1.0 Préambule et Objectifs
L’émergence et la démocratisation de l’intelligence artificielle représentent une avancée considérable, offrant des perspectives inédites en matière d’automatisation, d’optimisation et d’innovation. Cependant, ce développement rapide engendre de nouvelles responsabilités et expose notre entreprise à des risques significatifs en matière de sécurité, de confidentialité et d’éthique.
Les objectifs principaux de cette directive sont :
- Encadrer l’utilisation : Fournir un cadre clair et unifié pour maximiser les bénéfices de l’IA tout en maîtrisant les risques.
- Protéger les actifs : Garantir la protection des informations sensibles et éviter l’exposition aux lois extraterritoriales via des outils hébergés à l’étranger.
- Promouvoir une utilisation responsable : Assurer une vigilance humaine constante et éviter la délégation totale de décisions critiques à une machine.
Cette directive s’applique à tous les employés, départements et filiales.
2.0 Identification des Risques Majeurs
Basé sur des menaces identifiées par la Direction Générale de la Sécurité Intérieure (DGSI).
2.1 Risque de Divulgation d’Informations Confidentielles
⚠️ Cas concret : L’utilisation d’outils de traduction ou de rédaction « gratuits » en ligne pour des documents internes expose ces données à être stockées sur des serveurs étrangers et utilisées pour entraîner des modèles publics, créant un risque critique de fuite.
2.2 Risques liés à la Prise de Décision Automatisée
Une confiance excessive en l’IA peut engendrer :
- Perte de contrôle : Diminution de la vigilance humaine et effet « Boîte Noire » (décisions inexplicables).
- Biais et Discrimination : Reproduction des biais présents dans les données d’entraînement.
- Hallucinations : Génération d’informations plausibles mais factuellement fausses.
2.3 Risques de Cyberattaques et Malveillance
L’IA amplifie les menaces suivantes :
| Type d’Attaque | Description et Impact |
| Génération de contenus malveillants | Phishing et faux sites web imitant parfaitement le style humain. |
| Spear Phishing amélioré | Attaques ultra-ciblées basées sur l’analyse de données publiques. |
| Deepfakes (Hypertrucage) | Usurpation d’identité (voix/vidéo) d’un dirigeant pour fraude ou chantage. |
| Exemples contradictoires | Manipulation de données d’entrée pour tromper l’IA. |
| Empoisonnement des données | Injection de fausses données durant l’apprentissage pour saboter l’IA. |
3.0 Règles Impératives de Sécurité
Ces règles sont des obligations strictes.
3.1 Gestion des Données et Confidentialité
- ⛔ Interdiction formelle des données sensibles : Ne JAMAIS soumettre d’information stratégique, commerciale ou financière dans un outil d’IA non approuvé.
- ⛔ Interdiction des données personnelles : Pas de noms, adresses ou coordonnées (conforme au RGPD).
- ✅ Anonymisation systématique : Toute requête sur un outil approuvé doit être rendue anonyme.
3.2 Sélection des Outils
- Outils approuvés uniquement : Utilisez exclusivement les outils validés par la DSI (privilégier l’IA générative payante de l’entreprise).
- Souveraineté : La priorité est donnée aux solutions hébergées en France/Europe.
3.3 Vérification Humaine (Human-in-the-loop)
- Vérification systématique : Aucune décision critique ne doit être prise par l’IA seule. Tout résultat doit être validé par un expert humain.
- Transparence : Signalez systématiquement l’usage de l’IA dans vos livrables.
4.0 Rôles et Responsabilités
- Collaborateurs : Appliquer les règles, utiliser les outils approuvés, faire preuve d’esprit critique et signaler les incidents.
- Management : Former les équipes, promouvoir la sécurité et valider la pertinence des cas d’usage.
- DSI (Direction des Services Informatiques) : Définir les outils sécurisés, former les utilisateurs et gérer les incidents de sécurité.
5.0 Non-Conformité et Signalement
Le non-respect de cette directive (notamment la fuite de données via des outils non autorisés) constitue une faute professionnelle pouvant entraîner des sanctions jusqu’au licenciement.
🚨 Signalement immédiat : Pour tout événement suspect (phishing, deepfake) ou question :
👉 Email : securite-informatique@[nom_de_l_entreprise].com
Le « Mémo Synthétique » (Pour email ou affichage)
Si vous devez communiquer ces règles rapidement aux équipes sans leur faire lire tout le document juridique, voici une version résumée :
OBJET : Les 5 Commandements de l’IA chez [Nom de l’Entreprise]
Pour profiter de l’IA sans mettre en danger notre entreprise, voici les règles d’or à respecter dès aujourd’hui :
- PAS DE SECRETS DANS L’IA : Ne copiez-collez jamais de données confidentielles, stratégiques ou de données clients (RGPD) dans ChatGPT, DeepL gratuit ou autres outils publics.
- OUTILS VALIDÉS UNIQUEMENT : Utilisez exclusivement les solutions fournies et approuvées par la DSI.
- L’HUMAIN RESTE LE PILOTE : L’IA propose, vous disposez. Vérifiez toujours les informations générées (risque d’erreurs et d’hallucinations).
- SOYEZ TRANSPARENTS : Si un rapport a été généré avec l’aide d’une IA, mentionnez-le.
- VIGILANCE CYBER : Attention aux deepfakes (vidéo/audio) et aux emails de phishing ultra-réalistes. En cas de doute, vérifiez par un autre canal.
Le non-respect de ces règles de confidentialité expose à des sanctions disciplinaires. Pour toute question : contactez la DSI.
