Principales inquiétudes liées à l’IA et à la protection des données

L’intelligence artificielle est arrivée : 96 % des organisations sondées pour le rapport F5 2025 State of Application Strategy déploient déjà des modèles d’IA.

Alors que l’IA vous aide à travailler plus intelligemment, plus vite et plus efficacement, elle soulève aussi des inquiétudes et des risques. Les systèmes d’IA, notamment ceux basés sur l’apprentissage automatique et les grands modèles de langage (LLM), tirent leur puissance de vastes volumes de données, utilisées pour entraîner et affiner les modèles d’IA et alimenter leurs moteurs. Ces données peuvent comprendre des informations sensibles telles que des identifiants personnels, des comportements, des données de localisation ainsi que des dossiers financiers et médicaux. Avec l’intégration croissante de l’IA dans les applications quotidiennes, le risque d’exposer ou d’abuser de données personnelles s’accentue : La protection de la confidentialité des données liées à l’IA est devenue une priorité essentielle.

Ce billet de blog analyse la notion de confidentialité liée à l’IA et détaille les risques que l’IA fait peser sur la protection des données. Il passe également en revue la réglementation sur la confidentialité de l’IA et vous guide pour assurer la protection des données dans vos applications d’IA.

Le public s'inquiète beaucoup pour sa vie privée, mais il manque aussi cruellement d'informations sur la façon de se protéger. Selon Pew Research, 70 % des Américains ne font pas confiance aux entreprises pour utiliser l'IA de manière responsable, et 81 % pensent que les organisations se serviront de leurs informations personnelles de façon gênante. L'enquête montre que 78 % des répondants jugent savant protéger leurs informations personnelles, pourtant 56 % acceptent souvent, presque toujours ou systématiquement les politiques de confidentialité en ligne sans les lire.

Les opinions publiques sur l’utilisation des données personnelles par l’IA varient fortement selon le contexte. D’après le même rapport Pew Research, seuls 28 % des sondés acceptent que l’IA détermine l’accès aux aides publiques, alors que 42 % ne s’inquiètent pas qu’un haut-parleur intelligent analyse les voix pour identifier les utilisateurs.

Vous devez prendre en compte les obligations réglementaires liées à l’IA et à la confidentialité des données, tout en étant attentif au ressenti et aux attentes du public sur l’utilisation des données personnelles.

Les systèmes d’IA présentent des risques pour la confidentialité des données à chaque étape du cycle de vie. Vous devez comprendre et gérer ces risques tout au long du développement et du déploiement pour garantir une utilisation éthique et sécurisée des données.

• Ingestion des données.  Les modèles d’IA exigent d’importants jeux de données pour l’entraînement, et c’est souvent lors de la collecte que le risque pour la confidentialité est le plus élevé, surtout quand elle porte sur des données sensibles comme les informations médicales, financières ou biométriques. Des données personnelles ont peut-être été recueillies sans consentement clair ou sans transparence suffisante pour les personnes concernées.
• Entraînement d’un modèle d’IA. Lors de l’entraînement, un modèle d’IA identifie des schémas à partir des données reçues.  Même avec un consentement, les modèles d’IA peuvent exploiter les données personnelles au-delà des finalités initiales. Cette étape soulève des questions de confiance et de transparence, surtout si vous avez l’impression que l’usage de vos données par l’IA n’a pas été clairement expliqué. Par exemple, vous pourriez accepter qu’une organisation utilise vos données pour gérer votre compte, mais pas si elles servaient à l’entraînement d’un système d’IA sans votre accord.
• Moteur d'inférence. L'étape d'inférence est celle où le modèle d'IA formé est utilisé pour générer des informations ou des prédictions à partir de nouvelles données. Les risques liés à la confidentialité apparaissent ici parce que Les systèmes d’IA peuvent faire des déductions très précises sur les individus sur la base d’entrées apparemment inoffensives et anonymisées, ou ils peuvent révéler ou amplifier les biais qui existaient dans les données de formation. Cette situation est similaire à celle du renseignement de source ouverte (OSINT), la pratique consistant à recueillir des renseignements à partir de sources accessibles au public. L'OSINT joue un rôle essentiel dans la cybersécurité, la détection des menaces, les enquêtes et la recherche concurrentielle en transformant les données ouvertes en informations stratégiques. Cependant, l’OSINT n’implique pas accès non autorisé ou de piratage, mais uniquement la collecte de données légalement et publiquement disponibles.
• Couche application. Les applications d’IA attirent les hackers, car elles représentent la partie la plus visible et accessible d’un système d’IA. Les attaquants exploitent les API ou services web pour accéder à des volumes importants de données sensibles. Les applications d’IA peuvent aussi exposer involontairement des données sensibles à des utilisateurs légitimes à cause de contrôles d’accès insuffisants, de messages d’erreur trop explicites ou de réponses d’IA excessivement détaillées.

Les systèmes d’IA générative, comme les LLM utilisés pour produire du texte, des images, du code ou de l’audio, comportent des risques élevés pour la confidentialité des données. Nous entraînons la plupart des modèles d’IA sur des ensembles de données collectés depuis l’Internet public, souvent sans obtenir l’autorisation explicite ni le consentement éclairé de leurs sources ou créateurs. Par ailleurs, ces données peuvent inclure des informations personnelles identifiables que le système d’IA générative risque de divulguer lors de l’inférence.

Les applications d’IA générative, notamment les assistants d’écriture destinés au grand public, les chatbots et les générateurs d’images, fonctionnent généralement de manière interactive et sont accessibles via le web. Cela les expose aux injections de requêtes, par lesquelles des attaquants créent des données d’entrée visant à manipuler le comportement du modèle, contourner les contrôles ou inciter l’IA à produire des contenus restreints, offensants ou confidentiels. Par ailleurs, les utilisateurs peuvent coller des informations personnelles ou sensibles dans ces outils d’IA sans savoir que ces données sont souvent stockées dans le système et exploitées pour former ou ajuster des modèles futurs, ce qui peut entraîner une fuite accidentelle d’informations.

Ces deux facteurs génèrent ensemble des scénarios à haut risque, où un LLM entraîné sur du contenu non consenti ou sensible pourrait être sollicité pour recréer ce contenu et divulguer des informations personnelles, ou où vous pourriez soumettre involontairement des données sensibles dans les requêtes, les exposant à un accès non autorisé ou à une réutilisation.

Avec l’accélération de l’adoption de l’IA, les gouvernements élaborent ou actualisent des lois pour encadrer les risques liés à la confidentialité des données dans les systèmes d’IA, notamment ceux utilisant ou stockant des données personnelles ou sensibles. Aujourd’hui, 144 pays ont adopté des lois nationales sur la protection des données, tandis que d’autres, comme les États-Unis, disposent d’un ensemble hétérogène de lois locales. Ces réglementations ne ciblent pas toutes spécifiquement l’IA, mais la plupart des systèmes d’IA doivent s’y conformer.

Voici des exemples de lois sur la protection des données.

• Règlement général sur la protection des données de l’Union européenne (RGPD)
  Le RGPD vous oblige à collecter et utiliser les données personnelles de façon juste, transparente et pour des finalités claires définies dès la collecte. Vous devez limiter la collecte aux données strictement nécessaires, veiller à conserver ces données uniquement aussi longtemps que nécessaire, et appliquer des mesures rigoureuses pour assurer leur sécurité et confidentialité. Même si le RGPD ne mentionne pas spécifiquement l’intelligence artificielle, tout système d’IA traitant des données personnelles doit respecter pleinement ses principes, garantissant une gestion responsable des données pendant tout le cycle de vie de l’IA.
• Règlement sur l’intelligence artificielle de l’Union européenne
  Le règlement IA de l’UE est le premier cadre réglementaire global sur l’intelligence artificielle mis en place par une autorité majeure. Il interdit les applications d’IA présentant un « risque inacceptable », comme le classement social géré par l’État ou la collecte indiscriminée d’images faciales issues de la vidéosurveillance. Il impose également des obligations légales strictes aux systèmes d’IA « à haut risque », notamment ceux utilisés pour le tri des CV lors des recrutements. Les développeurs de ces systèmes doivent appliquer une gouvernance rigoureuse des données, garantissant que tous les jeux de données de formation, de validation et de test respectent des critères de qualité précis.
• Réglementations des États américains
  La California Consumer Privacy Act (CCPA) et la Texas Data Privacy and Security Act donnent aux individus un contrôle renforcé sur leurs données personnelles. Ces lois confèrent des droits essentiels, comme connaître les méthodes de collecte, d’utilisation et de partage des données, demander la suppression des informations personnelles, et refuser la vente ou la diffusion de ces données.
  
  La Utah Artificial Intelligence and Policy Act cible spécifiquement les applications d’intelligence artificielle générative à haut risque. Elle impose aux systèmes d’IA de fournir des avertissements clairs quand vous interagissez avec une IA générative, assurant ainsi transparence et information pour des échanges conscients avec l’IA.

Le cabinet d'avocats White & Case publie AI Watch : Suivi mondial de la réglementation, une ressource fiable pour rester informé des règles relatives à la confidentialité de l'IA.

À mesure que la complexité et l’étendue des systèmes d’IA augmentent, vous devez protéger la confidentialité des données tout au long du cycle de vie de l’intelligence artificielle. Adoptez ces bonnes pratiques pour assurer votre conformité, renforcer la confiance des utilisateurs et minimiser les risques.

• Développer des politiques de gouvernance des données solides . Des lignes directrices complètes devraient inclure la classification des données, les contrôles d'accès basés sur les rôles, les stratégies de sécurité des données telles que le cryptage et la pseudonymisation, les audits réguliers et l'alignement sur les réglementations pertinentes en matière de confidentialité des données telles que le RGPD et le CCPA.
• Réduisez la collecte de données. Ne collectez que les données indispensables au bon fonctionnement du système d’IA. Réduire les données collectées limite les risques d’exposition et répond aux exigences de nombreuses législations sur la protection des données.
• Obtenez un consentement explicite. Expliquez clairement aux utilisateurs comment vous collecterez, utiliserez et stockerez leurs données. Assurez-vous toujours d’obtenir leur consentement explicite et éclairé avant toute collecte ou utilisation de données personnelles. Cette transparence n’est pas seulement une obligation légale dans de nombreuses juridictions, elle renforce aussi la confiance des utilisateurs.
• Vérifiez la chaîne d'approvisionnement des données de formation. Assurez-vous que les ensembles de données tiers utilisés pour entraîner les modèles d’IA sont fiables et respectent des pratiques rigoureuses en matière de confidentialité des données.
• Suivez les meilleures pratiques générales de sécurité applicative. Renforcez les bases de vos systèmes d’IA en appliquant des mesures de sécurité des données éprouvées, notamment une gestion rigoureuse des identités et des accès, un chiffrement des données en transit et au repos, ainsi que l’anonymisation pour protéger les informations personnelles.
• Menez des évaluations des risques de manière continue. La gestion des risques ne se fait jamais en une seule fois, et elle exige une vigilance accrue avec l’IA, qui évolue rapidement et vous pousse à réévaluer régulièrement les risques liés à la vie privée. Réalisez des évaluations constantes pour détecter les menaces émergentes, garantir la conformité, et ajuster les politiques de gouvernance selon les besoins.
• Exploitez les logiciels pour renforcer la protection des données. Servez-vous d’outils intelligents comme la plateforme F5 de livraison et de sécurité des applications pour mieux observer, assurer la conformité à la législation sur la confidentialité et suivre en temps réel les flux de données sensibles dans les applications d’IA.
• Évaluez les politiques de confidentialité des fournisseurs et des partenaires. Vérifiez que tous vos partenaires technologiques et prestataires adoptent des pratiques rigoureuses en matière de confidentialité et de sécurité des données. Les données liées à l’IA transitent souvent par des écosystèmes partagés, d’où l’importance d’une gouvernance tierce pour réduire les risques ; consultez ici les engagements de confidentialité des données de F5.

Une exigence commune aux réglementations spécifiques à l’IA consiste à classer les applications d’IA selon leur niveau de risque. Cette approche fondée sur les risques vous permet de mettre en place des protections et une surveillance adaptées à l’impact potentiel du système d’IA.

Les applications d’IA à risque élevé peuvent inclure :

• Systèmes essentiels à la sécurité, qui intègrent des fonctions d'IA dans les infrastructures critiques, les transports ou les dispositifs médicaux, où une défaillance pourrait mettre en danger des vies ou des biens.
• Systèmes d’emploi et d’éducation, où nous utilisons des outils d’IA pour les recrutements, les admissions, les évaluations de performance ou l’accès aux opportunités éducatives, et où tout biais ou erreur peut affecter profondément vos droits et vos perspectives.
• Sécurité publique et maintien de l'ordre, où vous utilisez des systèmes de reconnaissance faciale, de police prédictive, de surveillance ou d’évaluation des risques qui peuvent soulever des questions liées aux libertés civiles et à la discrimination.
• IA générative accessible au public, lorsque vous permettez aux utilisateurs d’accéder directement à des applications qui créent du texte, des images ou des vidéos, notamment dans des contextes où les résultats peuvent influencer les comportements, propager des fausses informations ou révéler involontairement des données sensibles.

Les États-Unis Le National Institute of Standards and Technology (NIST) a publié en 2023 un cadre de gestion des risques liés à l’intelligence artificielle (AI RMF) qui apporte des recommandations pratiques adaptées à plusieurs secteurs et usages. Ce cadre vous sera utile en tant que développeur d’applications IA, car il n’impose pas une classification large des applications à haut risque, mais vous guide pour évaluer les risques et définir les mesures pour les réduire.

Le noyau du RMF pour l’IA s’organise en quatre fonctions principales qui illustrent une gestion des risques liés à l’intelligence artificielle continue et cyclique :

1. Gouvernez. Établissez et supervisez les politiques, processus, procédures et pratiques de votre organisation pour encourager un développement responsable de l’IA, tout en assurant transparence et mise en œuvre efficace.
2. Cartographiez. Comprenez le contexte d’utilisation du système d’IA et analysez son cycle de vie complet pour évaluer les risques et impacts possibles à chaque phase de développement.
3. Mesurer. Évaluez, suivez et quantifiez les risques et impacts de l’IA grâce à des outils, indicateurs et méthodes d’évaluation adaptés.
4. Gérez. Priorisez et réagissez aux risques en appliquant des mesures et contrôles pour réduire les dommages et maximiser l’efficacité. Allouez des ressources pour surveiller les systèmes d’IA, répondre aux incidents, assurer leur récupération et communiquer efficacement.