MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

IT

Quels sont les risques liés à l'adoption de ChatGPT par les entreprises ? Explication des cas de fuite d'informations confidentielles et des mesures de prévention

IT

Quels sont les risques liés à l'adoption de ChatGPT par les entreprises ? Explication des cas de fuite d'informations confidentielles et des mesures de prévention

L’intégration progressive de ChatGPT dans les entreprises attire de plus en plus l’attention en raison de son utilité. Cependant, il existe plusieurs points de vigilance à observer. L’un d’entre eux est la nécessité de ne pas saisir d’informations confidentielles dans ChatGPT. En effet, il y a eu des cas à l’étranger où la saisie d’informations confidentielles a conduit à des fuites de secrets d’affaires majeurs.

Dans cet article, un avocat expliquera les risques de fuite d’informations confidentielles liés à l’utilisation commerciale de ChatGPT, qui évolue de jour en jour, en se concentrant sur des cas concrets et les mesures de précaution à prendre.

Pourquoi il ne faut pas entrer des informations confidentielles dans ChatGPT

Bien que ChatGPT soit pratique, c’est un chatbot IA généré par l’apprentissage de grandes quantités de données sur Internet et de données d’utilisation. Sans mesures de protection adéquates, il existe un risque que les informations confidentielles saisies soient divulguées.

Nous expliquerons plus en détail les mesures de prévention contre le risque de fuite d’informations confidentielles plus tard, mais commençons d’abord par discuter des autres risques associés à la divulgation d’informations confidentielles liés à ChatGPT.

Risques autres que la fuite d’informations confidentielles pour les entreprises utilisant ChatGPT

ChatGPT est actuellement en phase de test d’intégration dans de nombreuses entreprises. Il est donc nécessaire de comprendre pleinement les risques avant de décider de son utilisation dans les activités commerciales.

En dehors du risque de fuite d’informations confidentielles (y compris les données personnelles), l’utilisation de ChatGPT peut exposer les entreprises à deux principaux risques de sécurité :

  • Risque lié à la fiabilité des informations produites
  • Risque de violation des droits d’auteur sur les informations entrées et sorties

Nous allons détailler chacun de ces points.

Manque de fiabilité des informations produites

Le GPT-4, publié le 14 mars 2023, est doté d’une fonction de recherche, ce qui lui permet de fournir des informations à jour. Cependant, bien que ChatGPT produise des réponses comme si elles étaient vraies, leur fiabilité n’est pas garantie. Les réponses générées par ChatGPT ne sont pas basées sur l’exactitude des données d’apprentissage, mais sont plutôt créées en tant que textes jugés les plus probables. Il est donc essentiel de vérifier les faits avant d’utiliser les résultats produits. Si une entreprise diffuse par mégarde de fausses informations, sa crédibilité peut être compromise.

Risques juridiques tels que la violation des droits d’auteur

Risques juridiques tels que la violation des droits d'auteur

La question de la violation des droits d’auteur dans ChatGPT se divise en deux phases : la phase de « développement et d’apprentissage de l’IA » et la phase de « génération et d’utilisation ». Les actes d’utilisation des œuvres diffèrent à chaque étape, tout comme les articles de la loi sur les droits d’auteur. Il est donc nécessaire de considérer ces deux aspects séparément.

Référence : Agence pour les Affaires Culturelles | Séminaire sur les droits d’auteur et l’IA de l’année Reiwa 5 (2023)[ja]

La loi sur les droits d’auteur révisée, entrée en vigueur en janvier 2019, a introduit une nouvelle disposition dans l’article 30-4 concernant les limitations des droits (exceptions ne nécessitant pas d’autorisation) pour la phase de « développement et d’apprentissage de l’IA ». Les actes d’utilisation d’œuvres qui ne visent pas à jouir des idées ou des sentiments exprimés dans ces œuvres, comme l’analyse de l’information pour le développement de l’IA, peuvent en principe être effectués sans l’autorisation du titulaire des droits d’auteur.

D’autre part, si le produit généré par ChatGPT présente des similitudes ou une dépendance (modification) avec une œuvre protégée, cela peut constituer une violation des droits d’auteur. Avant de publier, il est donc crucial de vérifier les droits des informations auxquelles ChatGPT a fait référence et de s’assurer qu’il n’y a pas de contenu similaire à ce qui a été créé par ChatGPT. Lors de la citation d’une œuvre, il est important de mentionner la source (disposition limitant les droits) ou, en cas de reproduction, d’obtenir l’autorisation du titulaire des droits d’auteur et de traiter la question de manière appropriée.

En cas de violation des droits d’auteur signalée par le titulaire des droits, l’entreprise peut être tenue responsable au civil (dommages-intérêts, compensation morale, injonction d’utilisation, réhabilitation de la réputation, etc.) ou au pénal (délit sur plainte).

Cas de divulgation d’informations confidentielles suite à l’utilisation de ChatGPT

Le 30 mars 2023, le média sud-coréen « EConomist » a rapporté que trois incidents impliquant la saisie d’informations confidentielles dans ChatGPT se sont produits au sein de la division des semi-conducteurs de Samsung Electronics, après que l’utilisation de ChatGPT y a été autorisée.

Malgré les mises en garde concernant la sécurité de l’information au sein de l’entreprise, des employés de Samsung Electronics ont envoyé du code source pour demander des modifications (dans deux cas) et transmis le contenu de réunions pour la création de comptes rendus.

Suite à ces incidents, la société a pris des mesures d’urgence en limitant la capacité de téléchargement par question posée à ChatGPT. Elle a également indiqué qu’en cas de récidive de tels incidents, elle pourrait envisager de couper l’accès à ChatGPT.

En outre, Walmart et Amazon ont mis en garde leurs employés contre le partage d’informations confidentielles via des chatbots. Un avocat d’Amazon a mentionné que des réponses de ChatGPT ressemblant étrangement aux données internes d’Amazon ont déjà été observées, suggérant que ces données pourraient avoir été utilisées pour l’apprentissage du système.

Mesures pour prévenir la fuite d’informations confidentielles lors de l’utilisation de ChatGPT

OpenAI précise dans ses conditions d’utilisation que les données saisies peuvent être utilisées pour l’amélioration du système, notamment pour l’apprentissage, et recommande de ne pas transmettre d’informations sensibles.

Dans ce chapitre, nous présenterons quatre mesures, tant matérielles que logicielles, pour prévenir la fuite d’informations confidentielles lors de l’utilisation de ChatGPT.

Élaboration de lignes directrices pour l’utilisation en interne

Élaboration de lignes directrices pour l'utilisation en interne

Lors de l’intégration de ChatGPT dans une entreprise, il est essentiel non seulement d’améliorer la littératie en sécurité de l’information des individus et de procéder à une reskilling interne, mais aussi de développer des lignes directrices spécifiques à l’utilisation de ChatGPT au sein de votre société.

Le 1er mai 2023 (Reiwa 5), l’Association Japonaise d’Apprentissage Profond (Japanese Deep Learning Association, JDLA) a compilé les enjeux éthiques, légaux et sociaux (ELSI) liés à ChatGPT et a publié des “Lignes directrices pour l’utilisation de l’IA générative”. Les secteurs public et privé, ainsi que le monde académique, ont également commencé à examiner l’élaboration de leurs propres lignes directrices.

En prenant ces éléments en compte, l’établissement de lignes directrices claires pour l’utilisation de ChatGPT au sein de votre entreprise peut permettre d’anticiper et de minimiser certains risques.

Référence : Association Japonaise d’Apprentissage Profond (Japanese Deep Learning Association, JDLA) | Lignes directrices pour l’utilisation de l’IA générative[ja]

Intégration de technologies pour prévenir la fuite d’informations confidentielles

Afin de prévenir les erreurs humaines qui peuvent entraîner la fuite d’informations confidentielles, il est possible d’adopter un système appelé DLP (Data Loss Prevention), qui empêche la transmission et la copie d’informations confidentielles en prévenant la fuite de données spécifiques.

Le DLP est une fonction qui surveille constamment les données saisies, identifie et protège automatiquement les informations confidentielles et les données importantes. En utilisant le DLP, si des informations confidentielles sont détectées, il est possible de notifier une alerte ou de bloquer l’opération. Cela permet de prévenir de manière fiable les fuites d’informations internes tout en maîtrisant les coûts de gestion. Cependant, une compréhension avancée des systèmes de sécurité est nécessaire, et l’implémentation peut être difficile pour les entreprises qui ne disposent pas d’un département technique.

Envisager l’adoption d’outils dédiés

Depuis mars 2023, ChatGPT permet, grâce à l’utilisation de l’API (acronyme de “Application Programming Interface”, une interface qui connecte différents logiciels, programmes ou services Web), de prévenir la fuite des données envoyées à ChatGPT.

Les données transmises via l’API ne sont pas utilisées pour l’apprentissage ou l’amélioration, mais sont conservées pendant 30 jours pour « la surveillance afin de prévenir l’utilisation abusive ou incorrecte », après quoi elles sont supprimées selon les nouvelles conditions de stockage. Il est à noter que si une « demande légale » est reçue, la période de conservation des données peut être prolongée.

Même avec ces paramètres qui empêchent l’utilisation de ChatGPT pour l’apprentissage ou l’amélioration, les données sont théoriquement à risque de fuite car elles sont conservées sur le serveur pendant une certaine période. Par conséquent, une grande prudence est nécessaire lors de la saisie d’informations confidentielles ou personnelles.

Cependant, OpenAI accorde une grande importance à la confidentialité des utilisateurs et à la sécurité des données, et a mis en place des mesures de sécurité strictes. Pour une utilisation plus sécurisée, il est recommandé d’adopter le service « Azure OpenAI Service », un outil doté de mesures de sécurité avancées.

Les données saisies dans ChatGPT via l’API sur le service « Azure OpenAI Service », un outil spécialisé pour les entreprises, ne sont pas collectées. De plus, si vous faites une demande d’opt-out et que celle-ci est approuvée, vous pouvez refuser la conservation et la surveillance des données saisies pendant 30 jours en principe, ce qui permet d’éviter les risques de fuite d’informations.

Comment configurer ChatGPT pour qu’il n’apprenne pas les informations confidentielles saisies

Comme mentionné précédemment, ChatGPT apprend tout contenu opt-in par défaut. Cependant, à partir du 25 avril 2023, une fonctionnalité permettant de configurer préalablement l’option de retrait (opt-out) est disponible.

En tant que mesure préventive directe, si vous souhaitez refuser que les données saisies dans ChatGPT soient utilisées pour l’apprentissage ou l’amélioration du service, il est nécessaire de soumettre une demande d’opt-out. Un formulaire Google pour l’opt-out est prévu à cet effet sur ChatGPT, et il est conseillé de procéder à cette démarche. (Il faut y entrer et envoyer votre adresse e-mail, l’ID de votre organisation et le nom de votre organisation)

Toutefois, même dans ce cas, les données saisies resteront stockées sur les serveurs et seront surveillées par OpenAI pendant une période déterminée (en principe 30 jours).

Conditions d’utilisation de ChatGPT

3. Contenu

(c) Utilisation du contenu pour améliorer le service

Nous n’utilisons pas le Contenu que vous fournissez à notre API ou que vous recevez de notre API (« Contenu API ») pour développer ou améliorer nos Services.

Nous pouvons utiliser le Contenu issu de services autres que notre API (« Contenu non-API ») pour aider à développer et améliorer nos Services.

Si vous ne souhaitez pas que votre Contenu non-API soit utilisé pour améliorer les Services, vous pouvez vous désinscrire en remplissant ce formulaire. Veuillez noter que dans certains cas, cela peut limiter la capacité de nos Services à mieux répondre à votre cas d’utilisation spécifique.

Source : Site officiel d’OpenAI | Conditions d’utilisation de ChatGPT https://openai.com/policies/terms-of-use

Résumé : L’utilisation de ChatGPT en entreprise nécessite impérativement des mesures pour la gestion des informations confidentielles

Nous avons expliqué ci-dessus les risques de fuite d’informations confidentielles et les mesures à prendre dans le cadre de l’utilisation de ChatGPT en entreprise, en nous appuyant sur des exemples concrets.

Dans le domaine des affaires où des IA comme ChatGPT évoluent rapidement, il est indispensable de mettre en place des mesures en collaboration avec des experts, allant de l’établissement de directives pour l’utilisation en interne, à l’examen de la légalité des modèles d’affaires, en passant par la création de contrats et de conditions d’utilisation, la protection des droits de propriété intellectuelle et la conformité en matière de vie privée.

Article connexe : Qu’est-ce que la loi sur Web3 ? Explications également sur les points clés pour les entreprises qui souhaitent s’y engager[ja]

Présentation des mesures proposées par notre cabinet

Le cabinet d’avocats Monolith est spécialisé en IT, et plus particulièrement dans les domaines conjoints d’Internet et du droit, forts d’une riche expérience. Les affaires liées à l’IA comportent de nombreux risques juridiques, et le soutien d’avocats compétents en matière d’IA est absolument essentiel.

Notre cabinet, grâce à une équipe composée d’avocats spécialisés en IA et d’ingénieurs, offre un soutien juridique avancé pour les entreprises d’IA, y compris ChatGPT, tel que la rédaction de contrats, l’évaluation de la légalité des modèles d’affaires, la protection des droits de propriété intellectuelle et la gestion de la confidentialité. Vous trouverez plus de détails dans l’article ci-dessous.

Domaines d’expertise du cabinet Monolith : Droit de l’IA (y compris ChatGPT)[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Retourner En Haut