News

Quels sont les cas d’usage de l’IA dans la Gouvernance de l’Information et quelles seront les règles à respecter en regard de l’IA ACT et du RGPD ?

Gilles d'Arpa

7 novembre 2024

Les types d’IA et leur performance

L’usage de l’IA dans la Gouvernance de l’Information va se développer avec des niveaux de performance exceptionnels grâce à la combinaison de plusieurs types d’IA : IA à base de règles, machine learning, deep learning, IA générative. Selon le cas d’usage, on combinera une ou plusieurs de ces IA pour atteindre des résultats avec un niveau de véracité supérieur à 90%.

Certaines de ces IA existent depuis 50 ans (IA à base de règles, extraction d’entités nommées) ou le machine learning. D’autres plus récentes, tel le deep learning avec des technologies comme les vecteurs de sens, pour finir par l’usage de l’IA générative qui est un type de deep learning particulier, existent depuis 10 à 25 ans. C’est la combinaison de ces techniques qui va apporter une capacité à automatiser les traitements jamais atteinte auparavant. Il faut cependant bien comprendre que si une IA à base de règles est 100% juste, les IA à base de deep learning, machine learning, IA générative ne font que supposer la réponse, mais avec un taux de fiabilité très élevé. Dans ce contexte, il s’agira de définir le niveau de confiance en dessous duquel on demandera une vérification manuelle et ce en fonction de la sensibilité des documents.

Quels cas d’usage de l’IA dans la Gouvernance de l’Information ?

Les cas d’usage vont apporter des gains en matière d’amélioration de la productivité, de conformité ou de facilité d’usage :

Cas d’usage avec un fort gain de productivité :
- l’autoclassification des contenus
- l’enrichissement de métadonnées
- la réponse automatisée à des courriers
- la création de résumés

Cas d’usage facilitant la conformité réglementaire
- l’autoclassification des contenus
- l’enrichissement de métadonnées

Cas d’usage facilitant l’usage
- le chat sur un document
- l’interrogation en langage naturel d’une base de documents
- la création de résumés

Que ce soit dans le cadre du traitement global de contenus de leurs lieux de création (SharePoint, messageries, documents sur des files systems…) jusqu’à la destruction ou l’archivage à valeur légale ou simplement patrimoniale, l’usage de l’IA composite va permettre d’automatiser fortement et d’apporter un ROI important. La classification automatisée des documents avec un pourcentage de confiance en dessous duquel on fera un contrôle manuel, mais avec des préconisations, permettra de traiter facilement le tout venant des contenus tout en portant une attention renforcée sur les contenus sensibles. De même l’enrichissement de métadonnées participera à ce mouvement.

Ainsi, le Saint Graal des archivistes visant à gérer de bout en bout l’information malgré des volumes de données gigantesques et en augmentation deviendra plus facilement réalité.

La volonté des RSSI / des départements juridiques d’identifier la sensibilité des documents ou les données personnelles ou contractuelles pertinentes deviendra faisable.

Quelles sont les règles applicables liées à l’IA Act et au RGPD ?

Pour autant, utiliser l’IA dans la gestion de contenus électroniques doit respecter l’IA Act européen et le RGPD.

L’IA Act, entré en vigueur le 1er août 2024, sera sanctionnable en cas de non-respect dès 2026 avec des amendes allant jusqu’à 4% du chiffre d’affaires ou un maximum de 30 millions d’euros d’amende. L’IA Act introduit comme préalable le respect du RGPD. Lequel aussi est assorti de sanctions. La CNIL sera l’organisme de tutelle en la matière en France. Dans l’Union européenne les différentes autorités nationales de protection des données en seront les garants. Ces entités se coordonnent au sein de l’EDPB (European Data Protection Board)

L’IA Act, introduit une classification des systèmes d’IA en fonction de leur niveau de risque, et impose des exigences particulières par niveau de risque. Ceux-ci sont au nombre de 4 :

inacceptable : donc interdit. Scoring social, identification biométrique, police prédictive, reconnaissance des émotions en public ou au travail

élevé : identification biométrique à distance, évaluation dans l’éducation, recrutement, processus, RH, justice, évaluation de la crédibilité des informations

modéré : chatbot vis-à-vis de clients, génération de contenus, systèmes de recommandations, filtrage de contenus en ligne, publicité ciblée, systèmes de notation

minimal : tout le reste. On peut citer les outils d’automatisation bureautique, assistance à l’écriture, jeux vidéo…

La gestion de contenu entre dans les catégories modérées et minimales.

Dans le cadre minimal, il n’y a aucune obligation particulière. En regard des cas d’usages cités on peut y mettre : l’enrichissement de métadonnées, chat sur un document, l’interrogation d’une base en langage naturel… tant que l’on est sur des cas d’usage en interne de l’entreprise.

Dans le cadre modéré, on peut y trouver l’autoclassification de contenus, les réponses automatisées ou l’usage de résumés pour l’extérieur de l’entreprise. L’autoclassification de contenus peut, selon les catégories créées, relever du niveau modéré ou minimal. En effet est considéré comme risque modéré les systèmes qui peuvent néanmoins influencer les droits et les intérêts des individus sans avoir de conséquences graves sur les droits fondamentaux, la sécurité ou la santé des utilisateurs.

Quelles sont les règles pour les IA à risque modéré ?

Les systèmes à risque modéré doivent répondre à des critères stricts tels que la transparence, la fiabilité et la sécurité.

Il est crucial de procéder à une évaluation des risques liés à l’IA et d’établir une documentation technique détaillée sur les algorithmes utilisés, leur fonctionnement, et les données traitées.

Le préalable de la conformité au RGPD

D’autre part, l’IA Act exige comme préalable la conformité au RGPD.

Le RGPD demande que l’utilisation de l’IA respecte les principes de protection des données : limitation de la collecte au strict nécessaire, anonymisation ou pseudonymisation des données sensibles, et consentement explicite des utilisateurs lorsque des données personnelles sont impliquées.

Quelles conséquences organisationnelles ?

Les entreprises doivent documenter les fonctionnalités et les mécanismes de prise de décision de systèmes d’IA de manière à pouvoir le présenter en cas de demande des autorités ou d’un client/usager.

Des mesures doivent être instaurées pour fournir des explications claires aux utilisateurs concernant les décisions prises par l’IA, en leur permettant de contester des décisions automatisées si nécessaire.

En pratique, cela signifie que chaque système d’IA doit être documenté avec des preuves de conformité aux exigences de transparence, de sécurité et de non-discrimination.

Un point particulier : les systèmes d’IA utilisant des données personnelles se connectant à des IA en ligne non conformes au RGPD seront en infraction. On pense à OpenIA, Meta, Copilot qui sont tous détenus par des sociétés américaines qui ne sont pas conformes au RGPD car soumis aux contraintes de l’executive order 13 333 et au corruption Act américain.

Les sociétés doivent, idéalement, mettre en place des mécanismes de contrôle et d’audit pour détecter et corriger d’éventuels biais ou dérives dans les systèmes d’IA. Le risque est faible sur les IA à risque modéré et par ailleurs les technologies d’explicabilité des IA ne sont pas au point.

Enfin, il est impératif de désigner un responsable de la protection des données (DPO) pour superviser et gérer les questions de conformité RGPD, ainsi qu’un comité de suivi pour les exigences spécifiques de l’IA Act, garantissant une supervision régulière et une mise à jour continue des pratiques en fonction des évolutions réglementaires.

Cookie	Durée	Description
__cf_bm		Ce cookie, défini par Cloudflare, est utilisé pour prendre en charge Cloudflare Bot Management.
__cfruid		Cloudflare définit ce cookie pour identifier le trafic web de confiance.
__hssrc	session	Ce cookie est défini par Hubspot. Selon leur documentation, chaque fois que HubSpot modifie le cookie de session, ce cookie est également défini pour déterminer si le visiteur a redémarré son navigateur. Si ce cookie n'existe pas lorsque HubSpot gère les cookies, on considère qu'il s'agit d'une nouvelle session.
_GRECAPTCHA		Le service Google Recaptcha définit ce cookie pour identifier les robots afin de protéger le site web contre les attaques de spam malveillantes.
cli_user_preference	1 year	Enregistre l'état du consentement de l'utilisateur en matière de cookies.
cookielawinfo-checkbox-advertisement	1 day	Le cookie est défini par le GDPR cookie consent pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 day	Ce cookie est défini par le plugin WordPress GDPR Cookie Consent. Le cookie est utilisé pour mémoriser le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-functional	1 day	Le cookie est défini par le GDPR cookie consent pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-necessary	1 day	Ce cookie est défini par le plugin GDPR Cookie Consent. Il est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 day	Ce cookie est défini par le plugin GDPR Cookie Consent. Il est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Autres".
cookielawinfo-checkbox-performance	1 day	Ce cookie est défini par le plugin GDPR Cookie Consent. Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Performance".
CookieLawInfoConsent		CookieYes définit ce cookie pour enregistrer l'état du bouton par défaut de la catégorie correspondante et le statut de l'ACCP. Il ne fonctionne qu'en coordination avec le cookie principal.
elementor	never	Ce cookie est utilisé par le thème WordPress du site web. Il permet au propriétaire du site de mettre en œuvre ou de modifier le contenu du site en temps réel.
PHPSESSID		Ce cookie est natif des applications PHP. Il stocke et identifie l'identifiant de session unique d'un utilisateur afin de gérer les sessions des utilisateurs sur le site web. Il s'agit d'un cookie de session qui sera supprimé lorsque toutes les fenêtres du navigateur seront fermées.
pll_language	1 year	Ce cookie est défini par le plugin Polylang pour les sites web alimentés par WordPress. Ce cookie stocke le code de la langue de la dernière page consultée.
rc::a	never	Ce cookie est mis en place par le service Google recaptcha pour identifier les robots afin de protéger le site web contre les attaques de spam malveillantes.
rc::b	session	Ce cookie est mis en place par le service Google recaptcha pour identifier les robots afin de protéger le site web contre les attaques de spam malveillantes.
rc::c	session	Ce cookie est mis en place par le service Google recaptcha pour identifier les robots afin de protéger le site web contre les attaques de spam malveillantes.
rc::f	never	Ce cookie est mis en place par le service Google recaptcha pour identifier les robots afin de protéger le site web contre les attaques de spam malveillantes.
viewed_cookie_policy	1 year	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour enregistrer si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
wpEmojiSettingsSupports	session	WordPress place ce cookie lorsqu'un utilisateur interagit avec des emojis sur un site WordPress. Il permet de déterminer si le navigateur de l'utilisateur peut afficher correctement les emojis.

Cookie	Durée	Description
__hssc	30 minutes	Ce cookie est mis en place par HubSpot. Le but de ce cookie est de garder une trace des sessions. Il est utilisé pour déterminer si HubSpot doit incrémenter le numéro de session et les horodatages dans le cookie __hstc. Il contient le domaine, viewCount (incrémente chaque pageView dans une session), et l'horodatage du début de la session.
li_gc		Linkedin utilise ce cookie pour enregistrer le consentement du visiteur concernant l'utilisation de cookies à des fins non essentielles.
lidc		LinkedIn utilise le cookie lidc pour faciliter la sélection des centres de données.
UserMatchHistory		LinkedIn définit ce cookie pour la synchronisation de l'ID des annonces LinkedIn.
yt-player-headers-readable	never	Le cookie yt-player-headers-readable est utilisé par YouTube pour enregistrer les préférences de l'utilisateur en matière de lecture vidéo et d'interface, afin d'améliorer l'expérience de visionnage de l'utilisateur.
yt-remote-cast-available	session	Le cookie yt-remote-cast-available est utilisé pour stocker les préférences de l'utilisateur concernant la disponibilité de la diffusion sur son lecteur vidéo YouTube.
yt-remote-cast-installed	session	Le cookie yt-remote-cast-installed est utilisé pour stocker les préférences du lecteur vidéo de l'utilisateur lors de l'utilisation de vidéos YouTube intégrées.
yt-remote-fast-check-period	session	Le cookie yt-remote-fast-check-period est utilisé par YouTube pour stocker les préférences du lecteur vidéo de l'utilisateur pour les vidéos YouTube intégrées.
yt-remote-session-app	session	Le cookie yt-remote-session-app est utilisé par YouTube pour stocker les préférences de l'utilisateur et des informations sur l'interface du lecteur vidéo intégré de YouTube.
yt-remote-session-name	session	Le cookie yt-remote-session-name est utilisé par YouTube pour stocker les préférences du lecteur vidéo de l'utilisateur lors de l'utilisation de vidéos YouTube intégrées.
ytidb::LAST_RESULT_ENTRY_KEY	never	Le cookie ytidb::LAST_RESULT_ENTRY_KEY est utilisé par YouTube pour stocker le dernier résultat de recherche sur lequel l'utilisateur a cliqué. Cette information est utilisée pour améliorer l'expérience de l'utilisateur en fournissant des résultats de recherche plus pertinents à l'avenir.

Cookie	Durée	Description
_first_pageview		Il s'agit d'un cookie de session placé lors du premier affichage de la page à chaque visite. Ce cookie est utilisé pour activer certains codes lors du premier affichage de la page et pour améliorer la vitesse du site web.
AMCV_*AdobeOrg		Adobe-Dtm utilise ce cookie pour trouver l'identifiant unique qui permet de reconnaître l'utilisateur lors de ses prochaines visites.
AMCVS_*AdobeOrg		Adobe-Dtm utilise ce cookie pour stocker un identifiant unique permettant d'identifier un visiteur unique.

Cookie	Durée	Description
__hstc	1 year 24 days	Ce cookie est mis en place par Hubspot et est utilisé pour suivre les visiteurs. Il contient le domaine, l'utk, l'horodatage initial (première visite), le dernier horodatage (dernière visite), l'horodatage actuel (cette visite) et le numéro de session (incrémenté pour chaque session suivante).
_jsuid		Clicky utilise ce cookie pour stocker des informations sur la première visite d'un utilisateur sur le site.
_pk_ses.1.00ba		Permet le stockage temporaire de vos données de visite (si la mesure d’audience Piwik/Matomo est active)
AnalyticsSyncHistory		Linkedin utilise ce cookie pour stocker des informations sur l'heure à laquelle une synchronisation a eu lieu avec le cookie lms_analytics.
cluid	9 hours	Ce cookie est utilisé pour les sites web qui ont plusieurs domaines afin d'identifier le même visiteur à travers plusieurs domaines.
CONSENT	16 years 5 months 19 days 15 hours	Ces cookies sont installés via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur, par exemple, le nombre de fois que la vidéo est affichée et les paramètres utilisés pour la lecture. Aucune donnée sensible n'est collectée, sauf si vous vous connectez à votre compte Google, auquel cas vos choix sont liés à votre compte, par exemple si vous cliquez sur "J'aime" sur une vidéo.
demdex		Le cookie demdex, placé sous le domaine demdex.net, est utilisé par Adobe Audience Manager pour aider à identifier un visiteur unique à travers les domaines.
hubspotutk	1 year 24 days	Ce cookie est utilisé par HubSpot pour garder une trace des visiteurs du site web. Ce cookie est transmis à Hubspot lors de la soumission d'un formulaire et utilisé lors de la déduplication des contacts.
s_cc		Adobe Analytics utilise ce cookie pour déterminer si les cookies sont activés dans le navigateur de l'utilisateur.
vuid	2 years	Le domaine de ce cookie est la propriété de Vimeo. Ce cookie est utilisé par Vimeo pour collecter des informations de suivi. Il définit un identifiant unique pour intégrer des vidéos sur le site web.

Cookie	Durée	Description
bcookie		LinkedIn met en place ce cookie à partir des boutons de partage LinkedIn et des balises publicitaires pour reconnaître les identifiants de navigateur.
bscookie		LinkedIn utilise ce cookie pour mémoriser les actions effectuées sur le site web.
li_sugr		LinkedIn utilise ce cookie pour collecter des données sur le comportement des utilisateurs afin d'optimiser le site web et de rendre les publicités sur le site web plus pertinentes.
PREF	8 months	Le cookie PREF est défini par Youtube pour stocker les préférences de l'utilisateur telles que la langue, le format des résultats de recherche et d'autres personnalisations pour les vidéos YouTube intégrées dans différents sites.
test_cookie	15 minutes	Ce cookie est mis en place par doubleclick.net. Le but de ce cookie est de déterminer si le navigateur de l'utilisateur accepte les cookies.
VISITOR_INFO1_LIVE	5 months 27 days	Ce cookie est mis en place par Youtube. Il est utilisé pour suivre les informations relatives aux vidéos YouTube intégrées sur un site web.
YSC	session	Ce cookie est mis en place par Youtube et est utilisé pour suivre les vues des vidéos intégrées.
yt.innertube::nextId		YouTube utilise ce cookie pour enregistrer un identifiant unique afin de stocker des données sur les vidéos de YouTube que l'utilisateur a vues.
yt.innertube::requests		YouTube utilise ce cookie pour enregistrer un identifiant unique afin de stocker des données sur les vidéos de YouTube que l'utilisateur a vues.