« Don’t believe the hype … » : Bonnes pratiques pour sécuriser l’usage des IAG

Écrit par France Charruyer | Publié le
« Don’t believe the hype … » : Bonnes pratiques pour sécuriser l’usage des IAG
L’irruption de l’IA Gen dans les métiers du droit bouleverse les équilibres traditionnels entre innovation technologique et protection du secret professionnel. Face à ces enjeux, les ordres professionnels (CNB et CNCPI) ont ainsi publié des guides détaillant les risques et les bonnes pratiques à adopter et devraient encore poursuivre.

Comprendre l’écosystème technique et ses limites

Pour appréhender les risques, les modèles comme ChatGPT ou Perplexity, s’appuient sur des réseaux de neurones entraînés sur des corpus massifs, avec des risques d’hallucinations (réponses erronées présentées comme factuelles).

C’est dans ce contexte, qu’il convient de cartographier les cas d’usage à déléguer à l’IA comme la rédaction de clauses types, synthèses) et les tâches sensibles à proscrire comme les stratégies contentieuses, et les données confidentielles.

Gestion des risques

Pour limiter les risques inhérents à l’utilisation de l’IA, plusieurs pratiques peuvent être mises en œuvre. La pseudonymisation doit être systématique[1], ce qui désigne le fait de remplacer les noms de clients par des codes (ex. CLT_5A2Z), anonymiser les dates et fragmenter les requêtes pour éviter l’identification indirecte.

Le recours à un hébergement sécurisé s’allie à la pseudonymisation. L’idée étant, de privilégier les solutions en cloud privée européen (certifications ISO 27001) plutôt que les IAG grand public, comme ChatGPT ou Perplexity.

Lors de l’utilisation, il est nécessaire de vérifier les clauses de non-réutilisation des données dans les CGU et la localisation géographique des serveurs.

Dans cette idée de gestion, l’EFB de Paris a posté des recommandations à destination des élèves avocats et de l’utilisation de l’IA générative lors de leur stage en cabinet[2].

Fiabilité des résultats

Pour que les résultats soient plus sûrs, une validation humaine en aval est fortement conseillée. L’idée dans ce cas, reviendrait à comparer les sources juridiques déjà existantes et les résultats générés par l’IA (jurisprudences générées par l’IA avec Legifrance ou Dalloz).

Dans ce contexte, des chefs de juridictions judiciaires interrogés par Lêmy Godefroy relèvent « une probable augmentation des risques de mise en cause de la responsabilité professionnelle des avocats et de leur manquement au devoir de conseil par des engagements et des promesses, des actions engagées sur la base de ces outils pour aboutir à des solutions juridictionnelles totalement différentes ». Les nombreux cas de sanctions infligées aux Etats-Unis par des juges à l’encontre d’avocats imprudents montrent que ce n’est pas là un risque virtuel[3].

Il est donc du devoir d’un avocat de vérifier convenablement ces sources pour exercer au mieux ses obligations à l’égard de ses clients. Dans ce cas, les outils anti-hallucinations par des logiciels, comme Compilatio pour détecter les plagiats ou les inventions juridiques peuvent être d’une grande aide.

Transparence auprès des clients

L’obligation de transparence à l’encontre des clients importe donc qu’il obtienne le consentement éclairé du client pour l’usage de l’IA dans le contrat, après l’avoir informé.

Surtout, dans le prolongement de ses obligations déontologiques, il s’agira pour l’avocat d’être clair dans son processus de facturation, notamment en informant le client de l’apport de l’IA dans la réalisation des tâches ayant donné lieu à facturation. D’ailleurs, selon le Sénat, il est probable qu’il sera attendu du professionnel du droit une expertise plus poussée[4].

Formation et gouvernance interne

Pour une utilisation éthique et responsable de l’IAG, la sensibilisation est un enjeu fondamental notamment par un cadre interne et de la formation.

En interne, il est préférable, par le biais d’une charte d’utilisation, de définir les outils autorisés, les personnes habilitées et les procédures de vérification des résultats.

CNCPI Guide de bonne conduite des CPI – Cette charte pourrait encadrer :

  • Les outils qui sont autorisés / interdits pour répondre aux besoins des clients
  • Les usages pour lesquels les outils sont autorisés / interdits
  • Les personnes autorisées ou non à utiliser ces outils
  • Les types de données pour lesquels les outils sont autorisés / interdits
  • Les vérifications à effectuer sur les données produites par les outils autorisés
  • Les autres précautions à prendre dans l’usage des outils autorisés
  • Les risques encourus avec l’utilisation des outils (par exemple les taux d’hallucination)
  • Les règles de conduite dans la relation avec le client en cas d’usage de ces outils
  • Les règles à appliquer pour la préservation de la confidentialité des données du client
  • Les règles à appliquer pour le respect des droits de propriété intellectuelle

En plus de la charte d’utilisation de l’IA, l’idée de formation du personnel n’est pas à négliger. Il faut former les collaborateurs aux techniques de prompt injection et de phishing ciblant les IAG et effectuer une veille réglementaire dans le but de suivre l’évolution du Règlement européen sur l’IA (2024/1689) et ses implications pour les high-risk systems. La nomination d’un référent IA pourrait donc s’avérer utile pour, justement superviser l’intégration des outils et assurer leur conformité. Il pourrait, dans son rôle, effectuer un contrôle d’accès strict pour limiter l’usage des outils d’IA aux seules personnes autorisées.

Pour illustrer, au sein de notre structure, nous avons fait le choix de nous impliquer en pro bono au sein de l’association d’intérêt général DataRing en allant à la rencontre de chercheurs, d’universitaires, de scientifiques ou d’acteurs majeurs de l’IA (Causeries Data) et en participant à la création d’espaces d’expérimentation sécurisés pour les systèmes d’IA avec les prestataires informatiques. Nous avons ainsi constitué et participé à la constitution de comités d’IA en charge de mettre à jour en continu des chartes des usages des systèmes d’IA (avec un déploiement progressif de bots internes à usage de R&D) en y associant étroitement RSSI, DPO et services métiers. Nous avons fait le choix de nous former et de former à l’usage de l’IA générative avec notre petite legaltech de formation Trust by design.

Évaluation continue et amélioration

Pour évaluer l’efficacité de son utilisation, des indicateurs de performances et des audites externes seront percutant. Il faut donc étudier le taux d’erreurs détectées, le temps gagné sur les tâches automatisées ainsi que la satisfaction client.

Pour le cadre externe, il est convenable de recourir à des tiers pour justement tester la robustesse des systèmes contre les biais ou les fuites de données.

Recommandations clés

Ce qu’il faut surtout retenir est essentiellement qu’il ne faut jamais inclure de données sensibles dans les prompts ou alors des fictifs dans la démonstration. Il est également important de percevoir l’IAG comme un assistant et non comme un substitut donc, un contrôle humain de supervision est nécessaire et il faut limiter l’autonomie de l’IA aux tâches non critiques.

Investir dans des IAG spécialisées est aussi une solution sécurisée. Par cette idée, on privilégie les modèles entraînés sur des corpus juridiques certifiés plutôt que les outils grand public.

En adoptant une approche structurée et éthique, les avocats peuvent exploiter l’IA générative comme un levier d’innovation, tout en préservant les fondamentaux de la profession : confidentialité, responsabilité et confiance client.

Face à l’évolution croissante de ces systèmes, de futures règlementations et régulations émergent. Le Règlement européen AI Act (2024/1689) imposera dès 2026, l’analyse de l’impact sur les droits fondamentaux des systèmes d’IA classés à haut risque, outre l’élaboration actuelle des codes de bonne conduite (art 95 du RIA) et autres chartes éthiques diverses…

Dans le contexte actuel d’interprétation du RIA, des exigences spécifiques pour nos professions réglementées, sont à l’étude en raison de la sensibilité des données traitées en termes de droits fondamentaux et de sécurité, de notre dépendance et des enjeux sur la souveraineté numérique.

Toutefois, se conformer et se former à l’utilisation de l’IA ne veut pas dire ne plus savoir fonctionner sans elle ou ne plus être en mesure de la contester.

C’est pourquoi une bonne pratique essentielle consiste à penser, dès le départ du projet, à la réversibilité (transition vers un autre système) ou à l’arrêt du système d’IA (son décommissionnement)[5]. Il se peut en effet que, pour des raisons diverses (infrastructures ou données insuffisantes, absence de prise en compte du besoin réel, etc.), le projet soit abandonné ou bloqué (d’un clic ou prochain executive order d’un président américain). Si le coût de sortie peut décourager toute redéfinition de stratégie[6], imaginez si vous n’avez plus accès à vos données via le Cloud.

Dans une société de dépendance et de pénurie, toujours se préparer aux cygnes noirs de l’imprévisible et de la réversibilité…

 

Premier article : « Don’t believe the hype … » : La profession du Droit face à l’intelligence artificielle

Second article : « Don’t believe the hype … » : les obligations réglementaires et déontologiques de l’avocat

Troisième article : « Don’t believe the hype … » : Risques majeurs identifiés – lamy-liaisons

[1] https://www.cnil.fr/fr/technologies/lanonymisation-de-donnees-personnelles – :~:text=En pratique, la pseudonymisation consiste,numéro séquentiel, etc.).

[2] Emmanuel Barthe, Intelligence artificielle en droit : derrière la « hype », la réalité [En ligne], consulté le 18 février 2025 : https://www.precisement.org/blog/Intelligence-artificielle-en-droit-derriere-la-hype-la-realite.html#collab_stag

[3] https://www.precisement.org/blog/Intelligence-artificielle-en-droit-derriere-la-hype-la-realite.html – nb914

[4] Christophe-André FRASSA, Marie-Pierre de LA GONTRIE, Rapport d’information sur l’intelligence artificielle et les professions du droit, Sénat, 2024.

[5] Yann Meneceur, op. cit.

[6] Ibid.

France Charruyer
Avocat associée chez Altij & Oratio Avocats