Français English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fr/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Les 5 étapes pour une intégration réussie de l'IA : Comment instaurer des « règlements internes vivants pour l'IA » et promouvoir la formation en interne

Les 5 étapes pour une intégration réussie de l'IA : Comment instaurer des « règlements internes vivants pour l'IA » et promouvoir la formation en interne

IT

Les 5 étapes pour une intégration réussie de l'IA : Comment instaurer des « règlements internes vivants pour l'IA » et promouvoir la formation en interne

Les innovations technologiques de l’IA générative ont le potentiel de transformer fondamentalement les processus opérationnels traditionnels. Cependant, lors de son intégration, de nombreuses organisations au Japon se heurtent davantage à des défis liés à la gestion des risques juridiques et éthiques ainsi qu’à l’implantation au sein de l’organisation, plutôt qu’à des obstacles techniques. Adopter une approche de “délégation totale” en distribuant simplement les outils les plus récents à l’ensemble de l’entreprise et en laissant le personnel décider de leur utilisation peut non seulement entraîner des incidents graves tels que des fuites d’informations ou des violations de droits, mais aussi, à terme, freiner la productivité de l’organisation dans son ensemble.

Pour bénéficier de manière durable des avantages de l’IA, il est essentiel de concevoir des “règlements internes vivants sur l’IA” qui allient commodité technologique et sécurité juridique à un niveau élevé, ainsi que de mettre en place un processus éducatif progressif basé sur ces règlements. Cet article explique cinq étapes concrètes pour réaliser une intégration efficace de l’IA, en s’appuyant sur les réglementations légales japonaises les plus récentes et les directives des agences gouvernementales japonaises.

Les Risques d’une Utilisation Sans Discipline de l’IA en Entreprise au Japon

Lorsqu’une organisation envisage d’introduire l’IA générative, elle se heurte d’abord au problème du “shadow IT”, où l’utilisation sur le terrain précède l’établissement d’une politique claire au niveau de l’organisation. En raison de la grande commodité de ces outils, les employés les utilisent souvent pour le travail en se basant sur leur propre jugement, en utilisant des comptes personnels. Cette approche de “lancer l’outil pour voir” peut sembler accélérer l’adoption à court terme, mais en réalité, elle favorise une utilisation sans discipline et accumule des risques de gestion sérieux.

Concrètement, cela peut entraîner des fuites de secrets commerciaux dues à l’entrée imprudente d’informations confidentielles, la génération de contenus violant les droits d’auteur d’autrui, ou encore la diffusion externe d’informations inexactes. En avril de l’année Reiwa 6 (2024), le Ministère de l’Économie, du Commerce et de l’Industrie ainsi que le Ministère des Affaires Intérieures et des Communications ont publié les “Lignes Directrices pour les Opérateurs d’IA”, demandant aux entreprises utilisant l’IA d’évaluer correctement ces risques et de mettre en place la gouvernance nécessaire. Sans un cadre de règles claires, les employés ne peuvent pas juger précisément ce qui est permis ou interdit, ce qui les pousse à hésiter à utiliser l’IA de manière créative ou à commettre inconsciemment des erreurs graves.

Référence : Page des Lignes Directrices pour les Opérateurs d’IA du Ministère des Affaires Intérieures et des Communications

Même si une utilisation sans discipline peut temporairement améliorer la productivité de l’organisation, dès qu’un problème juridique survient, les coûts liés à la réparation des dommages et à la perte de confiance sociale peuvent être immenses. Par conséquent, au stade initial de l’introduction de l’IA, il est essentiel de clarifier le cadre pour une utilisation sécurisée, non pas pour restreindre la liberté sur le terrain, mais pour garantir un environnement où la technologie peut être utilisée en toute confiance. L’objectif de cet article est de clarifier comment construire ce “cadre sécurisé” et établir un système d’exploitation qui ne se dégrade pas.

https://monolith.law/corporate/establishment-of-ai-internal-regulations

Les dernières avancées des réglementations internes sur l’IA que les entreprises mondiales devraient établir : Gouvernance des filiales à l’étranger et stratégies de déploiement

Étape 1 : Clarification des Objectifs d’Intégration de l’IA et Redéfinition des Enjeux

Étape 1 à 2 : Clarification des Objectifs et Sélection du Service Optimal

Le premier point de divergence qui détermine le succès ou l’échec de l’intégration de l’IA réside dans la capacité à redéfinir l’IA comme un moyen de résoudre les problèmes auxquels l’organisation est confrontée, plutôt que de faire de l’intégration technologique un objectif en soi. Si l’objectif de l’intégration de l’IA reste flou, les règlements internes élaborés risquent de devenir abstraits et de se transformer en “règles mortes” sans efficacité pratique sur le terrain.

La première étape consiste à clarifier de manière exhaustive l’objectif de l’intégration de l’IA, à savoir quels problèmes spécifiques de quel département elle vise à résoudre.

  • Département de la comptabilité : Réduction de la charge administrative. La sécurité concernant l’envoi de données à l’extérieur est le principal point de discussion.
  • Département de développement : Automatisation de la génération de code. Les préoccupations majeures incluent l’article 30-4 de la Loi japonaise sur le droit d’auteur (Loi de 1970), les licences OSS et les vulnérabilités.
  • Département des ventes et des relations publiques : Création de documents et génération de FAQ. L’exactitude de l’information et le risque de violation des droits sont au centre des préoccupations.

En concrétisant les problèmes à résoudre pour chaque département, on peut discerner la direction des règles optimisées pour chaque activité.

Étape 2 : Sélection des Services Optimaux et Analyse des Conditions d’Utilisation

Ensuite, nous procédons à la sélection des services d’IA qui correspondent aux objectifs définis. Actuellement, le marché propose une variété de services allant des IA génératives polyvalentes, telles que ChatGPT, aux IA spécialisées dans des domaines spécifiques comme le droit, la comptabilité ou la programmation. Les IA polyvalentes offrent une flexibilité pour traiter une large gamme de tâches, mais elles peuvent être moins précises en termes d’informations dans des domaines spécialisés ou de conformité à certaines régulations par rapport aux IA spécialisées.

En tant que critères de sélection des services, il est essentiel de vérifier leur conformité avec la politique de sécurité de l’organisation. De plus, la possibilité d’utiliser les API fournies et la présence de fonctionnalités de protection des données dans les plans destinés aux entreprises sont des éléments cruciaux à considérer. Les versions gratuites pour particuliers et les versions payantes pour entreprises diffèrent souvent fondamentalement en ce qui concerne l’utilisation des données d’entrée pour l’apprentissage (possibilité de se désinscrire). Par conséquent, pour une adoption à l’échelle de l’entreprise, il est impératif de souscrire à un plan destiné aux entreprises.

Lors de la sélection des services d’IA, l’analyse des conditions d’utilisation fournies par chaque fournisseur est l’aspect le plus important et souvent négligé. Comparés aux produits SaaS classiques, les services d’IA ont des conditions complexes concernant l’attribution des droits sur les données et l’utilisation pour l’apprentissage, qui changent fréquemment. Les cinq points suivants doivent être vérifiés avant la conclusion d’un contrat pour minimiser les risques juridiques.

Points de VérificationDétails à VérifierSignification Juridique et Pratique
Étendue des InterdictionsVérifier si la génération de conseils dans des domaines spécialisés (médical, juridique, financier, etc.) est interditePour éviter la suspension de compte ou les risques de compensation en cas de violation des conditions
Utilisation CommercialeVérifier si l’utilisation commerciale des produits générés est explicitement autorisée et s’il n’y a pas de différences selon le planPour assurer la stabilité des droits lors de l’utilisation dans des activités lucratives
Attribution des Droits de Propriété IntellectuelleVérifier si les droits d’auteur sur le contenu généré sont clairement attribués à l’utilisateurPour protéger et permettre la réutilisation en tant que créations de l’entreprise
Utilisation pour l’Apprentissage AutomatiqueVérifier si une option de désinscription est possible pour que les données d’entrée ne soient pas utilisées pour le réapprentissage du modèlePour préserver les secrets commerciaux et prévenir la fuite d’informations confidentielles
Clauses Générales et Loi ApplicableVérifier la juridiction compétente en cas de litige, l’étendue des indemnisations et la législation applicablePour assurer la prévisibilité et le coût de réponse en cas de litige

En particulier, les clauses concernant l’utilisation pour l’apprentissage automatique sont directement liées à la protection des secrets commerciaux au Japon. Si les données saisies sont intégrées comme données d’apprentissage par le fournisseur, il existe un risque que des informations confidentielles de l’entreprise soient ultérieurement divulguées comme réponses à d’autres. Pour être protégées en tant que secrets commerciaux sous la loi japonaise sur la prévention de la concurrence déloyale, il est nécessaire que la “gestion du secret” soit reconnue, mais un environnement où les données sont insérées sans précaution dans l’apprentissage de l’IA peut constituer un facteur fatal qui compromet cette gestion du secret.

De plus, il est important de prêter attention à la loi applicable. De nombreux services fournis par des fournisseurs américains sont régis par des lois telles que celles de l’État du Delaware, ce qui peut limiter la résolution des litiges à l’étranger. Cela pourrait signifier, pour les entreprises japonaises, une renonciation de facto à l’exercice de leurs droits. Par conséquent, pour les activités de haute importance, il est conseillé d’envisager des négociations contractuelles pour que la loi japonaise soit la loi applicable ou que les tribunaux japonais soient la juridiction compétente.

Étape 3 : Cycle de vérification par un démarrage progressif (PDCA)

Se précipiter pour appliquer des règles à l’échelle de l’entreprise sans une vérification adéquate peut entraîner une confusion sur le terrain et accélérer la désuétude des règles. Il est recommandé de procéder à une mise en œuvre expérimentale par un “démarrage progressif” ciblant une équipe de projet spécifique ou un département ayant une forte littératie numérique et une conscience claire des enjeux.

Le principal inconvénient d’une mise en œuvre généralisée est l’imposition de “règles du plus grand commun dénominateur” qui ignorent la diversité des réalités opérationnelles au sein de l’organisation. Des règles trop strictes appliquées à l’ensemble de l’entreprise peuvent nuire à la commodité sur le terrain, tandis que des règles trop laxistes ne permettent pas de contrôler les risques. En établissant une période d’essai, il est possible de recueillir des données basées sur l’expérience réelle pour identifier quels risques se manifestent dans le flux de travail et quelles lignes directrices sont nécessaires.

Cette période doit fonctionner comme un “bac à sable” où l’échec est permis. Les employés peuvent expérimenter l’utilisation de l’IA, enregistrer précisément quels prompts sont entrés, quels résultats sont obtenus, et quelles préoccupations (telles que des informations erronées dues à des hallucinations, des expressions inappropriées, des signes avant-coureurs de violation de droits d’auteur, etc.) surviennent. Un système doit être mis en place pour que les responsables juridiques et des systèmes d’information examinent ces enregistrements.

Pour maximiser l’efficacité du démarrage progressif, il est utile de suivre un flux de travail de vérification en six étapes :

  1. Identifier les tâches concernées et élaborer des “lignes directrices initiales” spécifiques à ces tâches. Ce projet initial doit résumer de manière concise les interdictions minimales (comme l’interdiction d’entrer des informations confidentielles) et les méthodes d’utilisation recommandées.
  2. Organiser une formation d’introduction pour les membres sélectionnés et leur permettre d’utiliser l’IA dans leurs tâches réelles.
  3. Recueillir régulièrement les retours du terrain par le biais d’entretiens. L’accent est mis ici sur les témoignages directs tels que “les règles entravent-elles le travail ?” ou “y a-t-il eu des situations où des risques inattendus ont été ressentis ?”.
  4. Réajuster l’équilibre entre risque et commodité en tenant compte des problèmes recueillis, et améliorer les lignes directrices.
  5. Appliquer à nouveau les lignes directrices améliorées et continuer à les affiner.
  6. Sur la base des connaissances acquises grâce à ce processus de vérification, élaborer des “régulations standard” pour un déploiement à l’échelle de l’entreprise.

En appliquant ce cycle PDCA, il est possible de transformer les règles imposées de manière descendante en “règles vivantes” que le terrain comprend et peut respecter.

Étape 4 : Extension de la Portée d’Implémentation et Évaluation des Risques par Département au Japon

Étape 4 à 5 : Extension de la Portée d'Implémentation et Révision Régulière

Lors de l’élargissement de la portée basée sur les connaissances acquises lors de l’implémentation d’essai, une évaluation des risques spécifique à chaque département est indispensable. Des règles uniformes ne peuvent pas répondre aux différences des actifs à protéger.

  • Département des Ressources Humaines : En vertu de la Loi japonaise sur la protection des informations personnelles, il est crucial d’interdire l’entrée d’informations permettant d’identifier une personne et de mettre l’accent sur la transparence des décisions automatiques.
  • Département de Recherche et Développement : La protection technique et contractuelle est prioritaire pour éviter que les idées ne deviennent des données d’apprentissage pour d’autres entreprises.
  • Département de Communication et Marketing : Les mesures contre la similitude des marques et des designs ainsi que les risques de bad buzz sont des points clés.

En organisant ces éléments et en classifiant clairement les tâches en “autorisées”, “autorisées sous conditions” et “interdites”, les employés peuvent déterminer sans hésitation jusqu’où ils peuvent utiliser l’IA dans leurs tâches.

Étape 5 : Conception organisationnelle pour institutionnaliser des révisions régulières

L’environnement entourant l’IA générative évolue à une vitesse extrêmement rapide, que ce soit sur le plan technologique, réglementaire ou éthique. Ainsi, il n’est pas rare que les règlements internes élaborés deviennent obsolètes en quelques mois. Intégrer un mécanisme de révision régulière dans le cadre opérationnel dès le départ est la clé pour réaliser une véritable gouvernance.

Concrètement, il s’agit de vérifier les résultats du suivi de l’état d’exploitation sur un cycle trimestriel à semestriel et de réévaluer la pertinence des règlements. Lors de la révision, il est essentiel d’examiner s’il n’y a pas de divergence avec les dernières directives du gouvernement japonais (Cabinet Office, Ministère de l’Économie, du Commerce et de l’Industrie, etc.), s’il n’y a pas de nouveaux jugements concernant les droits d’auteur des produits générés par l’IA, ou s’il n’y a pas de modifications dans les conditions d’utilisation des services d’IA utilisés.

De plus, les révisions régulières ne doivent pas être effectuées uniquement par le département juridique ou le département informatique. Il est crucial d’établir une réunion de consultation incluant des représentants du terrain pour recueillir les problèmes pratiques, ce qui permet d’éviter que les règlements ne deviennent obsolètes. Lorsque les règlements sont mis à jour à la suite d’une révision, il est important de communiquer rapidement les modifications et leurs raisons à tous les employés et de procéder à une rééducation si nécessaire. En poursuivant ce cycle, la littératie en matière d’IA de l’ensemble de l’organisation sera constamment maintenue à jour.

Points clés des règlements internes sur l’IA pour soutenir les opérations sur le terrain au Japon

Un règlement interne sur l’IA efficace ne doit pas se limiter à une simple liste d’interdictions. Il doit servir de guide pour les employés en cas de doute et fonctionner comme un bouclier pour protéger légalement l’organisation. Voici une explication des quatre piliers essentiels à inclure.

Clarification des objectifs et du champ d’application pour un consensus

Au début du règlement, il est important de préciser de manière positive pourquoi l’entreprise introduit l’IA et quelle valeur elle cherche à créer. Cela envoie un message encourageant l’utilisation de l’IA aux employés tout en établissant une base morale pour prévenir les utilisations inappropriées.

En ce qui concerne le champ d’application, il est essentiel de définir clairement son application non seulement aux employés permanents, mais aussi aux employés contractuels, temporaires, et même aux sous-traitants. En particulier, lorsque des sous-traitants externes utilisent l’IA pour livrer des produits, il est nécessaire de clarifier au niveau contractuel où se situent les responsabilités en matière de gestion de la qualité et de traitement des droits.

Obligation de formation et renforcement de la défense légale

Distribuer ou afficher simplement le règlement interne ne suffit pas à remplir la responsabilité légale de supervision. Il est nécessaire de stipuler la formation sur l’utilisation de l’IA comme une “obligation” et de n’accorder les droits d’utilisation qu’aux employés ayant complété cette formation. La gestion appropriée des enregistrements de formation constitue une preuve indispensable pour défendre l’entreprise en cas d’accident dû à une violation des règles par un employé, prouvant qu’une supervision et une éducation appropriées ont été effectuées.

La formation doit inclure non seulement des contenus techniques tels que l’élaboration de prompts, mais aussi des explications sur la nature des hallucinations, les points d’attention en vertu de la loi japonaise sur le droit d’auteur, et des exemples concrets d’obligations de confidentialité.

Identification des services utilisables et élimination de l’IT fantôme

Il est essentiel de préciser que seuls les “services autorisés” pour lesquels l’entreprise a vérifié la sécurité et conclu des contrats appropriés peuvent être utilisés dans le cadre professionnel. Cela permet d’éliminer systématiquement l’IT fantôme utilisant des comptes personnels. De plus, en clarifiant le processus de demande et d’approbation pour l’utilisation de nouveaux services ou plugins, on peut répondre de manière flexible aux besoins du terrain tout en maintenant une introduction sous contrôle. Ici, il est généralement interdit d’utiliser des versions gratuites, et il est conseillé de se limiter aux plans d’entreprise où les données ne sont pas utilisées pour l’apprentissage, ce qui constitue la couverture de risque la plus sûre.

Exercice approprié des droits de surveillance et d’audit

Pour vérifier que l’organisation fonctionne correctement, il est stipulé que l’entreprise a le droit d’enregistrer et de consulter les prompts d’entrée et les résultats de sortie des employés, et de procéder à des audits si nécessaire. Cela ne sert pas seulement de dissuasion psychologique contre une utilisation inappropriée, mais joue également un rôle crucial dans l’identification des causes et la prévention de l’extension des dommages en cas de fuite d’informations. Cependant, lors de la surveillance, il est important de notifier à l’avance l’objectif et le champ d’application pour garantir la transparence, ce qui est essentiel pour maintenir une relation de confiance avec les employés.

L’intégration de ces éléments avec les règlements de travail existants, les règlements de confidentialité, ou les règlements d’utilisation de l’IT est également cruciale. Tout en établissant un règlement indépendant dédié à l’IA, il est nécessaire d’assurer la cohérence légale en liant les violations graves aux dispositions disciplinaires des règlements de travail.

Conclusion : Maximiser la Valeur de l’IA grâce à des Règlements Internes sur l’IA au Japon

Pour transformer l’IA en une force au sein de l’organisation, l’élément le plus crucial n’est pas le budget pour l’adoption des modèles les plus récents, mais plutôt la “capacité de gestion humaine” et le “pouvoir de gouvernance organisationnelle” pour les utiliser correctement.

Les cinq étapes expliquées dans cet article sont toutes des éléments indispensables pour créer des “règles vivantes qui imprègnent le terrain”. Une mise en œuvre déléguée peut apporter une efficacité temporaire, mais ce qui soutient une croissance durable, c’est toujours une attitude sincère qui continue de rechercher un équilibre entre la sécurité juridique et la commodité au Japon.

Guide des Mesures Proposées par Notre Cabinet

Le cabinet d’avocats Monolith est un cabinet doté d’une riche expérience à la fois dans le domaine de l’IT, en particulier l’Internet, et dans le domaine juridique au Japon. Les affaires liées à l’IA comportent de nombreux risques juridiques, et le soutien d’un avocat bien informé sur les questions juridiques relatives à l’IA est indispensable. Notre cabinet offre un soutien juridique avancé pour les entreprises utilisant l’IA, telles que ChatGPT, grâce à une équipe composée d’avocats et d’ingénieurs spécialisés dans l’IA. Nous proposons des services tels que la rédaction de contrats, l’examen de la conformité des modèles d’affaires, la protection des droits de propriété intellectuelle, la gestion de la confidentialité, et l’élaboration de règlements internes sur l’IA. Vous trouverez plus de détails dans l’article ci-dessous.

Intelligence Artificielle (ChatGPT, etc.)
Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Les dernières avancées des réglementations internes sur l'IA que les entreprises mondiales devraient établir : Gouvernance des filiales à l'étranger et stratégies de déploiement

Les dernières avancées des réglementations internes sur l'IA que les entreprises mondiales devra.

IT

Qu'est-ce que la loi sur le Web3 ? Explication des points clés pour les entreprises entrantes

Qu'est-ce que la loi sur le Web3 ? Explication des points clés pour les entreprises entrantes

IT

Les actions interdites par la 'Loi japonaise sur l'interdiction des accès non autorisés

Les actions interdites par la 'Loi japonaise sur l'interdiction des accès non autorisés

IT

Quels sont les critères de jugement et les mesures à prendre concernant le travail déguisé dans l'industrie informatique ?

Quels sont les critères de jugement et les mesures à prendre concernant le travail déguisé dans .

IT

Les responsabilités légales des opérateurs de plateforme: Quels sont les cinq devoirs indiqués par la jurisprudence ?

Les responsabilités légales des opérateurs de plateforme: Quels sont les cinq devoirs indiqués p.

IT

Similarités entre la vérification des contrats et le débogage expliquées par un avocat ancien ingénieur IT

Similarités entre la vérification des contrats et le débogage expliquées par un avocat ancien in.

IT

Jusqu'à quel point devrait-on mettre en œuvre des fonctionnalités non spécifiées dans les spécifications de développement de systèmes en termes juridiques?

Jusqu'à quel point devrait-on mettre en œuvre des fonctionnalités non spécifiées dans les spécif.

IT

Quelles sont les obligations de support incombant au fournisseur après la fin du développement du système?

Quelles sont les obligations de support incombant au fournisseur après la fin du développement d.

IT

Qu'est-ce qu'un contrat à plusieurs étapes dans le développement de systèmes? Explication en tenant compte des raisons recommandées

Qu'est-ce qu'un contrat à plusieurs étapes dans le développement de systèmes? Explication en ten.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Incorporation Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retourner En Haut