pose une «créa­tion de l’es­prit», fai­sant géné­ra­le­ment défaut aux œuvres pro­duites par l’IA. On peut ima­gi­ner des excep­tions lorsque le résul­tat reflète la créa­tion intel­lec­tuelle du déployeur ou qu’il com­plète sim­ple­ment la créa­tion intel­lec­tuelle d’un être humain (p. ex. lors de tra­duc­tions). D’autres avis sou­tiennent l’ap­pli­ca­tion du droit d’au­teur aux logi­ciels d’IA sous cer­taines condi­tions, arguant que la créa­tion de l’es­prit est aussi pré­sente dans les sor­ties pro­duites par l’IA (p. ex. en défi­nis­sant les para­mètres). Vu ces incer­ti­tudes, il convient d’éva­luer les aspects au cas par cas, en tenant compte des cir­cons­tances concrètes, et d’ob­ser­ver les évo­lu­tions ulté­rieures.

Le res­pect du droit de la pro­tec­tion des don­nées mérite une atten­tion par­ti­cu­lière, car les logi­ciels d’IA traitent régu­liè­re­ment des don­nées per­son­nelles – sans oublier que la vio­la­tion de cer­taines dis­po­si­tions de la (nou­velle) loi sur la pro­tec­tion des don­nées est pas­sible de sanc­tions (p. ex. devoir d’in­for­ma­tion).

Lorsque des logi­ciels d’IA sont four­nis par un pres­ta­taire (p. ex. sys­tème à la demande (SaaS)) qui a accès à des don­nées per­son­nelles et les traite pour le compte du client, il faut en outre s’as­su­rer que les cla­ri­fi­ca­tions requises quant à la garan­tie de la sécu­rité des don­nées soient menées et qu’un dis­po­si­tif contrac­tuel adé­quat soit conclu avec ledit pres­ta­taire (p. ex. contrat de sous-trai­tant).

Lorsque des logi­ciels d’IA aident à prendre des déci­sions (com­mer­ciales), il faut véri­fier dans chaque cas s’il s’agit d’une «déci­sion indi­vi­duelle auto­ma­ti­sée» au sens de la loi sur la pro­tec­tion des don­nées. C’est le cas si elle est prise exclu­si­ve­ment sur la base d’un trai­te­ment de don­nées per­son­nelles auto­ma­tisé, qu’elle a des effets juri­diques sur la per­sonne concer­née ou l’af­fecte de manière signi­fi­ca­tive et qu’elle pré­sente un cer­tain degré de com­plexité (p. ex. sélec­tion de can­di­dats, octroi de cré­dit). Une telle déci­sion peut notam­ment impli­quer des devoirs d’in­for­ma­tion spé­ciaux.

Dans la pra­tique, d’autres dis­po­si­tions sec­to­rielles s’ap­pliquent en outre sou­vent. Celles-ci doivent d’abord être iden­ti­fiées selon le contexte dans lequel l’IA est uti­li­sée.

L’uti­li­sa­tion de logi­ciels d’IA peut rapi­de­ment entraî­ner des consé­quences juri­diques. On l’a vu, entre autres, lors du pro­cès entre le conseiller natio­nal Andreas Glar­ner (UDC) et la conseillère natio­nale Sibel Ars­lan (Verts). Le pre­mier a publié une vidéo de la seconde modi­fiée à l’aide de l’IA, dans laquelle la conseillère natio­nale appelle notam­ment à voter pour lui. Sibel Ars­lan a entamé des démarches juri­diques et obtenu gain de cause.

Pour pré­ve­nir d’éven­tuelles consé­quences néga­tives, il faut tou­jours ana­ly­ser les risques avant d’uti­li­ser un logi­ciel d’IA, par exemple en véri­fiant si le logi­ciel four­nit des résul­tats fiables et non dis­cri­mi­na­toires, si le four­nis­seur du sys­tème peut garan­tir la sécu­rité des don­nées et si les droits d’uti­li­sa­tion d’éven­tuelles don­nées d’en­trée et de sor­tie sont réglés. D’autres points à tran­cher avec le four­nis­seur concernent en par­ti­cu­lier la confi­den­tia­lité en matière de secrets d’af­faires et les ques­tions de res­pon­sa­bi­lité.

Il est recom­mandé de tenir un registre des logi­ciels d’IA uti­li­sés dans l’en­tre­prise et d’y noter les res­pon­sa­bi­li­tés internes et les mesures (contrac­tuelles) prises (p. ex. au sujet de la sécu­rité des don­nées). En cas de besoin, ce réper­toire peut être inté­gré à un éven­tuel registre exis­tant sur le trai­te­ment des don­nées per­son­nelles («registre des acti­vi­tés de trai­te­ment»).

Enfin, il faut véri­fier si l’uti­li­sa­tion du logi­ciel d’IA tombe sous le coup du règle­ment euro­péen sur l’in­tel­li­gence arti­fi­cielle. En cas d’in­cer­ti­tude quant au rôle de votre entre­prise dans le cadre de cette légis­la­tion, consul­tez l’outil d'auto-éva­lua­tion de l'IA. Il se peut, notam­ment lors de l’uti­li­sa­tion de «sys­tèmes d’IA à haut risque», que votre entre­prise soit sou­mise à des exi­gences strictes de com­pliance.

a. Quels sont les objec­tifs et le contenu du règle­ment sur l’IA de l’UE?

Avec son règle­ment sur l’IA (entré en vigueur le 1er août 2024), l’Union euro­péenne veut pro­mou­voir le déve­lop­pe­ment et l’uti­li­sa­tion de sys­tèmes d’IA tout en garan­tis­sant un niveau élevé de pro­tec­tion de la santé, de la sécu­rité et des droits fon­da­men­taux.

Son texte adopte une approche fon­dée sur les risques pour régle­men­ter les logi­ciels d’IA. Il convient d’éva­luer le niveau de risque au cas par cas et en détail, ainsi que les obli­ga­tions à res­pec­ter en consé­quence.

Le règle­ment sur l’IA dis­tingue les caté­go­ries de risque sui­vantes:

  • Les sys­tèmes d’IA qui per­mettent des pra­tiques inter­dites comme la nota­tion sociale doivent être inter­dits.
  • Les sys­tèmes d’IA à haut risque sont, dans le cadre d’un sys­tème de ges­tion des risques, sou­mis à des exi­gences spé­ci­fiques qui visent sur­tout leurs four­nis­seurs, mais en par­tie aussi leurs déployeurs.
  • Les sys­tèmes d’IA à risque limité, qui inter­agissent notam­ment avec des humains (p. ex. dia­lo­gueurs) ainsi que les sys­tèmes d’IA géné­ra­tive sont sou­mis à cer­taines obli­ga­tions de trans­pa­rence.
  • Les sys­tèmes d’IA à risque mini­mal sont exclus du champ d’ap­pli­ca­tion du règle­ment sur l’IA.

Le règle­ment sur l’IA est entré en vigueur le 1er août 2024, mais pré­voit des délais de tran­si­tion pour la mise en œuvre de ses dis­po­si­tions: les inter­dic­tions entre­ront en vigueur après six mois, les règles et exi­gences rela­tives aux sys­tèmes d’IA à haut risque après 36 mois, toutes les autres règles après deux ans.

b. À qui le règle­ment sur l’IA s’ap­plique-t-il?

Le règle­ment sur l’IA vise en pre­mier lieu les four­nis­seurs et déployeurs de sys­tèmes d’IA. Les four­nis­seurs sont des per­sonnes ou entre­prises qui déve­loppent des sys­tèmes d’IA et les mettent sur le mar­ché de l’UE, les déployeurs sont eux des per­sonnes ou entre­prises qui exploitent ces sys­tèmes sous leur propre res­pon­sa­bi­lité. Le domaine per­son­nel non pro­fes­sion­nel n’est en revanche pas cou­vert.

c. Le règle­ment sur l’IA s’ap­plique-t-il éga­le­ment aux per­sonnes et entre­prises de Suisse?

Tout comme le règle­ment euro­péen sur la pro­tec­tion des don­nées (RGPD), le règle­ment sur l’IA a une por­tée extra­ter­ri­to­riale. Les four­nis­seurs et déployeurs de logi­ciels d’IA dans des pays tiers comme la Suisse peuvent éga­le­ment y être assu­jet­tis, par exemple si le logi­ciel d’IA concerné ou les sor­ties pro­duites sont uti­li­sés en Europe.

Au regard des sys­tèmes d’IA qu’elles choi­sissent, les entre­prises de Suisse doivent dès lors véri­fier au cas par cas s’il y a un tel lien avec l’es­pace de l’Union euro­péenne. C’est à cela que sert l'outil d'auto-éva­lua­tion de l'IA.

J’ai la charge de la cam­pagne publi­ci­taire pour un nou­veau pro­duit et je veux uti­li­ser un logi­ciel d’IA pour créer une affiche avec une image et un slo­gan. À quoi dois-je faire atten­tion?

Cla­ri­fiez d’abord en interne s’il existe des direc­tives spé­ciales régis­sant l’ac­qui­si­tion et/ou l’uti­li­sa­tion de logi­ciels d’IA. Si ce n’est pas le cas, le pro­jet est l’oc­ca­sion de mettre en place une gou­ver­nance appro­priée de l’IA au sein de votre entre­prise, notam­ment en défi­nis­sant les res­pon­sa­bi­li­tés et les pro­ces­sus (mot-clé «direc­tives»).

Pour choi­sir le pres­ta­taire du logi­ciel d’IA, il faut impé­ra­ti­ve­ment tenir compte des points sui­vants, entre autres:

  • Est-ce que le pres­ta­taire accorde à l’en­tre­prise les droits de la pro­priété intel­lec­tuelle néces­saires ou le droit d’uti­li­ser le résul­tat pro­duit par le logi­ciel d’IA à des fins com­mer­ciales (design de l’af­fiche, slo­gan, etc.)?
  • Lorsque les don­nées d’en­trée pour uti­li­ser le logi­ciel d’IA sont des don­nées per­son­nelles (p. ex. de clients ou de col­la­bo­ra­teurs): est-ce que le pres­ta­taire garan­tit la sécu­rité de ces don­nées (confi­den­tia­lité, inté­grité, dis­po­ni­bi­lité) et est-ce qu’il existe un contrat écrit de sous-trai­tance selon la légis­la­tion appli­cable en matière de pro­tec­tion des don­nées (LPD et RGPD le cas échéant)?
  • Lors­qu’il faut four­nir des don­nées com­mer­ciales (p. ex. savoir-faire) de l’en­tre­prise comme don­nées d’en­trée: est-ce que le pres­ta­taire garan­tit la confi­den­tia­lité en matière de secrets d’af­faires?

Voici ce dont il faut en outre tenir compte si l’uti­li­sa­tion du logi­ciel d’IA est sou­mise au règle­ment sur l’IA (voir point 8 plus haut: p. ex. si la cam­pagne est éga­le­ment menée dans l’UE et que les résul­tats y sont donc uti­li­sés): si le contenu de l’af­fiche est une image dite hyper­tru­quée («deep­fake», mani­pu­la­tion audio­vi­suelle créant des tru­cages ultra­réa­listes), il faut indi­quer qu’elle a été créée ou mani­pu­lée grâce aux tech­niques de l’IA. Les per­sonnes phy­siques concer­nées (ici le public cible de la cam­pagne publi­ci­taire) doivent, de manière claire et bien visible, ainsi être infor­mées en ce sens au plus tard au moment de la pre­mière pré­sen­ta­tion.

Pour les entre­prises en Suisse qui ne sont pas sou­mises au règle­ment sur l’IA, le droit suisse en vigueur ne pré­voit pas d’obli­ga­tion expli­cite d’ap­po­ser une telle men­tion. Si la cam­pagne publi­ci­taire se limite à un public essen­tiel­le­ment suisse, le règle­ment sur l’IA ne s’ap­plique pas. Le pré­posé fédé­ral à la pro­tec­tion des don­nées et à la trans­pa­rence (PFPDT) exige cepen­dant des entre­prises que l’uti­li­sa­tion de sys­tèmes d’hy­per­tru­cage soit tou­jours aisé­ment repé­rable pour les per­sonnes concer­nées. Un mar­quage en consé­quence peut aussi être requis en vertu des dis­po­si­tions actuelles du droit de la concur­rence déloyale.

J’ai la charge de l’ac­qui­si­tion et intro­duc­tion d’un sys­tème d’IA propre à l’en­tre­prise qui doit, dans le cadre de notre pro­ces­sus de recru­te­ment, effec­tuer une pré­sé­lec­tion assis­tée par l’IA des can­di­da­tures pro­ve­nant d’Al­le­magne, du Liech­ten­stein et de Suisse ainsi que nous pro­po­ser des pro­fils adap­tés et infor­mer les can­di­dates et can­di­dats rete­nus sur la suite du pro­ces­sus de recru­te­ment. Les autres can­di­da­tures reçoivent auto­ma­ti­que­ment une réponse néga­tive. Devons-nous rem­plir des obli­ga­tions par­ti­cu­lières?

Pour déter­mi­ner les obli­ga­tions éven­tuelles en vertu du règle­ment sur l’IA (s’il s’ap­plique), il faut d’abord exa­mi­ner: (1) le rôle de l’en­tre­prise dans le cadre du logi­ciel d’IA; (2) l’exis­tence éven­tuelle d’un lien avec l’UE; (3) la caté­go­rie de risque du logi­ciel d’IA. Le règle­ment sur l’IA est un dis­po­si­tif com­plexe et il est donc for­te­ment recom­mandé de faire appel à des experts juri­diques pour régler ces ques­tions.

  • 1. Est consi­déré comme four­nis­seur – et donc sou­mis au règle­ment sur l’IA – qui­conque déve­loppe ou fait déve­lop­per un logi­ciel d’IA et le met sur le mar­ché ou en ser­vice sous son propre nom ou sa propre marque (dans l’UE). Lorsque le logi­ciel d’IA est déve­loppé par un tiers selon les besoins spé­ci­fiques et les ins­truc­tions de votre entre­prise, l’ac­ti­vité de déve­lop­pe­ment est impu­tée à celle-ci. Lorsque votre entre­prise «acquiert» un sys­tème d’IA exis­tant et en adapte juste la pré­sen­ta­tion à sa propre iden­tité visuelle, l’on peut esti­mer qu’il n’y a pas d’ac­ti­vité de déve­lop­pe­ment. Au sens strict, le règle­ment sur l’IA n’en­vi­sage pas le rôle de four­nis­seur sans mise sur le mar­ché ou en ser­vice dans l’UE, ce qui va pour­tant à l’en­contre de la volonté claire du légis­la­teur euro­péen de sou­mettre aussi les «four­nis­seurs et déployeurs» de pays tiers au règle­ment sur l’IA «lorsque les sor­ties pro­duites par le sys­tème d’IA sont uti­li­sées dans l’Union». En rai­son de la dif­fé­rence actuelle entre le texte et la volonté du légis­la­teur, il vaut mieux – par pré­cau­tion – par­tir du prin­cipe que les entre­prises qui mettent sur le mar­ché ou en ser­vice un logi­ciel d’IA en dehors de l’UE sous leur propre nom ou leur propre marque sont éga­le­ment consi­dé­rées comme four­nis­seurs si les sor­ties pro­duites par le logi­ciel d’IA sont uti­li­sées dans l’UE.
  • 2. Dans le cas pré­sent, le logi­ciel d’IA est censé, selon sa fina­lité, exa­mi­ner les can­di­da­tures reçues, pro­po­ser des can­di­da­tures appro­priées et infor­mer les can­di­dats d’une réponse posi­tive ou néga­tive, sans inter­ven­tion humaine. Une fois les déci­sions com­mu­ni­quées avec suc­cès, il est rai­son­nable de sup­po­ser que les sor­ties pro­duites par le logi­ciel d’IA seront uti­li­sées dans l’UE et qu’il y a un lien suf­fi­sant avec l’Union. Par cette uti­li­sa­tion dans l’UE des sor­ties pro­duites par le logi­ciel d’IA, les cri­tères quant au rôle de four­nis­seur sont rem­plis et il faut donc res­pec­ter les obli­ga­tions cor­res­pon­dantes.
  • 3. L’éten­due des obli­ga­tions de votre entre­prise en tant que four­nis­seur d’un sys­tème d’IA dépend notam­ment de la caté­go­rie de risque per­ti­nente. Les four­nis­seurs de logi­ciels d’IA à haut risque se voient impo­ser les exi­gences et obli­ga­tions les plus com­plètes. Les sys­tèmes d’IA à haut risque selon le règle­ment sur l’IA sont, entre autres, ceux des­ti­nés à être uti­li­sés pour le recru­te­ment ou la sélec­tion de per­sonnes phy­siques tout en ana­ly­sant et fil­trant les can­di­da­tures, soit exac­te­ment la tâche pré­vue ici. En consé­quence, le logi­ciel d’IA entre dans la caté­go­rie «à haut risque» et votre entre­prise doit se confor­mer à de vastes exi­gences et obli­ga­tions (ges­tion du risque, gou­ver­nance de don­nées, docu­ments tech­niques, super­vi­sion humaine, cyber­sé­cu­rité, éva­lua­tion de la confor­mité, etc.). Les délais de tran­si­tion laissent certes du temps pour assu­rer la com­pliance, mais il convient d’être pré­voyant pour la mise en œuvre des mesures néces­saires (défi­ni­tion de res­pon­sa­bi­li­tés et pro­ces­sus).

Le recours à l’IA implique en outre un trai­te­ment de don­nées rele­vant de la LPD ou du RGPD. Le logi­ciel d’IA ana­lyse les can­di­da­tures sou­mises – et donc des don­nées per­son­nelles – avant de déci­der, sans inter­ven­tion humaine, si elles doivent être trans­mises pour y don­ner suite ou si une réponse néga­tive doit être envoyée aux per­sonnes concer­nées. S’agis­sant de trai­te­ments de don­nées incluant des déci­sions indi­vi­duelles auto­ma­ti­sées, il se peut que des dis­po­si­tions par­ti­cu­lières s’ap­pliquent (p. ex. infor­ma­tion sur le droit d’être entendu et le droit de s’ex­pri­mer). D’autres obli­ga­tions demeurent réser­vées.

J’ai la charge de l’ac­qui­si­tion et intro­duc­tion d’un agent conver­sa­tion­nel (chat­bot) sur notre site web, lequel four­nira au public suisse et étran­ger des ren­sei­gne­ments sur nos pro­duits et pres­ta­tions et répon­dra à des ques­tions simples à leur sujet. À quoi dois-je faire atten­tion au niveau régle­men­taire?.

La mise en œuvre sur le site web d’un chat­bot s’adres­sant aussi à un public qui se trouve dans des pays de l’UE entraîne sans doute l’ap­pli­ca­tion du règle­ment sur l’IA (cf. condi­tions à l’exemple II). Un chat­bot n’est, en soi, pas un logi­ciel d’IA à haut risque. Les four­nis­seurs et déployeurs concer­nés ne sont donc pas sou­mis à de vastes direc­tives et obli­ga­tions. Néan­moins, eux aussi doivent rem­plir cer­taines exi­gences, sur­tout en matière de trans­pa­rence. Le règle­ment sur l’IA sti­pule que les per­sonnes phy­siques doivent être avi­sées qu’elles inter­agissent avec un sys­tème d’IA, sauf si cela res­sort clai­re­ment des cir­cons­tances. Cette obli­ga­tion ne concerne tou­te­fois que les four­nis­seurs et non les déployeurs. Si l’en­tre­prise déve­loppe ou fait déve­lop­per elle-même le dia­lo­gueur, il faut pré­voir une telle infor­ma­tion dans le cadre de la concep­tion et du déve­lop­pe­ment. En revanche, si vous ache­tez le dia­lo­gueur à un tiers, sous la forme de «solu­tion stan­dard», elle pour­rait, sous cer­taines condi­tions, être qua­li­fiée de simple déployeur du logi­ciel d’IA et ne pas être sou­mise à l’obli­ga­tion de trans­pa­rence.

Il n’est pas (encore) entiè­re­ment clair où com­mence l’ac­ti­vité de déve­lop­pe­ment – et donc la qua­lité de four­nis­seur au sens du règle­ment sur l’IA. La ques­tion de savoir dans quelle mesure un «chat­bot stan­dard» d’un four­nis­seur peut être adapté aux besoins d’une entre­prise sans que ces ajus­te­ments ne fassent d’elle un four­nis­seur aura, sans nul doute, une grande impor­tance pra­tique. Il existe de nom­breuses pos­si­bi­li­tés d’adap­ter un logi­ciel d’IA aux besoins indi­vi­duels d’une entre­prise (p. ex. consignes pour les «invites», appren­tis­sage sur don­nées spé­cia­li­sées («fine-tuning»), uti­li­sa­tion de modèles fon­dés sur des «invites» («Retrie­val-Aug­men­ted Gene­ra­tion» (RAG)). L’as­pect déter­mi­nant sera de savoir si les adap­ta­tions contri­buent à déve­lop­per (plus loin) le logi­ciel d’IA à pro­pre­ment par­ler, ce qui pour­rait être le cas avec le fine-tuning, où l’on inter­vient dans le modèle à la base du sys­tème. En revanche, le rai­son­ne­ment pour­rait être dif­fé­rent avec la RAG, car ce n’est alors pas le logi­ciel d’IA lui-même qui est adapté, mais juste les don­nées aux­quelles l’on peut recou­rir dans le cadre du logi­ciel d’IA.

Avant d’ac­qué­rir et d’in­tro­duire un chat­bot, il faut cla­ri­fier – le cas échéant avec le four­nis­seur – la ques­tion de la qua­lité de four­nis­seur, y c. l’exé­cu­tion des devoirs s’y rap­por­tant. Une fois mis en place, le chat­bot ne devrait pas être adapté sans concer­ta­tion préa­lable avec le ser­vice juri­dique. Les ajus­te­ments peuvent en effet, selon les cir­cons­tances, chan­ger le rôle de l’en­tre­prise (de déployeur en four­nis­seur) et, par consé­quent, entraî­ner de nou­velles obli­ga­tions. Afin de cla­ri­fier les logi­ciels d’IA uti­li­sés dans l’en­tre­prise et le rôle reve­nant alors à l’en­tre­prise, il est recom­mandé de tenir un registre. Outre les cas d’usage et le rôle ou devoir en vertu du règle­ment (euro­péen) sur l’IA, celui-ci peut conte­nir des infor­ma­tions sur le pro­prié­taire du logi­ciel concerné, les contrats avec des tiers, le trai­te­ment des don­nées et l’éva­lua­tion des risques.

Enfin, il est là encore utile d’émettre des direc­tives et/ou des consignes d’uti­li­sa­tion sur la manière de se ser­vir du logi­ciel d’IA ou du chat­bot, afin de garan­tir la com­pliance et de sen­si­bi­li­ser les col­la­bo­ra­teurs.