Quels sont les risques de fuite d'informations avec ChatGPT ? Présentation de quatre mesures à prendre
Le « ChatGPT », qui attire l’attention ces derniers temps, est une IA générative qui suscite un intérêt dans divers domaines grâce à ses capacités à rédiger des manuscrits, programmer, générer des partitions musicales et même dessiner.
L’acronyme GPT de ChatGPT signifie « Generative Pre-training Transformer », et grâce à un apprentissage préalable sur une grande quantité de données textuelles, d’images et de sons (avec des extensions), il peut mener des conversations naturelles semblables à celles des humains.
ChatGPT est sous les projecteurs en tant qu’outil prometteur pour l’efficacité des tâches complexes et un excellent rapport coût-performance. Son utilisation est déjà avancée dans divers domaines, et on observe que de nombreuses entreprises technologiques lancent leurs propres systèmes d’IA.
Toutefois, en parallèle des nombreuses opportunités commerciales offertes par des technologies telles que ChatGPT, des risques potentiels sont également soulignés, tels que les problèmes de droits d’auteur, la propagation de fausses informations, les fuites d’informations confidentielles, les problèmes de confidentialité et le risque de détournement pour des cyberattaques.
Dans cet article, un avocat expliquera les mesures à prendre, en se concentrant sur les risques de fuite d’informations liés à l’utilisation de ChatGPT.
Risques de fuite d’informations liés à ChatGPT
Les risques associés à l’adoption de ChatGPT par les entreprises comprennent principalement les quatre points suivants :
- Risques de sécurité (fuites d’informations, exactitude, vulnérabilité, disponibilité, etc.)
- Risques de violation du droit d’auteur
- Risques d’utilisation malveillante (attaques cybernétiques, etc.)
- Problématiques éthiques
Le risque de fuite d’informations lié à ChatGPT réside dans le fait que si des informations confidentielles sont saisies dans ChatGPT, ces informations pourraient être exposées aux employés d’OpenAI ou à d’autres utilisateurs, ou utilisées comme données d’apprentissage.
Selon la politique d’utilisation des données d’OpenAI, à moins de passer par l’API de ChatGPT ou de demander une option d’« opt-out », les données saisies par les utilisateurs dans ChatGPT peuvent être collectées et utilisées (pour l’apprentissage) par OpenAI (nous expliquerons cela plus en détail ultérieurement).
Cas de fuite d’informations liés à l’utilisation de ChatGPT
Ici, nous présentons des cas où l’utilisation de ChatGPT a conduit à la fuite d’informations personnelles enregistrées ou de données confidentielles saisies.
Cas de fuite d’informations personnelles
Le 24 mars 2023, OpenAI a annoncé qu’un bug avait été découvert, révélant des informations personnelles de certains utilisateurs, telles que les quatre derniers chiffres du numéro de carte de crédit et la date d’expiration de la carte. En conséquence, ChatGPT a été temporairement mis hors ligne le 20 mars. Les informations personnelles divulguées concernaient une partie des abonnés au plan payant “ChatGPT Plus” (environ 1,2 % des membres).
En outre, il a été révélé qu’un autre bug affichait simultanément l’historique de chat d’autres utilisateurs dans l’historique de chat.
En réponse à cela, le 31 mars 2023, l’autorité italienne de protection des données a émis un ordre d’amélioration imposant des restrictions temporaires sur le traitement des données des utilisateurs italiens par OpenAI, arguant que ChatGPT collectait et stockait des données personnelles sans base légale suffisante. OpenAI a alors bloqué l’accès à ChatGPT depuis l’Italie. Ce blocage a été levé le 28 avril de la même année, après que OpenAI a amélioré la gestion des données personnelles.
Cas de fuite d’informations confidentielles en entreprise
En février 2023, la société américaine de cybersécurité Cyberhaven a publié un rapport sur l’utilisation de ChatGPT à ses clients corporatifs.
Selon ce rapport, parmi les 1,6 million de travailleurs des entreprises clientes utilisant les produits Cyberhaven, 8,2 % des travailleurs du savoir ont utilisé ChatGPT au moins une fois sur leur lieu de travail, et parmi eux, 3,1 % ont saisi des données confidentielles de l’entreprise dans ChatGPT.
Voici également un cas en Corée du Sud : le 30 mars 2023, le média coréen « Economist » a rapporté qu’après qu’une division de Samsung Electronics a autorisé l’utilisation de ChatGPT, des incidents de saisie d’informations confidentielles se sont produits.
Malgré les mises en garde concernant la sécurité de l’information en interne chez Samsung Electronics, il y a eu des employés qui ont saisi du code source de programme et des contenus de réunions dans ChatGPT.
Dans ce contexte, alors que certains pays et entreprises imposent des restrictions sur l’utilisation de ChatGPT, d’autres adoptent une politique de recommandation. Lors de l’introduction de ChatGPT, il conviendrait de considérer les risques de fuite d’informations après avoir bien compris leur ampleur.
Quatre mesures pour prévenir les fuites d’informations avec ChatGPT
Une fois qu’une fuite d’informations se produit, elle peut entraîner non seulement des responsabilités juridiques, mais aussi des pertes significatives en termes de confiance et de réputation. Par conséquent, il est crucial de mettre en place un système de gestion de l’information et de former les employés pour prévenir les fuites d’informations.
Dans cet article, nous souhaitons vous présenter quatre mesures pour prévenir les fuites d’informations en utilisant ChatGPT.
Mesure 1 : Établissement de règles d’utilisation
Tout d’abord, il est essentiel de déterminer la position de votre entreprise concernant ChatGPT et d’intégrer des dispositions relatives à son utilisation dans les règlements internes. Il est important de définir et de mettre en œuvre des règles claires, telles que l’interdiction de saisir des informations personnelles et confidentielles.
Dans ce contexte, il serait souhaitable d’élaborer des directives d’utilisation spécifiques à ChatGPT pour votre entreprise. De plus, il convient d’inclure des clauses relatives à l’utilisation de ChatGPT dans les contrats avec des tiers.
Le 1er mai 2023 (Reiwa 5), l’Association Japonaise d’Apprentissage Profond (JDLA) a compilé les enjeux éthiques, légaux et sociaux (ELSI) liés à ChatGPT et a publié des “Directives pour l’utilisation de l’IA générative”.
Dans les secteurs de l’industrie, de l’académie et du gouvernement, des réflexions sont également en cours pour élaborer des directives. En prenant ces dernières comme référence et en formalisant les règles d’utilisation de ChatGPT pour votre entreprise, vous pouvez vous attendre à une certaine prévention des risques.
Référence : Association Japonaise d’Apprentissage Profond (JDLA) | Directives pour l’utilisation de l’IA générative[ja]
Cependant, il est important de noter que les directives établies ne sont pas significatives si elles ne sont pas bien communiquées et appliquées de manière exhaustive. Les directives seules ne suffisent pas comme mesure de prévention.
Mesure 2 : Mettre en place un dispositif pour prévenir les fuites d’informations
Comme mesure pour prévenir les erreurs humaines, l’introduction d’un système appelé DLP (Data Loss Prevention), qui empêche la fuite de données spécifiques, permet de bloquer l’envoi et la copie d’informations confidentielles.
Le DLP est un système qui surveille constamment les données plutôt que les utilisateurs, identifiant et protégeant automatiquement les informations confidentielles et les données importantes. En utilisant le DLP, il est possible de notifier une alerte ou de bloquer une action si des informations confidentielles sont détectées.
Tout en maîtrisant les coûts de gestion, il est possible de prévenir efficacement les fuites d’informations internes. Cependant, une compréhension avancée des systèmes de sécurité est nécessaire et l’implémentation peut être difficile pour les entreprises qui ne disposent pas d’un département technique.
Mesure 3 : Utiliser des outils pour prévenir les fuites d’informations
Comme mentionné précédemment, en tant que mesure préventive directe, vous pouvez refuser la collecte des données que vous saisissez dans ChatGPT en demandant une option de « désinscription » (opt-out).
Il est possible de demander cette « désinscription » depuis l’écran de configuration de ChatGPT. Cependant, beaucoup pourraient trouver cela gênant car cela signifie que l’historique des prompts ne sera plus conservé.
En dehors de la configuration de désinscription, une autre méthode consiste à intégrer des outils utilisant l’« API » de ChatGPT.
L’« API » (Interface de Programmation d’Application) est une interface publiée par OpenAI qui permet d’intégrer ChatGPT dans vos propres services ou outils externes. OpenAI déclare clairement qu’elle n’utilise pas les informations entrées ou sorties via l’API de ChatGPT.
Ce point est également explicité dans les conditions d’utilisation de ChatGPT. Selon les conditions d’utilisation :
3. Contenu
(c) Utilisation du contenu pour améliorer les services
Nous n’utilisons pas le Contenu que vous fournissez à notre API ou que vous recevez de notre API (« Contenu API ») pour développer ou améliorer nos Services.
Nous pouvons utiliser le Contenu provenant de services autres que notre API (« Contenu non-API ») pour aider à développer et améliorer nos Services.
Si vous ne souhaitez pas que votre Contenu non-API soit utilisé pour améliorer les Services, vous pouvez vous désinscrire en remplissant ce formulaire. Veuillez noter que dans certains cas, cela peut limiter la capacité de nos Services à mieux répondre à votre cas d’utilisation spécifique.
Citation : Site officiel d’OpenAI | Conditions d’utilisation de ChatGPT
Mesure 4 : Mettre en place des formations internes en IT
En plus des mesures que nous avons présentées jusqu’à présent, il est essentiel de renforcer la littératie en sécurité des employés de votre entreprise en mettant en œuvre des formations internes.
Comme le montre l’exemple de Samsung Electronics, malgré les alertes de sécurité informatique en interne, la saisie d’informations confidentielles a conduit à une fuite de données. Il est donc souhaitable de mettre en place des formations internes non seulement pour prévenir les fuites d’informations du côté système, mais aussi pour améliorer la connaissance de ChatGPT et la littératie en IT.
Réponse en cas de fuite d’informations via ChatGPT
En cas de fuite d’informations, il est crucial de mener rapidement une enquête sur les faits et de prendre des mesures appropriées.
En cas de fuite de données personnelles, il est obligatoire de signaler l’incident à la Commission de protection des données personnelles conformément à la loi japonaise sur la protection des données personnelles (Japanese Personal Information Protection Law). Il est également nécessaire d’informer les personnes concernées de la situation. Si la fuite de données personnelles porte atteinte aux droits ou intérêts d’autrui, l’entreprise peut être tenue responsable des dommages et intérêts sur le plan civil. De plus, si les données personnelles sont volées ou fournies à des fins illégitimes, des responsabilités pénales peuvent également être engagées.
En cas de fuite de secrets d’affaires ou d’informations techniques, il est possible de demander des mesures telles que la suppression des données aux parties qui ont reçu ces informations, conformément à la loi japonaise sur la prévention de la concurrence déloyale (Japanese Unfair Competition Prevention Law). Si la fuite de secrets d’affaires ou d’informations techniques permet à une partie de tirer un avantage injuste, l’entreprise peut également être tenue responsable des dommages et intérêts sur le plan civil. En outre, si les secrets d’affaires ou les informations techniques sont acquis ou utilisés par des moyens illégitimes, des responsabilités pénales peuvent également être engagées.
Si une fuite d’informations résulte d’une violation de l’obligation de confidentialité professionnelle, des responsabilités pénales peuvent être engagées en vertu du code pénal ou d’autres lois. De plus, si la violation de l’obligation de confidentialité professionnelle cause un préjudice à une partie, l’entreprise peut être tenue responsable des dommages et intérêts sur le plan civil.
Il est donc nécessaire de répondre rapidement en fonction du contenu des informations divulguées et il est important de mettre en place à l’avance un système pour y faire face.
Article connexe : Quelle divulgation d’informations une entreprise doit-elle effectuer en cas de fuite d’informations ?[ja]
Article connexe : Que faire en cas de fuite de données personnelles ? Explication des mesures administratives que les entreprises devraient prendre[ja]
Résumé : Préparer votre entreprise aux risques de fuite d’informations liés à ChatGPT
Dans cet article, nous avons expliqué les risques de fuite d’informations associés à ChatGPT et les mesures à prendre pour y faire face. Dans le domaine des affaires où l’on utilise des IA telles que ChatGPT, qui évoluent rapidement, il est conseillé de consulter un avocat expérimenté et bien informé sur les risques juridiques afin de préparer à l’avance un système interne adapté à ces risques.
Non seulement pour les fuites d’informations, mais aussi pour l’examen de la légalité des modèles d’affaires utilisant l’IA, la création de contrats et de termes d’utilisation, la protection des droits de propriété intellectuelle et la conformité en matière de vie privée, collaborer avec un avocat qui possède des connaissances et de l’expérience dans les domaines de l’IA et du droit vous apportera tranquillité d’esprit.
Présentation des mesures proposées par notre cabinet
Le cabinet Monolith est un cabinet d’avocats possédant une riche expérience dans les domaines de l’IT, et plus particulièrement de l’internet et du droit. Les affaires liées à l’intelligence artificielle (IA) comportent de nombreux risques juridiques, et le soutien d’avocats spécialisés dans les problématiques légales de l’IA est essentiel. Notre cabinet offre un support juridique avancé pour les entreprises d’IA, y compris ChatGPT, grâce à une équipe composée d’avocats experts en IA et d’ingénieurs. Nous fournissons des services tels que la rédaction de contrats, l’évaluation de la légalité des modèles d’affaires, la protection des droits de propriété intellectuelle et la gestion de la confidentialité. Vous trouverez plus de détails dans l’article ci-dessous.
Domaines d’expertise du cabinet Monolith : Droit de l’IA (y compris ChatGPT)[ja]
Category: IT
Tag: ITTerms of Use