HmbBfDI : Liste de con­trô­le pour l’uti­li­sa­ti­on de chat­bots basés sur LLM

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

Ven­te à emporter (AI)
  • Des direc­ti­ves clai­res en matiè­re de con­for­mi­té, l’im­pli­ca­ti­on des respons­ables de la pro­tec­tion des don­nées et la mise à dis­po­si­ti­on de comp­tes fonc­tion­nels sécu­ri­sés plutôt que de comp­tes privés.
  • Inter­dic­tion d’entrer/de sor­tir des don­nées per­son­nel­les, opt-out de la formation/de l’hi­sto­ri­que et véri­fi­ca­ti­on de l’e­xac­ti­tu­de et de la discrimination.
  • Pas de décis­i­on fina­le auto­ma­ti­sée ; sen­si­bi­li­ser les col­la­bo­ra­teurs ; sur­veil­ler les aspects juri­di­ques (droit d’au­teur, secrets com­mer­ci­aux, AI-Act).

Le délé­gué ham­bour­geois à la pro­tec­tion des don­nées et à la liber­té d’in­for­ma­ti­on (HmbBfDI) a lan­cé un Liste de con­trô­le pour l’uti­li­sa­ti­on de chat­bots sur la base de Lar­ge Lan­guage Models (LLMs), com­me par exemp­le ChatGPT, en alle­mand et en anglais.

La liste de con­trô­le com­prend les points suivants :

  1. Règles de con­for­mi­té don­ner des ins­truc­tions (direc­ti­ves, etc.)
  2. Responsable de la pro­tec­tion des don­nées intégrer
  3. Mise à dis­po­si­ti­on d’un Comp­tes de fonc­tion (pour que les col­la­bo­ra­teurs ne soi­ent pas obli­gés d’uti­li­ser un comp­te pri­vé ; idéa­le­ment, le comp­te dev­rait être sans nom)
  4. Sécu­ri­sé Authen­ti­fi­ca­ti­on (pour que les pira­tes ne pui­s­sent pas abu­ser du compte)
  5. Pas de Sai­sie de don­nées à carac­tère per­son­nel (cli­ents, par­ten­aires com­mer­ci­aux, pro­pres don­nées per­son­nel­les du collaborateur)
  6. Pas de Édi­ti­on de don­nées à carac­tère per­son­nel (par­ce que l’IA peut inté­grer des infor­ma­ti­ons pro­venant d’In­ter­net ; les invi­tes ne dev­rai­ent donc pas viser des don­nées per­son­nel­les, par exemp­le pas de que­sti­ons “qui”)
  7. Atten­ti­on aux don­nées per­son­nel­les (c.-à‑d. aucu­ne sai­sie de don­nées qui, dans le con­tex­te, per­met­tent une réfé­rence personnelle)
  8. Opt-out du For­ma­ti­ons à l’IA (par ex. désac­ti­va­ti­on de “Chat histo­ry and training”)
  9. Opt-out de la Histoire (sur­tout si plu­sieurs per­son­nes uti­li­sent le même compte)
  10. Résul­tats véri­fier l’exactitude
  11. Résul­tats véri­fier s’il y a dis­cri­mi­na­ti­on (il ne faut pas sui­v­re, par exemp­le, une recom­man­da­ti­on de pour­voir un poste vacant avec des “hom­mes portant des lunettes” ( ?))
  12. Pas de décis­i­on fina­le auto­ma­ti­sée (pas de pri­se en char­ge de recom­man­da­ti­ons, par exemp­le par­ce que la maniè­re dont une recom­man­da­ti­on est for­mulée n’est pas claire)
  13. Employés sen­si­bi­li­sent (con­cer­nant l’uti­li­sa­ti­on auto­ri­sée de tels outils)
  14. La pro­tec­tion des don­nées ne fait pas tout (les droits d’au­teur, les secrets com­mer­ci­aux, etc. doi­vent éga­le­ment être pris en compte)
  15. Aut­res Déve­lo­p­pe­ment (par exemp­le, l’AI Act, qui régle­men­te éga­le­ment les utilisateurs).