La période estivale est propice aux réflexions structurantes et la rentrée est une période idéale pour les mettre en œuvre. Nous vous proposons, en deux publications, nos réflexions et recommandations de bon sens sur l’usage et l’encadrement des solutions d’IA générative en entreprise.
Les solutions d’IA générative, comme ChatGPT d’OpenAI ou Gemini de Google, permettent de générer du contenu (texte, image, sons, …) à partir d’une requête en entrée (un prompt), souvent du texte. Par exemple, on peut imaginer un salarié qui demande à une solution d’IA générative de rédiger une fiche de poste pour un nouveau recrutement. L’IA sera rapide et sans doute très à propos. Une relecture, quelques adaptations et le travail est fait.
Ces solutions sont en train de révolutionner le monde du travail, offrant des promesses d’augmentation de l’efficacité et de gain de productivité. Les étudiants s’en servent massivement, les universitaires s’y mettent, les entreprises sont en ordre dispersé, certaines ayant fait le choix de prendre le sujet, d’autres de l’ignorer et/ou de laisser la main aux salariés. À titre d’illustration, des enquêtes établissent qu’en France, à l’été 2024, environ 70% des dirigeants n’utilisent pas les IA génératives alors que de l’autre côté, on estime que 65% des salariés les utilisent (contre 48% à l’été 2023). Ce fossé invite à la réflexion quant au déploiement de l’IA générative en entreprise.
À ce titre, son utilisation en milieu professionnel par les salariés n’est pas sans risques, pour eux et leur employeur. Nous viennent rapidement en tête des sujets de vie privée et données personnelles, d’actifs immatériels et de propriété intellectuelle, de confidentialité ou encore de sécurité cyber. Le tout saupoudré de responsabilité, civile comme pénale.
Au regard de ces risques, l’employeur doit prendre des mesures en posant les bases d’une utilisation sécurisée, juste, éthique et efficace.
Pour y arriver, il est crucial de comprendre de quelles technologies nous parlons, comment les salariés utilisent ces technologies et quelles sont les implications pour l’employeur en termes de risques et d’opportunités. Les technologies étant en développement, les usages nouveaux et variés selon les métiers, cela nécessite d’adopter une approche de dialogue avec les salariés qui pourront fournir les éléments pertinents à l’employeur pour mener son analyse. Ce point a fait l’objet de la publication de la partie 1 de ce dossier.
Il appartient dorénavant à l’employeur de définir les frontières des usages, maximiser l’efficacité et la productivité de ses salariés tout en minimisant les risques auxquels il peut être exposé du fait de ses salariés. Encadrer l’usage d’un outil, d’un système ou même d’un comportement est le rôle de l’employeur, c’est l’expression de sa fonction d’organisateur du travail. L’employeur ne peut pas se contenter de mettre à disposition des salariés des outils et leur laisser la liberté d’en user sans règle au risque de s’exposer à des abus ou des situations qui pourraient lui causer préjudice. Dans son intérêt, il doit définir les frontières entre ce qui est interdit et ce qui est permis.
Les systèmes d'IA générative ne sont rien d'autres que des outils, des logiciels. Il faut les encadrer avec des règles d'utilisation claires (A) et accompagner quotidiennement les salariés (B) afin de maintenir la performance.
A) Définir des règles d’utilisation claires
Conformément au code du travail (art. R. 4323-1 du Code du travail), l’employeur doit informer les salariés chargés de l'utilisation et de la maintenance des équipements de travail, notamment de leurs conditions d’utilisation ou de maintenance. Ainsi, si le salarié utilise une solution d’IA générative pour l’accomplissement de ses missions, on peut considérer celle-ci comme un équipement de travail.
Par conséquent, l’employeur doit informer les salariés des solutions d’IA générative qui sont interdites ou autorisées, des conditions de leur utilisation et des sanctions en cas de non-respect des règles décidées. Toutes ces règles peuvent être matérialisées dans une charte informatique ou un document annexé à la Charte informatique, voire dans le règlement intérieur de l’entreprise. Elles doivent prévoir notamment les usages autorisés, les processus de validation préalable d'une solution, l’obligation d'informer la Direction ou son manager, les démarches nécessaires en termes de cybersécurité, les points de vigilance, la mise en place d’une cartographie des risques, etc. Ces règles doivent être très claires et compréhensibles par tous.
Étant entendu que les solutions d’IA générative autorisées entrent dans le cadre professionnel, l’employeur doit aussi organiser les modalités de leur prise en charge financière via la charte informatique ou un accord collectif. C’est ce qui ressort d’une décision de la Cour de cassation. En substance, les juges ont estimé que les frais exposés par un salarié pour les besoins de son activité professionnelle et dans l’intérêt de l’employeur doivent lui être remboursés sans qu’ils puissent être imputés sur la rémunération (Cass. soc. 25-3-2010 n° 08-43.156 F-P ; Cass. soc. 20-6-2013 n° 11-23.071 FS-PB).
Certaines chartes informatiques sont rédigées de façon suffisamment générique pour couvrir l’usage des IA générative, comme tout usage d’une solution logicielle. L’employeur à notre sens ne peut cependant s’en satisfaire, les IA génératives venant avec leurs spécificités, en rupture avec les usages de logiciels traditionnels.
B) Mettre en place des ressources et accompagner
Il ne suffit pas seulement de décider des règles applicables aux solutions et aux usages. L’employeur doit également accompagner les salariés et mettre à leur disposition des moyens afin de favoriser l’innovation et accélérer la transformation.
Pour ce faire, il doit mettre en place des dispositifs de formation et d’accompagnement. Il doit fournir une information et une formation régulière aux salariés sur l’utilisation de ces outils et faire la promotion d’une culture éthique et responsable des solutions d’IA générative. Tout ceci, pour aider à prévenir les abus et à assurer que les salariés comprennent les implications de l’utilisation des solutions d’IA.
Ensuite, l’employeur doit rester à l’écoute, surveiller et auditer autant que possible les usages des salariés afin de s’assurer que les règles mises en place sont adaptées et respectées. Cela peut aider à identifier les problèmes potentiels et à prendre des mesures adaptatives ou correctives si nécessaire.
En outre, il doit fournir un soutien et des ressources aux salariés qui utilisent les solutions d’IA générative. Cela peut inclure un point de contact dédié (Directeur informatique ou juridique) pour les questions liées à l’IA en général et aux IA génératives en particulier, ainsi que des ressources en ligne ou des ateliers pour aider les salariés à comprendre et à utiliser efficacement l’IA.
Enfin, l’employeur doit encourager un dialogue ouvert sur l’utilisation des solutions d’IA générative. Cela peut aider à identifier les préoccupations des salariés, à partager les meilleures pratiques et à favoriser une culture d’innovation et de responsabilité.
Conclusion
Les solutions d’IA générative sont des outils précieux pour l’exécution de certaines tâches. Lorsqu’elles sont utilisées de manière juste et éthique et dans un cadre maîtrisé, elles peuvent avoir un impact significatif positif dans l’atteinte des objectifs de la société.
En tant qu’employeur, il est préférable de prendre position le plus en amont possible du projet de déploiement de ces solutions, voire de l’initier afin d’en garder la maîtrise. Pour que cette maîtrise soit totale, l’employeur ne doit pas ignorer les normes (douces ou dures) applicables à l’usage des solutions d’IA générative qui sont en train de se préciser. L’entrée en application de l’IA act le 1ᵉʳ août 2024 en est un exemple palpable. Très vite, l’on pourrait se perdre ou s’ennuyer dans cette démarche d’analyse des points de risque à prendre en compte. En ce sens et pour accompagner les organismes à déployer ces solutions dans le respect de ces normes et des exigences de sécurité, la CNIL et l’ANSSI ont publié, chacune de leur côté, des recommandations à l’attention des développeurs et des entreprises. Ces recommandations ne dispensent pas pour autant de recourir aux services de personnes disposant des connaissances et compétences sur les sujets juridiques et techniques pour un accompagnement des équipes.
Avec l’évolution effrénée de ces solutions, il se pourrait que des nouveaux risques apparaissent. Qui pourrait se targuer de savoir ce que les IA génératives seront capables de faire dans 5 ou 10 ans ? Quels nouveaux risques pourraient émerger ? Laissons le temps nous le dire. Pour le moment, en toute prudence, profitons de leurs pleines capacités.
Assaré Mony, Juriste au sein de la société ALTAMETRIS, passionné d’innovations et de technologies
Régis Jacquin, Directeur Juridique et Ressources Humaines de la société ALTAMETRIS & Chargé d’enseignement à l’Université de Bourgogne
