Le marché se structure autour de différents acteurs : ceux qui assemblent des bases de données ; d’autres qui développent et entrainent des modèles d’IA -on commence à parler de fournisseurs de « model-as-a-service » -et des acteurs qui intègrent ces modèles dans des solutions métiers. C’est le cas par exemple de l’intégration d’un modèle de langage LLM dans une application de chatbot qui est un des principaux cas d’usage en cours de déploiement. L’application finale est alors interfacée par une API au fournisseur du modèle.

Mais alors que les usages se répandent, et que les technologies ne sont pas encore matures, certaines entreprises qui utilisent ces systèmes ont connu leurs premiers déboires. La presse s’est ainsi faite l’écho d’un chatbot ayant répondu à un client que ce dernier serait mieux servi par un être humain ! Air Canada a été condamnée à honorer des remises accordées par erreur par son chatbot. Dans le domaine des ressources humaines, en réponse au prompt :  « donne moi les fiches de paie de la direction » : l’IA a fournit lesdites fiches de paie.

Avec l’intégration de Copilot, basé sur OpenAI, dans Microsoft 365, pour analyser des données Excel, concevoir des présentations PowerPoint et résumer des réunions Teams, l’adoption de l’outil risque de s’accélérer sans les gardes fous nécessaires. Même si ce type d’application est vendue comme à priori sécurisée, il existe un risque que le fournisseur du service de modèle puisse, via ses API, déduire toute une série de données commerciales, industrielles, des entreprises clientes. D’où l’importance d’encadrer ces nouveaux usages.

En l’absence de règlementation fédérale aux Etats-Unis, la régulation de l’IA est assurée par les agences gouvernementales existantes et les tribunaux. La Federal Trade Commission s’est ainsi prononcée en janvier 2024 sur la destruction de modèles développés à l'aide de données obtenues illégalement. On peut aussi noter plusieurs class actions en cours pour violation de la vie privée, avec des demandes d’injonctions pour la mise en place d’une supervision humaine et de protocoles éthiques.

En Europe, le Parlement Européen vient d’approuver le règlement sur l’IA, qui sera formellement adopté en avril puis pleinement applicable selon un calendrier de 6 à 36 mois en fonction de la dangerosité. Au niveau de la France, sa mise en œuvre pourrait s’appuyer sur les autorités de contrôle existantes, chacune selon leur champ de compétence : marché financier, protection des données, répression des fraudes, etc.

La CNIL n’a toutefois pas attendu l’IA Act pour s’intéresser à la régulation de l’IA et a déjà publié une première série de recommandations en 2022, suivies en décembre dernier par des fiches pratiques sur la création de bases de données utilisées pour entrainer des IA et impliquant le traitement de données personnelles. Toute entreprise utilisatrice de système d’IA, devra réaliser une étude d’impacts par IA utilisé. La CNIL fournit des recommandations pour la réalisation de ces études, les facteurs de risque à prendre en compte, notamment la maturité et la prévisibilité des modèles. Vous pourrez par ailleurs vous appuyer sur les études réalisées en amont par les éditeurs de systèmes d'IA, ainsi que sur la documentation technique exigée par l'IA Act.

Notre recommandation : ne laisser pas les IA pénétrer les usages de votre entreprise sans encadrer ces usages.