Souveraineté : ChatGPT peut mettre dans le domaine public les documents soumis par les collaborateurs des entreprises

ChatGPT permet des gains de productivité considérables sur certaines tâches en entreprise. Cet apport de performance pousse de plus en plus les collaborateurs à soumettre des documents internes pour divers traitements.

Mais dans les termes et conditions de la version grand public en accès libre du « Large Language Model » (LLM) conversationnel ChatGPT, et notamment dans l'expression de sa politique de confidentialité, OpenAI stipule bien que l'intégralité du contenu partagé au modèle est immédiatement intégrée et réutilisée à des fins de recherche, de maintenance, d'analyse et d'amélioration (Privacy Policy - Article 2).

Tout en étant une vraie évolution de la mécanisation de l'entreprise, ces nouvelles technologies utilisées à mauvais escient constituent un réel danger pour nos firmes vis-à-vis de la confidentialité et de leur souveraineté.

Le danger

Ces modèles de langage s'entrainent avec toutes les données qui leur sont soumises. Que ce soit les prompts, les documents et même les réponses. Quand par exemple un utilisateur demande une deuxième réponse, c'est certainement que la première ne lui convient pas et le modèle l'apprend.

Il est alors possible, voire même très probable, que ces données soient réutilisées dans les éléments de réponse à une requête d'un utilisateur lambda questionnant ChatGPT avec un prompt mentionnant le nom de l'entreprise, le sujet contenu dans le document ou en formulant précisément une demande sur le sujet.

De plus, en vertu des autres mentions liées à l'amélioration continue, les données collectées par le modèle ne resteront probablement pas stockées dans des Data Centers. Il n'y a pas de raison pour lesquelles OpenAI se priverait d'un tel actif acquis avec le consentement, pas forcément éclairé, des utilisateurs et fera vraisemblablement l'objet d'études et d'analyses.

Enfin, les termes et conditions mentionnent aussi la possibilité d'utiliser ces données dans le but de développer de nouveaux programmes et services. Il ne faut pas oublier que Microsoft est actionnaire de OpenAI et que les GAFAM n'ont jamais caché leur volonté d'élargir leurs marchés à des services grand public type opérateurs de télécommunication, constructeurs de téléphones mobiles ou encore banque et assurance par exemple.

Les collaborateurs des entreprises n'ont donc pas vraiment conscience de la portée de leurs actes et des CGU de ChatGPT. Ils créent une vraie hémorragie de documents confidentiels qui rejoignent d'un clic le domaine public comme certains grands groupes en font fait les frais.

Le cas de Samsung

En effet, le géant coréen de l'électronique recense plusieurs cas de rupture de confidentialité à la suite de l'utilisation de ChatGPT par ses développeurs. En voulant bénéficier de la capacité de Copilot à générer et corriger les langages de programmation, ces derniers ont soumis du code et demandé des recommandations de corrections.

Ce code source confidentiel, faisant intégralement partie de la propriété intellectuelle de Samsung et lui procurant un réel avantage concurrentiel est désormais en toute légalité entre les mains de OpenAI.

Le fait qu'un géant mondial tel que Samsung subisse un incident de cette ampleur révèle un danger dont aucune firme n'est à l'abri aujourd'hui. Une étude récente de Cyberhaven démontrait dès février 2023 que 3% des employés des entreprises du monde entier avaient déjà divulgué des informations internes de leur firme à ChatGPT.

Samsung a évidemment décidé de mettre fin à ces fuites en interdisant l'utilisation de ChatGPT à l'ensemble de ses collaborateurs, mais certains pays ont réagi à leur échelle en prenant des mesures similaires.

Les mesures italiennes

L'Italie a banni l'accès à ChatGPT sur l'ensemble de son territoire. Bien qu'abrupte, cette action coup de poing a le mérite de susciter une prise de conscience généralisée des tenants et aboutissants de l'utilisation du modèle de langage grand public de OpenAI. Le gendarme du numérique italien a aussi utilisé la problématique de données personnelles régit par la réglementation RGPD pour argumenter sa décision. Il est fort à parier que devant un tel fléau, d'autres pays prennent ce genre de décision ou demandent aux entreprises de mieux maîtriser ces nouveaux modèles.

Que faire alors ?

L'avènement des IA génératives et des LLM en ligne et gratuits ont mis en évidence d'extraordinaires capacités d'augmentation de la performance ainsi que de nouveaux usages pour toutes nos entreprises, tous secteurs confondus. En effet, l'Intelligence artificielle basée sur le Machine Learning étaient difficilement accessible aux ETI et PME compte tenu des coûts d'entrée. Il n'en est pas de même avec les LLM car la plupart des modèles peuvent être achetés et consommés en ligne avec des business models de "Pay As You Go" ou encore "Model As A Service" : une vraie démocratisation de l'Intelligence artificielle en la mettant dans les mains des métiers et de tout le tissu industriel.

Il faut cependant que les entreprises, si elles souhaitent que leurs collaborateurs utilisent ces nouveaux outils, maitrisent complètement les LLM qu'elles déploient. En effet, le marché regorge de LLM, ayant les mêmes capacités que ChatGPT, qu'il est possible de personnaliser et recentrer sur les périmètres d'usages de chacun tout en se prémunissant de toutes formes de préjudices pour profiter pleinement de la puissance de ces nouveaux outils.

Nos entreprises et nos institutions font donc face, en ce début d'année 2023, à un engouement et une adoption fulgurante d'une technologie révolutionnaire qu'il leur faut maintenant maitriser pour pouvoir en tirer le plus rapidement possible toute la valeur sans en subir les conséquences. Cela doit passer par des choix stratégiques d'architectures autour des LLM, mais aussi d'intégration au règlement intérieur de ces nouveaux outils comme l'ont été auparavant les navigateurs web.