Interdiction, blocage, bannissement : la presse regorge d'exemples d'entreprises ayant interdit ChatGPT. Si Samsung, Apple, Deutsche Bank, Verizon ou Amazon l'ont fait, c'est que c'est la bonne décision, non ? Répondre à cette question n'est pas si simple. Bien sûr que bannir ChatGPT, dans un premier temps, paraît tout à fait approprié : il faut absolument éviter les fuites de données. L'exemple de Samsung est particulièrement frappant : des employés ont confié à l'IA conversationnelle des notes de réunion à synthétiser, du code source à analyser... Autant de données qui sont venues enrichir la base de ChatGPT et pourraient donc ressortir chez d'autres utilisateurs.

Après le shadow IT, le shadow AI ?

Mais cette interdiction doit être ciblée, temporaire et assortie d'un ensemble de décisions stratégiques et d'actions pour encourager un usage effectif et sécurisé des outils d'IA générative. Sinon, ce serait se tirer une balle dans le pied. D'abord parce que les entreprises et les collaborateurs qui recourent à l'IA générative gagnent énormément en productivité, et peuvent proposer plus rapidement des services innovants. Ensuite parce qu'on le sait tous : les utilisateurs en entreprise trouvent toujours un moyen de contourner les interdictions lorsqu'ils trouvent quelque chose de beaucoup plus pratique. En l'occurrence, si l'usage de ChatGPT et des autres applications d'IA générative a explosé aussi rapidement, c'est bien parce que ces outils apportent une aide énorme dans le quotidien.

Après le "shadow IT", voici donc venir le temps du "shadow AI", où les collaborateurs trouveront bien le moyen de recourir à de l'IA générative depuis chez eux, depuis leur téléphone, ou parce qu'une nouvelle application n'aura pas encore été mise sur liste noire. Comme pour Internet, les outils collaboratifs et les réseaux sociaux, ces mesures de protection doivent donc être rapidement assorties de mesures d'encadrement et d'encouragement.

Premier levier à activer : acculturer les collaborateurs

Le premier problème auquel s'attaquer est la méconnaissance de ces outils, au sens de leur fonctionnement. Et en cela, les médias grand public et autres concours de type "ChatGPT vs un philosophe ou vs un avocat" n'ont pas aidé. Il faut donc commencer par rappeler un certain nombre d'évidences. Notamment, que l'IA ne raisonne pas et ne comprend pas ce qu'elle produit. Elle se contente de prédire le prochain mot d'un texte, le prochain pixel d'une image, etc. en fonction de sa base de connaissances. Si elle ne dispose pas de l'information, elle l'inventera en appliquant un mécanisme de probabilité - on dit alors qu'elle hallucine. Cela peut s'avérer problématique pour un usage professionnel, et requiert une grande attention de la part de l'utilisateur.

L'autre élément de méconnaissance concerne le distinguo entre les outils grand public, qui se nourrissent de l'ensemble des prompts, et les outils professionnels, pour lesquels le fournisseur garantit l'étanchéité des zones et la confidentialité des données saisies. Autrement dit, il s'agit de distinguer l'IA générative publique (par exemple ChatGPT et Google Bard) de l'IA générative privée (GPT et Google Palm).

Au vu de la multiplicité d'outils et de règles d'utilisation associées, ce distinguo peut s'avérer complexe, même pour les services IT. Par exemple, alors qu'OpenAI va récupérer les données saisies dans ChatGPT pour nourrir son modèle, il s'engage à ne pas le faire pour les données saisies dans GPT via l'API - tout en expliquant qu'il conservera ces données pendant un mois à des fins de supervision légale.

Au-delà d'expliquer aux gens pourquoi ils n'ont plus le droit d'accéder à certains outils, il est surtout primordial de les acculturer à ce type d'outils, à leur usage, aux mésusages qu'on peut en avoir et au cadre réglementaire qui les entoure. De mettre en place une gouvernance, claire et outillée. Car à un moment, il faudra bien faire confiance aux utilisateurs, tout comme pour l'accès à Internet, à LinkedIn, etc. où il est tout aussi possible de laisser filer de l'information confidentielle.

Second levier : fournir un environnement technique

Le second levier doit être préparé avant même d'activer le premier. Il s'agit de réfléchir très vite aux outils qu'on souhaite fournir à ses collaborateurs. La liste n'a pas besoin d'être complète dès le début, mais il faut absolument enclencher très vite cette première itération, de manière à pouvoir fournir, dès la phase d'acculturation, un environnement technique offrant un accès et un usage sécurisés à un ensemble d'outils. Cela permet d'abord d'éviter l'effet "shadow AI" et de rester dans un environnement contrôlé. Ensuite, ce choix précoce va donner à dans la phase d'acculturation un côté pratique, avec des exemples concrets réalisés à l'aide des outils autorisés, et même une prise en main de ces outils.

Cela ne demande pas nécessairement d'avoir à construire et opérer son propre modèle de langage : les fournisseurs comme Google, Microsoft, Amazon ou les pure-players ont rapidement saisi l'intérêt de proposer des instances cloisonnées pour les entreprises. Il vaut peut-être mieux consacrer ses efforts à l'assemblage de telles ressources - par exemple une base de données vectorielle pour introduire de la sémantique au sein de ses propres documents, un orchestrateur pour enchaîner les appels à des services ou encore des studios pour créer, optimiser et versionner les prompts utilisés.

Proscrire... à condition de prescrire

L'IA générative en entreprise concerne tous les métiers ou presque : marketing, légal, RH, développement... C'est un facteur de productivité extraordinaire, qui ne devrait pas être entravé par la peur, et des règlements tellement contraignants qu'ils finiront par provoquer les résultats inverses de ceux recherchés. Encourager leur usage devrait au contraire être la règle. Pour mieux connaître ces outils, leurs possibilités et leurs limites, il faudra que le CIO et ses équipes soient les premiers à les identifier, les évaluer et les tester. Que les notes de cadrage soient issues de la DSI - avec l'appui des autres représentants du Comex (notamment sur les aspects légaux et RH). Et que la DSI soit le premier département formé, pour fournir cet environnement technologique et le support associé. En d'autres termes : si interdiction il y a, elle doit être vue comme une simple étape au sein de toute une démarche proactive.