L’intelligence artificielle progresse de façon exponentielle dans tous les domaines et touche même le grand public. Dans les entreprises, les salariés l’emploient même durant leurs réunions en ligne. Quels sont les enjeux de l’IA en matière de sécurité des visioconférences ?
L’intelligence artificielle s’invite dans vos réunions en ligne
Des assistants virtuels communiquent à votre place
Certains acteurs de visioconférence proposent aujourd’hui des fonctions d’assistant virtuel, basées sur l’intelligence artificielle générative. Intégré dans la solution, l’assistant virtuel peut transcrire, traduire, sous-titrer les échanges d’une réunion en ligne ou encore en faire des résumés textuels synthétiques.
L’objectif ? Améliorer la productivité des utilisateurs en leur facilitant certaines tâches, comme les comptes-rendus de réunions par exemple. Le collaborateur peut se concentrer davantage sur la teneur des échanges pendant que l’IA fait son travail de synthétisation des communications.
Comment ça marche ?
Le « large langage model » est généralement utilisé pour agrémenter les visioconférences d’assistant virtuel. Ce modèle d’intelligence artificielle, bien connu par un large public avec Chat GPT, permet de comprendre et de générer du texte, de façon contextuelle et fluide. Ainsi, il est utilisé pour retranscrire textuellement des échanges en visioconférence ou créer des réponses automatiques.
Son entraînement est basé sur une large variété de données. Cela lui permet de comprendre et de produire du langage humain de façon très précise. Plus ce modèle traitera de la donnée, plus il sera performant et apportera de nouvelles réponses.
La promesse de performance interroge
Dans le cadre d’une entreprise, les données échangées durant des visioconférences peuvent être relatives à la propriété intellectuelle ou contenir des données personnelles de salariés. Lorsque ces données passent par un assistant virtuel, la question de la confidentialité se pose.
Au mois d’août dernier, l’éditeur de visioconférence américain Zoom a été au cœur d’une polémique. En cause, une mention dans ses conditions d’utilisation comprise comme une autorisation tacite d’utiliser les contenus échangés durant les réunions en ligne pour entraîner son outil d’IA. Cette affaire a été rapidement clôturée par l’éditeur lui-même, celui-ci prétendant respecter l’intégrité des données. Pour autant, les réactions ont démontré la vive vigilance des utilisateurs concernant la protection de leur vie privée. La polémique a également ouvert le débat sur la sécurité et la confidentialité des communications traitées par l’IA.
Les données sensibles peuvent être exposées
Des possibilités d’attaques
Un rapport publié par Cyberhaven en février 2023 indique que les données sensibles représentent 11 % de ce que les employés renseignent dans ChatGPT. Pourtant, les salariés ont peu de garanties (si ce n’est aucune) sur la protection des données qu’ils offrent à l’IA. D’ailleurs, dès 2021, des chercheurs avaient alerté sur les « attaques d’extraction de données d’entraînement ». En d’autres termes, ils ont observé la possibilité de récupérer des éléments textuels partagés à Chat GPT-2 en interrogeant le système sur des éléments précis qu’il aurait précédemment appris. Ces techniques permettraient aussi de dévoiler des informations personnelles. Dans le cadre des visioconférences qui intègrent de l’IA générative, des données comme la récurrence, les participants ou le sujet d’une réunion sont partagées. Grâce à un enchaînement d’interrogations contextuelles, des individus pourraient tenter de récupérer ces informations auprès du système d’IA.
Certains salariés inquiets pour leurs données personnelles
L’étude Perspectives de l’emploi de l’OCDE donne chaque année une évaluation des principales évolutions des marchés du travail dans les pays membres de l’Union Européenne. Dans son édition 2023, l’OCDE réalise un focus sur l’impact de l’intelligence artificielle pour les salariés. On y apprend que 57% des salariés européens dans les secteurs de la finance et de l’industrie manufacturière sont inquiets quant à la protection de leur vie privée, à l’ère de l’IA.
Et pour cause, « le volume de données à caractère personnel traitées par les systèmes d’IA est souvent supérieur à celui des données collectées par les humains ou par d’autres technologies » indique également l’analyse. Ainsi, durant des visioconférences sensibles, comme des Codir ou Comex, certaines données confidentielles peuvent être collectées. Ceci dans le but de générer des résumés par exemple. Mais comment s’assurer qu’elles sont bien protégées et ne seront pas réemployées ? Si l’intelligence artificielle générative apprend des données qu’on lui offre, est-il possible qu’elle puisse les réutiliser lorsqu’elle proposera des réponses à d’autres utilisateurs ?
Des pistes pour sécuriser davantage les communications avec IA
Comme le souligne l’OCDE, au sein de l’UE, le Règlement Général de la Protection des Données (RGPD) garantit la protection des données personnelles et impose des obligations aux entités qui les traitent. Avec l’IA, les droits pour la collecte et le traitement des données s’appliquent dans des dimensions particulières. Le système doit garantir la transparence et l’accès aux informations, la correction, la suppression et la limitation du traitement.
Dans certains pays, des projets de lois visent à obliger l’information des personnes qui interagissent avec l’intelligence artificielle ou à être plus transparent sur la façon dont celle-ci produit des données.
Au sein de l’UE, l’AI Act a vu le jour en 2021 comme la première régulation en matière d’intelligence artificielle. Ainsi, elle précise que « des initiatives telles que la stratégie de cybersécurité de l’UE, la législation sur les services numériques et la législation sur les marchés numériques, ainsi que la loi sur la gouvernance des données, fournissent l’infrastructure appropriée pour la mise en place de tels systèmes. ». Des niveaux de risque ont également été fixés afin d’ajuster les mesures de sécurité à mettre en place.
La souveraineté numérique et européenne : autre enjeu majeur
Pour les solutions de visioconférence embarquant de l’IA générative, la vigilance est donc de mise. D’abord, un haut niveau de sécurité de ces solutions est indispensable pour préserver la confidentialité des données échangées. La visioconférence et ses mécanismes d’IA doivent être soumises à des réglementations fermes en matière de protection des données, comme le RGPD. Cet enjeu de souveraineté fait d’ailleurs l’objet de discussions au sein du récent comité interministériel français sur l’IA générative. Celui-ci compte ainsi développer « une filière de développement souveraine de modèles d’IA ».
Enfin, les éditeurs de solutions visioconférences doivent faire preuve de transparence et donner des garanties claires aux utilisateurs sur l’emploi de leurs données. À noter que lorsque ces solutions n’embarquent pas de véritable système de chiffrement de bout en bout, la protection des communications qu’ils font transiter n’est jamais assurée.
Visa de sécurité ANSSI : un gage de fiabilité
Depuis plus de 5 ans, Tixeo est la seule solution française de visioconférence sécurisée à être certifiée et qualifiée par l’ANSSI, grâce à son approche Secure By Design et sa technologie de chiffrement de bout en bout.