Au cours des dernières années, et encore plus récemment, l’évolution et le développement de l’intelligence artificielle (IA) s’est de plus en plus immiscée dans les pratiques des domaines du marketing. N’en témoigne qu’une récente étude de McKinsey, portant sur diverses régions, secteurs et tailles d’entreprises dans le monde, qui a souligné la croissance significative de la valeur générée par l’IA au fil des années, prouvant que le marketing et les ventes étaient les domaines qui bénéficiaient le plus d’une augmentation de revenus.

Pourquoi de l’IA dans les domaines du marketing? Force est d’admettre qu’avec l’adoption massive du numérique à large échelle, les comportements des consommateur·rices se sont transformés et sont donc devenus par le fait même plus imprévisibles aux yeux des marketeur·euses. Dans ce contexte, l’IA devient un outil précieux puisqu’elle a la capacité d’analyser d’énormes quantités de données et même de réagir en temps réel. Or, l’utilisation de l’IA ne se fait pas sans poser de sérieuses questions. Car, comment pouvons-nous garantir que les actifs d’IA générative, comme ceux générés par Google Analytics, par exemple, peuvent être utilisés en toute sécurité du point de vue de la loi ? Lucie Tornier, LL.M., stagiaire en droit chez ROBIC s.e.n.c.r.l., et Caroline Jonnaert, LL.D., associée, avocate et agente de marques chez ROBIC s.e.n.c.r.l., ont démêlé quelques questions juridiques concernant l’IA. On les remercie grandement de nous avoir sauvé un mal de tête, d’ailleurs.

Quels genres d’enjeux sont « en jeu » dans l’utilisation de l’IA ?
Le droit d’auteur
« Les enjeux sont multiples et couvrent diverses industries, car l’IA générative peut être utilisée dans une multitude de contextes », expliquent les deux avocates. Alors, y-a-t’il une principale problématique qui peut toucher plusieurs domaines ? « Oui. Pour ne prendre qu’un exemple dans le domaine de la propriété intellectuelle, les enjeux sont majeurs en ce qui a trait au droit d’auteur et sa protection. S’il y a bien un domaine dans lequel l’enjeu de l’utilisation de l’IA va s’accroître dans les prochaines années est celui du droit d’auteur. Il est vraisemblable que les questions liées à l’incorporation de l’IA dans le domaine de la création vont devoir être clarifiées par les législations à plus ou moins long terme. Car l’acte créatif, que l’on pensait jusqu’alors le propre de l’Homme, est désormais concurrencé par la machine, et le Droit peine à trouver des solutions conciliantes sur ce point. »

Et si on creusait davantage cette question du droit d’auteur, qu’est-ce qui en est l’enjeu principal ? « La question centrale, qui est de savoir quels droits sont rattachés à la production ainsi créée, est le sujet de nombreux débats devant les juridictions du monde entier. Les juridictions sont relativement constantes sur ce point et refusent de protéger des créations produites sans intervention humaine, le droit d’auteur étant pour le moment toujours déclenché par une empreinte créatrice humaine, excluant de ce fait des œuvres créées de manière « autonome » par des machines. À partir de quel seuil est-il possible de considérer qu’il y a une intervention humaine donnant naissance à une œuvre originale par une IA ? Et comment quantifier ce seuil pour savoir quand il a été franchi. » Ces réponses sont encore floues sur le plan de la loi, ce faisant, encore complexe.

Cyberattaques et renseignements personnels
Avec le Deep Learning, le Big Data et les nouveaux outils comme ChatGPT ou Midjourney, les cyberattaques deviennent plus trompeuses que jamais. Les hackeur·euses ont même commencé à utiliser l’IA pour améliorer certains logiciels malveillants qui leur permet alors de déjouer les filtres de sécurité en contournant les mesures mises en place. Mais ce langage et tout ce qui entoure l’IA est compliqué à déchiffrer. Comment expliquer au commun des mortels les plus grands enjeux de cyberattaques avec l’utilisation de l’IA ? «Le premier risque, c’est l’absence de traçabilité de la réponse donnée par ces machines : l’apprentissage par l’exemple est l’une des forces les plus puissantes et les plus mystérieuses de l’intelligence humaine. Le cerveau, lorsqu’il est exposé à des exemples répétés, peut identifier leurs qualités essentielles qui sont ensuite regroupées dans des « protocoles de décision » qui nous donnent la capacité de catégoriser automatiquement et inconsciemment nos nouvelles expériences. C’est en substance l’essence même d’une IA générative, qui fonctionne sur le même schéma. Cependant, tout comme notre intelligence humaine, nous n’avons aucune idée de la manière dont un système d’apprentissage profond parvient à ses conclusions. Il y a longtemps qu’il a «perdu la trace» des données qui l’ont guidé dans sa prise de décision, qu’il n’est pas capable de monitorer. Cette incapacité à voir comment les systèmes d’IA prennent leurs décisions est connue sous le nom de «Black Box Problem». Cela pose différentes problématiques, notamment parce qu’il est difficile de venir corriger une IA générative lorsqu’elle donne une mauvaise information, car il est impossible de remonter le chaînon de réflexion l’ayant conduite à proposer la donnée erronée.»

Photo : Philipp Katzenberger

Cyberattaques et données empoisonnées
La plupart des infrastructures web (moteurs de recherches, sites commerciaux, réseaux sociaux, etc.) disposent maintenant d’un système de recommandation basé sur l’apprentissage automatique (deep learning et compagnie). Ces modèles d’apprentissage automatiques se servent des données de parcours des internautes pour améliorer les recommandations. Or, le but de certaines cyberattaques est d’influencer et de fausser ces systèmes de recommandation, que ce soit pour servir la désinformation, les escroqueries, l’altération de l’opinion publique, le discrédit d’individus ou de marques. « L’empoisonnement des données, indique le rapport de la fondation OWASP (Open Web Application Security Project) sur les 10 plus grands enjeux de sécurité dans le cadre des IA, peut compromettre un modèle entier, ce faisant, les utilisateur·rices et les marketeur·euses s’exposent tous et toutes à un modèle compromis et donc à des informations incorrectes. »

Fuites d’informations
Est-ce qu’il y a une possibilité de brèches d’informations privées, de fuites d’informations sensibles pour les entreprises ? Et pour les particuliers, est-ce qu’on peut croire aux mêmes enjeux ? « Séparons les deux entités pour répondre adéquatement à la question, soulignent les deux avocates. D’abord, du côté des entreprises, la réponse est oui. Les incidents de confidentialité peuvent être déclenchés par le comportement d’employé·es qui adoptent une conduite à risque, souvent de manière inattentive, par exemple en partageant des renseignements personnels ou autres informations confidentielles en utilisant des systèmes d’IA. » Et du côté des particuliers ? « On y arrive. Il y a aussi des enjeux sensiblement pareils pour les particuliers. Un cas récent est celui de la fuite par OpenAI de portions de discussions entre ChatGPT et ses utilisateur·rices. Bien que l’erreur ait été corrigée, il existe d’autres risques potentiels pour la vie privée en raison de la grande quantité de données que l’IA ingère, traite et relâche. Par exemple, un hacker qui s’introduit dans un système d’IA peut accéder à différents types d’informations sensibles, entraînant des conséquences potentiellement dramatiques pour les utilisateur·rices. »

Des solutions pour pallier ces enjeux de sécurité ?
Bonne nouvelle, il existe bel et bien des mesures qui peuvent être mises en place afin d’aider les marketeur·euses à pallier ces enjeux. Lucie Tornier et Caroline Jonnaert ont dressé la liste suivante:

• Sensibiliser et responsabiliser les différents acteurs : une première mesure consiste à s’assurer de sensibiliser et responsabiliser les différentes parties prenantes en lien avec les enjeux liés à la sécurité. Le récent Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés va en ce sens et vise à répondre à ce besoin en énonçant des balises claires que certains développeurs s’engagent à respecter. Les utilisateurs des systèmes d’IA devraient également être sensibilisés au fonctionnement de ces logiciels, afin de mieux comprendre les enjeux entourant la sécurité de leurs données. Cela peut se faire de différentes façons, par exemple en adoptant des politiques internes au sein des entreprises.
• Limiter les renseignements personnels partagés avec l’IA : nous sommes les premiers protecteurs de nos informations personnelles. Et cette autolimitation devrait aller au-delà même d’informations à dimension strictement personnelle, puisqu’il a été révélé que de plus en plus d’employés avaient partagé des données sensibles de leurs entreprises. La réponse des employeurs peut être stricte en interdisant tout bonnement l’utilisation de ces IA sur les lieux de travail ou à tout le moins en l’encadrant.
• Auditer les systèmes d’intelligence artificielle avant de les utiliser : il est important de vérifier la réputation de tout système d’IA avant de l’utiliser. Il est donc vivement recommandé d’investiguer et de surtout bien lire les politiques de ces plateformes, car la question de savoir si le contenu partagé avec l’outil d’IA peut être ajouté à son modèle de langage étendu y est généralement traitée.
• Envisager l’utilisation d’un outil de sécurité conçu pour empêcher le partage excessif : à mesure que la production d’outils d’IA générative se poursuit, une collection croissante d’outils de cybersécurité conçus spécifiquement pour leurs vulnérabilités sont développés, comme il en existe déjà un certain nombre sur le marché tels que LLM Shield, CyberHaven ou encore Arthur.
• La protection de la loi : au Canada, le projet de loi C-27, encore en phase d’adoption, pourra dans le futur jouer un rôle important dans la protection et la prévention des risques liés à l’IA lorsqu’il est question de sécurité des données avec des mesures d’atténuation.