Garantir la souveraineté de ses données tout en utilisant l’intelligence artificielle : ce sujet, à la fois sensible et complexe, a été abordé par deux experts, lors d’un webinaire organisé par « La Gazette des communes », le 10 octobre.
M° Schéhérazade Abboub, avocate associée chez Alerion avocats, et Sébastien Valla, DSI de Saint-Etienne (ville et métropole) ont répondu à vos questions, et défendu une approche pragmatique de l’IA dans les collectivités.
Nous vous proposons des extraits de ce webinaire, pour lesquels nous nous sommes aidés d’une IA pour les rédiger : Microsoft Copilot a retranscrit l’ensemble des échanges, ce qui représente quelque 10.000 mots. Nous avons ensuite sélectionné quelques passages qui nous semblaient pertinents. Une retranscription intégrale de l’oral à l’écrit est bien souvent indigeste, voire illisible : nous avons donc effectué des coupes et (parfois) ajouté ou modifié un mot pour améliorer la compréhension.
Retrouvez, en bas de cet article, la vidéo intégrale.
Comment peut-on réglementer l’utilisation de l’IA au sein des collectivités ? Devrait-on restreindre l’accès à des outils comme ChatGPT ou Microsoft Copilot, ou faire un rappel dans une charte d’utilisation ?
Schéhérazade Abboub : Ce qui est inédit avec cette réglementation autour de l’IA… c’est qu’il n’y en a pas ! Bien sûr, on a des choses dans notre réglementation française. D’abord la loi Informatique et Libertés, dont on est très fiers, parce que depuis 1978, elle protège très bien les données à caractère personnel en France et elle a inspiré le RGPD.
Mais si on devait parler de droit français de l’IA, bizarrement, il n’y en a pas encore. Il y a un droit européen de l’IA, il y a le règlement sur l’intelligence artificielle qui est entré en vigueur cet été. Mais ce règlement, il va falloir qu’on se l’approprie et qu’on crée un droit de l’IA à la française.
Sébastien Valla : A mon avis, on ne parviendra pas à bloquer totalement les usages, notamment avec la mobilité et le télétravail. Nos collègues trouveront des solutions pour contourner ces blocages. Il est préférable de sensibiliser et former les agents. Les DSI doivent informer sur les risques cyber et RGPD associés, parce qu’on est dans le même périmètre de sujet, celui des risques informatiques et des fuites de données. L’autre point, c’est bien sûr une charte associée pour responsabiliser nos utilisateurs. Parce que c’est aussi le levier qu’on peut activer pour dire « attention, il faut nous écouter ». Et le dernier point, c’est de proposer des solutions d’IA alternatives. Des solutions commencent à être bien consolidées, structurées et se rapprochent de la conformité au RGPD.
Que faut-il surveiller juridiquement, techniquement, quand on achète une IA ?
Schéhérazade Abboub : Un élément très important : définir son besoin. Tout le problème de l’IA, qui est un peu tentaculaire, c’est d’arriver à trouver un juste milieu, d’autant plus qu’on n’a pas de définition claire. Il faut trouver un juste milieu entre quelque chose qui serait trop large et qui ne ressemblerait plus vraiment à un besoin, et quelque chose qui serait trop restreint, et qui exclurait plein d’entreprises.
D’autre part, j’aime bien parler de l’achat innovant parce que ça permet parfois de favoriser l’accès des PME à la commande publique. C’est le cas de cette fameuse dérogation qui vous permet d’acheter des achats innovants en dessous de 100.000 euros. Pour certains, c’est très peu, pour d’autres, PME ou petites entreprises, c’est beaucoup. Ça leur permet de déployer une IA, même à titre de POC, d’expérimentation, mais au moins ça permet de commencer à s’approcher du sujet. Et puis, pour les plus gros contrats, on a les partenariats d’innovation, les marchés globaux qui eux aussi permettent d’innover.
Qui est « Victor » ?
Sébastien Valla : Victor, c’est un assistant virtuel que nous utilisons depuis plus de deux ans à Saint-Etienne. Il permet de répondre à des questions simples, comme « j’ai perdu mon mot de passe ». C’est l’assistant technique de l’informatique, il répond aux questions basiques. On avait déjà un chatbot ancienne génération et depuis deux ans, on a mis en place Victor avec les dernières couches LLM, et j’insiste, open source. Cette solution française fonctionne maintenant. Mais des tas d’autres solutions françaises existent. Victor est un outil qui aide à mieux répondre aux agents et qui le fait surtout d’une manière permanente.
Qui doit former ou sensibiliser les agents ? C’est la DSI ? C’est le service juridique ? Les deux ?
Sébastien Valla : Je pense que c’est un ensemble avec le service formation. Il me semble très important – et ce n’est pas acté chez nous – d’obliger d’être formé sur ces sujets. La DSI aimerait qu’on oblige tout nouvel arrivant à se former au sujet cyber, au sujet IA et au sujet des données au sens large du terme. On a des outils plutôt bien faits qui permettent de rentrer dans un cursus de formation très agréable, très didactique, et qui peut être séquencé dans le temps comme on le veut.
Schéhérazade Abboub : D’un point de vue pédagogique, il va falloir acculturer, former, c’est évident. Mais avant ça, déjà, il va falloir aussi se poser, examiner son besoin. Et voir comment sont structurées ses propres données. C’est quand même le premier acte, hyper important. Donc il y a aussi à s’acculturer et à se former sur la data, en plus de l’IA.
Accédez au au replay intégral du webinaire :
Evénement réservé aux abonnés
Gazette des Communes