L’intelligence artificielle (IA) continue de transformer les lieux de travail à un rythme rapide; toutefois, parallèlement au déploiement souvent approuvé d’outils comme Microsoft Copilot ou Google Gemini, une tendance plus tranquille s’est dessinée : l’IA parallèle. Pour les organisations, il ne s’agit pas seulement d’une question de TI; il s’agit d’une question de conformité, de gouvernance et de responsabilité qui exige qu’elles reconnaissent et prennent des mesures concrètes pour y remédier.
Qu’est-ce que l’IA parallèle?
L’IA parallèle se produit lorsque les employés adoptent des outils d’IA pour accélérer ou automatiser des tâches, comme la rédaction de documents, la synthèse de réunions ou l’analyse de données, à l’insu de leur organisation ou sans son approbation.
La prévalence de l’IA occulte a notamment été signalée comme étant importante : un rapport récent de MIT’s Project NANDA indique que seulement 40 % des entreprises sondées ont acheté un abonnement officiel à la GML, mais les employés de plus de 90 % des entreprises sondées ont déclaré utiliser régulièrement des outils d’IA personnels.
Pourquoi les employés se tournent-ils vers l’IA parallèle
La dépendance des employés à l’IA parallèle sera probablement motivée par une combinaison de facteurs pratiques et organisationnels. Par exemple, les employés peuvent se tourner vers l’IA parallèle pour faire face aux pressions croissantes sur la productivité et pour respecter plus efficacement les échéanciers exigeants. De plus, les plateformes d’IA grand public (comme ChatGPT) sont facilement accessibles, ce qui en fait une option facile et immédiate pour les employés qui recherchent un soutien rapide ou une efficacité accrue. Dans les environnements où les solutions d’IA approuvées ou de qualité entreprise sont limitées, lentes à déployer ou inexistantes, les employés peuvent par défaut s’inspirer de l’IA pour combler le vide. Ce comportement peut être renforcé par : i) des politiques internes imprécises; ii) des outils officiels qui ne répondent pas adéquatement aux besoins des employés; (iii) une formation limitée sur les outils officiels; et (iv) un manque général de sensibilisation aux risques liés à l’utilisation de systèmes d’IA non autorisés. Dans certains cas, les employés sont également motivés par le désir d’innover, d’expérimenter ou de suivre le rythme de leurs pairs qui adoptent de manière informelle des outils non autorisés, ce qui, collectivement, accélère le recours accru à l’IA parallèle.
Principaux risques pour les organisations
Bien que les employés puissent se tourner vers des outils d’IA non approuvés sans mauvaise intention, les conséquences pour l’organisation peuvent être importantes.
Par exemple, dans le contexte de l’IA parallèle, des recherches récentes indiquent que plus de 80 % de l’utilisation de l’IA parallèle (AMJ) au sein d’une organisation peut servir aux employés à obtenir des conseils pratiques, à obtenir de l’information ou à améliorer leurs compétences en communication avec un tiers outil non autorisé.
Par conséquent, lorsque les employés utilisent des outils d’IA parallèle, l’organisation peut être exposée aux risques suivants :
- l’employé utilise un outil d’IA parallèle pour prendre des décisions;
- l’employé s’appuie sur des renseignements ou des résultats inexacts ou trompeurs (p. ex., certains outils d’IA générative peuvent « halluciner » ou « confabuler »)
- l’employé ne parvient pas à acquérir les compétences et l’expérience nécessaires pour réussir dans son rôle et progresser au sein de l’organisation
Par conséquent, il est peu probable qu’un employé qui utilise l’IA parallèle pour résumer des documents qu’il ne comprend pas lui-même pour appuyer une décision qu’il doit prendre soit en mesure de relever les erreurs ou les omissions dans ce résumé, ou les risques introduits dans le processus décisionnel.
Ces risques ont des incidences très variées sur l’organisation en ce qui concerne la gouvernance, les contrôles, l’audit et le perfectionnement des employés.
Voici d’autres risques pour une organisation :
- les employés effectuent rarement le contrôle préalable nécessaire sur un outil d’IA non approuvé avant de l’utiliser. Cela donne lieu à de nombreuses questions ouvertes concernant le fournisseur, l’outil, le rendement ou l’efficacité de l’outil, etc.;
- les outils non approuvés manquent souvent de mesures de protection adéquates, créant de graves vulnérabilités de sécurité;
- lorsque les renseignements confidentiels d’une organisation (p. ex., transcriptions de réunions, contrats, renseignements sur les clients ou secrets commerciaux) sont téléchargés dans une IA parallèle, les organisations perdent le contrôle sur la façon dont ces données peuvent être utilisées, stockées, protégées ou communiquées;
- l’utilisation d’outils d’IA non approuvés peut créer une non-conformité réglementaire. Du point de vue de la protection de la vie privée, par exemple, la non-conformité peut découler : i) de la communication non autorisée de renseignements personnels à un fournisseur d’IA non approuvé; ii) de l’utilisation non autorisée de ces renseignements par ce fournisseur; et (iii) du transfert non autorisé de ces renseignements par ce fournisseur à des territoires de compétence sans les consentements nécessaires et/ou les évaluations des facteurs relatifs à la vie privée;
- si le fournisseur d’un outil non approuvé subit une atteinte, l’organisation peut même ignorer que des renseignements personnels dont elle a la gestion ont été compromis;
- comme nous l’avons mentionné dans une blog antérieur, les accords conclus avec les vendeurs ne fournissent souvent que des garanties minimales quant aux performances ou à la fiabilité de l’application, et comportent des limitations de responsabilité radicales par lesquelles les vendeurs tentent d’exclure leur responsabilité dans pratiquement tous les cas;
- l’IA parallèle contourne les contrôles d’une organisation, créant des angles morts de sécurité que l’organisation pourrait ne pas être en mesure de détecter ou de surveiller efficacement;
- l’IA parallèle peut entraîner des inefficacités techniques (p. ex., en créant des flux de données fragmentés, des intégrations redondantes et des paramètres non pris en charge qui perturbent la cohérence et l’évolutivité de l’architecture de l’organisation);
- l’IA parallèle peut également entraîner des inefficiences financières (c.-à-d. qu’une organisation peut payer pour des solutions approuvées que les employés ignorent au profit de solutions de rechange non autorisées) enfin, un seul incident mettant en cause, par exemple, des renseignements confidentiels d’une organisation peut : i) porter atteinte à la réputation de l’organisation et (ii) donner lieu à des poursuites coûteuses.
Stratégies d’atténuation des risques liés à l’IA parallèle
Les organisations devraient adopter une approche proactive et structurée pour gérer les risques associés à l’utilisation non autorisée de l’IA. Cela commence par la mise en œuvre de politiques de gouvernance claires qui définissent quels outils d’IA sont approuvés, les circonstances dans lesquelles ils peuvent être utilisés, et des règles strictes interdisant le téléchargement de données sensibles ou confidentielles vers des plateformes non approuvées. Ces politiques devraient être intégrées aux cadres de conformité et de gouvernance plus larges de l’organisation afin d’en assurer l’uniformité et l’applicabilité.
Le renforcement des programmes de formation et de sensibilisation est tout aussi important. Les initiatives de littératie obligatoire en matière d’IA devraient éduquer les employés sur leurs responsabilités lorsqu’ils interagissent avec les outils d’IA et mettre en évidence les implications juridiques, réglementaires et organisationnelles de l’IA parallèle. La sensibilisation favorise un comportement responsable et réduit les risques d’accident.
Questions de visibilité : sans surveillance, les politiques peuvent avoir une utilité limitée. Par conséquent, les organisations devraient mettre en œuvre des outils qui permettent de suivre l’utilisation de l’IA dans l’ensemble de l’entreprise et d’effectuer des audits réguliers pour détecter l’utilisation non autorisée de l’IA parallèle. La détection précoce permet d’apporter des mesures correctives en temps opportun et réduit la probabilité d’un risque systémique.
Enfin, pour réduire la dépendance envers les plateformes non approuvées, il faut offrir des solutions de qualité supérieure. Le fait de fournir des outils d’IA sanctionnés dotés de contrôles de sécurité et de gouvernance des données robustes, tout en veillant à ce qu’ils soient conviviaux, accessibles et efficaces, encourage l’adoption et réduit la tentation pour les employés de se tourner vers l’IA parallèle.
Conclusion
L’IA parallèle est un risque structurel qui peut exposer les organisations, entre autres, à la perte de renseignements confidentiels, au non-respect de la réglementation, à une atteinte à la réputation et à des atteintes coûteuses aux données. La solution n’est pas d’interdire carrément l’IA : de telles mesures i) ne réussiraient probablement pas à réduire l’incidence de l’IA parallèle et (ii) entraveraient le potentiel de l’organisation à tirer parti des avantages de cette technologie. L’approche la plus efficace consiste plutôt à mettre en œuvre une habilitation contrôlée, une transparence et une gouvernance solide.
En prenant des mesures proactives, les organisations peuvent habiliter leurs employés à exploiter l’IA de façon responsable. De telles mesures devraient permettre d’atteindre un juste équilibre entre l’innovation et la conformité, tout en assurant la compétitivité et la sécurité dans un monde axé sur l’IA.
Si vous souhaitez obtenir des conseils sur la conception de cadres de gouvernance ou la révision de vos politiques actuelles en matière d’IA, nous vous invitons à communiquer avec l’un des auteurs de ce billet de blogue.
