L'application du RGPD a laissé des traces dans les entreprises, nul doute. Et en particulier au sein des équipes DSI et CDO, de par sa complexité, son évolution et l'impérieuse nécessité d'en expliquer les tenants et aboutissants à l'ensemble des employés. Instaurer une culture de la protection des données à caractère personnel dans les organisations a été, et reste un défi. Et si les entreprises comparent souvent les enjeux liés à l'IA Act à ceux du RGPD, les intervenants de la table ronde Big Data & IA 2024 ont tenu à préciser ses importantes spécificités. À commencer par la portée beaucoup générale du RGPD, là où le cadre de l'AI Act se limite aux systèmes d'IA et uniquement, à certains de leurs usages.
Gaëlle Vallée, chief data officer des Galeries Lafayette, a rapidement replacé ces enjeux sur le terrain très concret. Pour la chaîne de grands magasins, la data la plus importante est celle associée au client. Une data sensible ? Pas toujours. Mais à surveiller. Quid par exemple du chatbot genAI que les Galeries Lafayette vont déployer en remplacement de la foire aux questions (FAQ) de leur site. « Dans ce cas d'usage, il n'y a pas vraiment de raison pour que transitent des données très confidentielles, a insisté la CDO. Mais on ne sait jamais. Avec notre DPO, nous nous sommes néanmoins demandé si nous devions anonymiser toutes les conversations ou plutôt supprimer uniquement celles qui contiendraient des données personnelles ». L'entreprise a choisi cette dernière option dans un premier temps, avec un monitoring du volume de conversations concernées. L'objectif étant d'abord d'avoir une connaissance globale sur des questions assez génériques sur l'expérience aux Galeries Lafayette. La CDO compte réévaluer la situation lorsqu'elle livrera une seconde version du chatbot, avec d'autres cas d'usage.
Contrainte ou opportunité, une question complexe d'équilibre
Pour Aldrick Zappellini, directeur data groupe et chief data officer groupe du Crédit Agricole, pour une banque universelle avec de nombreuses activités et 150 000 employés dans de multiples pays, donc une organisation décentralisée, partager les données pour certains cas d'usage spécifiques relève surtout de défis de gouvernance et opérationnel. En effet, pour le CDO, le partage de data demande d'une part, d'assurer un certain niveau de confiance des entités les unes envers les autres et d'autre part, de regarder comment techniquement casser les inévitables silos, partie intégrante de l'existant informatique dans une banque.
« Je suis juriste, a rappelé de son côté Laurence Hadj, group data protection director de Doctolib. J'envisage donc la gestion de la donnée en revenant vraiment à la source du développement de ce droit au sein de l'Union européenne. Et je le compare à la manière dont il a été pensé dans d'autres pays, en particulier aux États-Unis, et plus précisément en Californie ». En Europe, le sujet est ancré dans la protection des libertés et des droits fondamentaux, comme l'a précisé Laurence Hadj, où la protection des données à caractère personnel est considérée comme un droit fondamental. « C'est une approche assez absolutiste et ça donne le RGPD. L'approche américaine est davantage un travail sur la confiance que n'importe quel acteur économique doit apporter dans ses produits et ses services à travers des règles. Il s'agit donc finalement de favoriser le développement des opérateurs qui traitent de la donnée ».
Le sujet central de la transparence des IA
« Dans l'exercice de mon métier, j'essaie de placer la protection des données personnelles au coeur de la stratégie de l'entreprise, et d'en faire un avantage compétitif plutôt que de la voir comme une contrainte. Et en la matière, il est essentiel de faire évoluer le sujet de la transparence pour nos clients sur l'usage que nous faisons de ces data pour renforcer la confiance, leur donner l'intelligibilité de ce process et leur assurer le contrôle sur leurs données personnelles ». Chadi Hantouche, partner du cabinet de conseil Wavestone France, a fait un parallèle avec la cybersécurité souvent vue comme un frein. « La bonne façon de voir le sujet, généralement comprise et adoptée, c'est que les entreprises vont devoir travailler de façon plus contraignante, mais, dans la durée, elles ne survivront pas sans insuffler de la confiance dans ce qu'elles font ».
« J'essaie de placer la protection des données personnelles au coeur de la stratégie de l'entreprise, et d'en faire un avantage compétitif. Et en la matière, il est essentiel de faire évoluer le sujet de la transparence pour nos clients sur l'usage que nous faisons de ces data ». Laurence Hadj, group data protection director de Doctolib. (Photo ED)
Aldrick Zappellini se range résolument du côté de l'opportunité. « Ces règlements ne sont pas forcément faits pour enfermer, mais au contraire constituent des cadres qui permettent de faire du business, à condition de les utiliser de manière sereine ». Le CDO groupe du Crédit Agricole conseille un petit pas de côté. Evoquant les dispositifs de scoring d'octroi de crédit pratiqués depuis des années. « C'était avant le RGPD, mais je n'ai pas le sentiment qu'à l'époque c'était beaucoup plus simple ».
Un indispensable accompagnement par les équipes DPO et data
Il rappelle par ailleurs que, dans un groupe décentralisé comme le Crédit Agricole, l'innovation passe directement sur le terrain, auprès des métiers. Et une innovation dans de bonnes conditions de sécurité inclut la conformité aux réglementations. « Et ce, très tôt dans les cycles d'idéation et de cadrage des projets », insiste le CDO, « de façon à faire de la conformité by design. La réflexion se porte sur un autre terrain qui est de dire, nous devons définir ensemble les conditions les plus sécurisées ... Avec, quand on est décentralisé, des fonctions indispensables de contrôle et de support au service des métiers ». Le CDO pilote par exemple un data lab groupe pour aider les porteurs de projets à définir les meilleures conditions de développement de leurs idées. En amont, le dispositif inclut entre autres le DPO et d'autres compétences juridiques de l'entreprise pour s'assurer que de la conformité des cas d'usage.
« Ma juriste me rappelle en permanence qu'il s'agit de bon sens, poursuit Gaëlle Vallée des Galeries Lafayette empruntant une expression chère au Crédit Agricole. Mais l'arrivée de l'IA générative introduit une rupture. Non pas parce que cela change la réglementation ou les cas d'usage, mais surtout parce que c'est une technologie qui arrive aussi par le biais de nos employés ». Autrement dit, aujourd'hui, ces derniers utilisent l'IA générative dans leur vie personnelle, et s'attendent à en faire autant dans leur travail. Un type d'usage beaucoup plus simple, à la portée du plus grand nombre, contrairement au scoring, par exemple, qui demandait des compétences data spécifiques et restait confiné à certaines équipes », comme l'a noté la CDO. Pour cette raison, les entreprises et leurs équipes data vont devoir accompagner aussi l'ensemble de ces usages en « redonnant des perspectives sur ce qu'il est possible de faire ou pas et dans quelles conditions », estime cette dernière. « Bien sûr, il faut utiliser l'IA générative, rappelle-t-elle. C'est un très bon levier d'efficacité pour l'entreprise, mais il faut l'utiliser de manière responsable et c'est à nous de donner ce cadre-là de la réglementation ».
Anticiper avec une gouvernance adaptée
Sans surprise, l'application de l'AI Act et son accompagnement vont de pair avec la mise en place d'une organisation spécifique qui implique à la fois les équipes data et métier. Aux Galeries Lafayette, comme dans d'autres entreprises, des démarches volontaires ont même souvent précédé les réglementations. La CDO raconte ainsi comment le Data Lab group, structure dédiée à l'innovation et à la R&D a vu son périmètre s'élargir. La chaîne de grands magasins a ainsi travaillé sur l'impact RSE de son usage des data et obtenu plusieurs certifications en la matière. « Puis, nous nous sommes dit que nous devions aussi maîtriser et démontrer ce que nous choisissions de faire ou non avec de l'IA, a poursuivi Gaëlle Vallée. Et quelles sont nos pratiques en matière d'impact environnemental et sociétal de celle-ci. Indépendamment de ce que nous impose le régulateur ».
« Nous nous devons aussi de maîtriser et démontrer ce que nous choisissions de faire ou non avec de l'IA. Et quelles sont nos pratiques en matière d'impact environnemental et sociétal de celle-ci. Indépendamment de ce que nous impose le régulateur ». Gaëlle Vallée, chief data officer des Galeries Lafayette. (Photo ED)
De son côté, le Crédit Agricole a préféré anticiper l'AI Act dès la proposition de régulation par la Commission européenne en 2021. Les équipes data ont proposé à la gouvernance du groupe de créer des structures spécifiques pour ce faire. « Il s'agit en l'occurrence de notre Design authority and technical office [Dato] », a précisé Aldrick Zappellini. « Nous nous sommes appuyés d'une part sur le data group et d'autre part sur un réseau décentralisé de correspondants qui venaient des métiers de l'IT et des fonctions de contrôle, affecté auprès des différentes entités ». L'objectif est de suivre le texte dans son évolution et de voir comment le transposer pour le groupe, y compris dans les exigences système. « L'IA Act ne spécifie pas grand-chose en la matière », a rappelé le CDO.
Suivre très tôt le développement et l'évolution des régulations
Cette entité est rattachée à la direction d'Aldrick Zappellini et à la direction data et IA groupe, elle-même rattachée à une direction en charge de l'IT Group et de la transformation IT. Comme l'a précisé le CDO, c'est une des autorités de ce type avec d'autres sur la cybersécurité ou le numérique responsable, par exemple. La première mission de la Dato consiste à bâtir et à maintenir le code normatif IA du groupe. Ensuite, elle accompagne les porteurs de projet dans le cadre de ces règles communes. « C'est important en particulier, car les interprétations et même les textes évoluent, comme cela a été le cas avec le RGPD », rappelle le CDO. Il s'agit d'organiser des ateliers techniques, de faire évoluer le cadre, mais aussi d'accepter des conditions dérogatoires temporaires le temps de se préparer à l'application de la réglementation.
La Dato a aussi « une mission pédagogique assez évidente qui va durer des années auprès de tous les employés, managers, dirigeants, opérationnels... complète Aldrick Zappellini. Enfin, elle s'assure que ce les solutions communes développées soient bien conformes au cadre normatif qu'elle a édicté. « C'est le cas par exemple avec notre service producteur de plateformes informatiques qui construit des offres communes pour le groupe. Nous orientons ses travaux pour avoir une conformité native des offres informatiques dès la conception ». Une organisation vouée à obtenir une conformité by design.
Un volet normatif dans la taxonomie des risques l'IA
Le CDO a aussi mis en place des dispositifs pour aider les métiers, telle une taxonomie des risques liés à l'IA, qui comprend un volet sur le cadre normatif. « Nous faisons en sorte d'identifier les risques et les méthodes pour les réduire », explique le CDO. « Et nous mettons en place avec la Design Authority un plan et un dispositif d'accompagnement en proximité avec plusieurs niveaux ». Il s'agit d'identifier tous les corps de métiers qui participent à l'acquisition et à la fabrication de systèmes et les exigences qu'ils doivent appliquer. Sur un plan plus opérationnel, de donner un point de contact à ces équipes IT pour la transposition de ces normes dans leur propre méthodologie et, enfin, la mise en place d'une structure au travers de son IA Factory groupe pour « accompagner davantage dans le détail à la fois l'évolution méthodologique des entités, mais aussi la remédiation éventuellement nécessaire dans le cas où nous relèverions des écarts ».
« Avec notre taxonomie, nous faisons en sorte d'identifier les risques et les méthodes pour les réduire. Et nous mettons en place avec nottr Design Authority un plan et un dispositif d'accompagnement en proximité avec plusieurs niveaux ». Aldrick Zappellini, directeur data groupe et chief data officer groupe du Crédit Agricole. (Photo ED)
Du côté des Galeries Lafayette, structure de taille plus modeste que le groupe bancaire, c'est le DPO qui joue le rôle de design authority en quelques sortes, comme l'a précisé Gaëlle Vallée. « Nous le consultons toutes les semaines sur l'ensemble des sujets data. De plus, nos métiers sont très bien informés depuis longtemps. En revanche, sur les impacts de la réglementation, en particulier sur la genAI, nous allons mettre en place de la communication, avec une formation en e-learning, y compris sur le cadre réglementaire, disponible pour tous les employés. En tant qu'employeur, nous avons une responsabilité d'informer et de faire comprendre cette nouvelle technologie. Et le 2e objectif, c'est de s'assurer que chacun comprenne bien la responsabilité qu'il prend en utilisant ce type de technologie ». Depuis 2023, les Galeries Lafayette organisent aussi un comité sur l'IA générative tous les 3 ou 4 mois à destination de l'ensemble du groupe, afin de partager les initiatives internes et d'écouter des fournisseurs de solutions, mais aussi de rappeler aussi la charte de bonnes pratiques.
L'AI Act, une portée bien moins globale que le RGPD
« Bien sûr, l'approche de l'AI act est différente de celle du RGPD, car il ne réglemente que l'IA, et même seulement une partie de l'IA, a insisté Laurence Hadj. Mais cela ne nous empêche pas de mettre en place, en responsabilité, une gouvernance de l'IA interne ». La DPO groupe de Doctolib évoque des contrôles appropriés pour les systèmes d'IA en fonction d'un risque spécifique. Une démarche d'autant plus importante que la réglementation ne vise que les systèmes à haut risque. « L'AI Act en tant que tel ne nous dit pas comment gérer nos systèmes d'intelligence artificielle en interne. Et c'est en cela que ce n'est pas un texte avec une portée globale. Qui plus est, contrairement au RGPD, c'est une réglementation orientée « produits » qui pose le cadre juridique pour protéger la santé et la sécurité des personnes. Car au niveau européen, un système d'intelligence artificielle est perçu comme un produit. C'est donc un cadre qui favorise l'innovation, mais avec des règles de protection des personnes ».
La DPO de Doctolib a néanmoins tenu à apporter un bémol quant à l'optimisme vis-à-vis de ces régulations. Elle a évoqué par exemple le sujet de la pseudonymisation et de l'anonymisation des data dans le cadre du RGPD. Pas de valeur dans l'IA sans d'importants volumes de data, comme elle l'a rappelé. « Pourtant, les règles très strictes imposées en matière d'anonymisation par les autorités européennes de protection de données à caractère personnel font perdre toute cette valeur. »
Une approche pragmatique plutôt qu'absolutiste
« Quand on considère une donnée comme anonyme, elle sort du périmètre de l'application du RGPD », a insisté Laurence Hadj. « Donc, on ne se pose plus la question de l'application de toutes les règles de base juridique d'information des personnes, de droit d'accès, etc. Mais pour rappel, la pseudonymisation, elle, consiste à retirer le caractère directement identifiant des données, sans pour autant qu'on puisse les considérer comme anonymes, puisque le processus en tant que tel ne serait pas irréversible. Mais s'il y a une possibilité même infime et théorique de réidentification, on ne peut pas considérer la donnée comme anonyme et donc elle est soumise à l'intégralité des règles du RGPD ». Selon Laurence Hadj, cette règle peut poser de sérieux problèmes s'il faut ressortir des modèles d'intelligence artificielle des données parce qu'une personne a exercé son droit à la suppression. « Donc, je prône de revenir vers un peu de de pragmatisme sur l'analyse de ce qu'on attend de la pseudonymisation. Plutôt que l'approche absolutiste, je préférerais une approche relative qui requiert que l'on apporte les preuves d'un risque d'identification, avec des règles plus souples pour entraîner sereinement nos modèles d'IA ».