IA, cloud, et sécurité des usages : les bonnes pratiques pour bénéficier de la puissance de nouveaux outils en toute sécurité
En marge du Sommet sur l’IA organisé à Paris, L’Echo touristique publie une série d’articles autour de l’intelligence artificielle, en partenariat avec l’avocate Marie-Laure Tarragano et DTMV Avocats. Grimaud Valat, expert en droit du numérique et de l’IA, signe ce premier article.
Comme la presque totalité des métiers et des secteurs, le tourisme connaît une transformation numérique rapide.
Cette transformation a été considérablement accélérée par l’essor du « cloud computing » ou « informatique en nuage », c’est-à-dire l’ensemble des services numériques (stockage, logiciels, etc.) accessibles à distance via Internet, plutôt que sur des serveurs locaux.
C’est notamment via ces services en ligne que les entreprises du tourisme peuvent gérer leurs réservations, leurs bases clients ou leurs outils marketing sans investir dans une infrastructure coûteuse. Cette flexibilité leur permet d’accéder à leurs données et applications où qu’elles soient, d’améliorer leur réactivité et d’optimiser leurs coûts.
En effet, au-delà d’un simple changement technologique, le cloud a aussi profondément modifié le modèle économique des logiciels. Il entraîne une disparition progressive des licences dites « perpétuelles », s’assimilant à un achat en contrepartie d’un paiement unique, au profit de souscriptions à des abonnements mensuels ou annuels, souvent indexés sur le nombre d’utilisateurs ou la quantité de données traitées. Cette approche dite « SaaS » (Software as a Service) ou « PaaS » (Platform as a Service) permet d’accéder à des outils constamment mis à jour, avec des frais de maintenance réduits.
Cette modification structurelle et économique du modèle numérique a rendu possible l’émergence d’un nombre considérable d’applications en ligne, gratuites pour la plupart et d’une simplicité d’utilisation les mettant à la portée du grand public.
C’est notamment le cas de nombreux outils d’intelligence artificielle générative tels que ChatGPT, Midjourney ou Copilot mais aussi d’outils de productivité ou de gestion de données/projets comme Notion, Canva, WeTransfer, Google Drive, Trello…
Ces technologies offrent en effet des opportunités considérables pour améliorer la productivité, faciliter la gestion des données et l’organisation des tâches à effectuer.
Toutefois, leur adoption n’est pas anodine, et il est crucial de prévoir une gouvernance interne des usages afin de limiter les risques encourus par les entreprises et liés à la cybersécurité, à la responsabilité vis-à-vis des clients ainsi qu’à la conformité réglementaire.
1. Gouvernance et maîtrise des outils en cloud : la lutte contre le Shadow IT
Avec la multiplication des solutions SaaS nombreux sont ceux qui, dans les entreprises, utilisent des outils cloud et IA sans validation préalable des services IT ou de la direction. Ce phénomène, appelé « shadow IT », peut entraîner des failles de sécurité, une perte de contrôle sur les données sensibles et ainsi exposer à un risque réputationnel ou d’engagement de responsabilité.
Dans une étude de janvier 2024, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) a ainsi pu relever que 35% des incidents de cybersécurité étaient liées au Shadow IT, les responsables sécurité des systèmes d’informations (RSSI) des entreprises considérant à 82% que le risque lié à l’usage à des services de cloud non approuvés présentaient un risque élevé à très élevé [1].
Ce risque est d’autant plus élevé, que comme nous l’avons souligné précédemment, les outils rendus accessibles tant par leur gratuité que par leur mise à disposition en ligne, ne sont justement gratuits que parce qu’ils se nourrissent des données qui leur sont transmises.
L’adage : « si c’est gratuit, c’est vous le produit », très usité concernant les réseaux sociaux, est entièrement transposable en la matière.
Le risque de fuite d’informations confidentielles est ainsi colossal.
Par ailleurs, les outils d’IA générative tels que Copilot ou ChatGPT, bien que connectés à internet et étant dorénavant capables de « sourcer » leurs réponses, ne sont toujours pas… intelligents !
Ils donnent donc des réponses très assertives et bien rédigées, mais qui ont de grandes chances d’être entièrement fausses.
Il convient d’ajouter à cela que la production de contenus via des systèmes d’IA générative expose également à un risque non maitrisé d’exploiter quelque chose (texte ou image) qui peut être en tout ou partie une contrefaçon des données et œuvres utilisés pour entrainer le modèle.
L’usage de tels outils sans supervision ni cadre expose donc l’entreprise à un risque majeur de voir sa responsabilité engagée, et sa réputation gravement ternie.
Face à cela, il convient d’élaborer une politique de gouvernance des outils numériques au sein de toutes les entreprises, quelle que soit leur taille, et de sensibiliser les équipes aux risques du shadow IT.
Cela implique notamment de réaliser un recensement (potentiellement anonymisé) des outils utilisés, y compris ceux n’ayant pas été approuvés, et de la vision des équipes des solutions considérées comme nécessaires à l’exercice de leurs fonctions.
Cela permet en effet de donner une vision panoramique des usages et de penser une stratégie de déploiement sécurisée et rationnelle, tenant notamment compte des coûts du passage d’un usage gratuit mais dissimulé et dangereux de certaines solutions à un usage encadré, via des abonnements payants mais sécurisés.
2. Sécurité des données et protection des informations sensibles
L’usage des solutions en cloud implique un volume important d’échanges de données, notamment entre partenaires, clients et collaborateurs. Là encore, les outils gratuits disponibles en ligne (WeTransfer) ou inclus dans des environnements de travail (tel qu’Office 365) offrent des solutions particulièrement faciles à utiliser et satisfaisant la plupart des besoins.
Ces solutions n’offrent, pour autant, pas toutes le même niveau de sécurité, exposant ainsi les utilisateurs à des risques de fuites de données pouvant causer de graves préjudices aux entreprises, voire engager la responsabilité de ces dernières dès lors que de tels incidents portent atteinte à des tiers (clients, partenaires contractuels etc.).
L’usage de ces outils en ligne implique donc une bonne compréhension des enjeux et une maitrise de leur fonctionnement, de leurs avantages et de leurs failles.
Il semble avant tout crucial de bannir tout usage de services non sécurisés, comme les versions gratuites de certaines plateformes de transfert de données, dès lors qu’il s’agit de transmettre des informations un tant soit peu confidentielles. L’évaluation de l’équilibre entre praticité, coût et sécurité ne peut pas conduire à favoriser une solution gratuite à une solution payante dès lors qu’il s’agit d’assurer la protection de données confidentielles.
Les risques en termes de responsabilité et de réputation pour l’entreprise sont trop élevés.
Il semble par ailleurs nécessaire de maîtriser les outils communément utilisés et notamment de connaître les modalités de paramétrage de ces solutions. S’il est aisément compréhensible que le processus d’autorisation individuelle d’accès à un dossier partagé ou « drive » en ligne puisse sembler fastidieux, cela est pourtant nécessaire et demeure de toute façon moins contraignant que la gestion d’une crise juridique et médiatique en cas de fuite de données causée par l’usage d’un lien auquel l’accès n’est pas contrôlé.
Il est ainsi absolument nécessaire de veiller à la gouvernance interne de ces outils, y compris la gestion des accès, et à la formation des utilisateurs.
3.Conformité et cadre juridique
Au-delà de la gouvernance pratique des usages de ces outils, et des risques juridiques liés, il convient également de comprendre le cadre réglementaire.
Dès lors que l’on fait usage de solutions de cloud, la conformité au règlement Général sur la Protection des Données (RGPD) – qui est en tout état de cause une obligation légale – devient plus sensible encore.
En effet, l’un des enjeux majeurs du cloud computing est la question de la localisation et du transfert des données, dont certaines sont des données personnelles. De nombreuses solutions SaaS utilisées dans le secteur du tourisme sont hébergées hors de l’Union européenne, notamment aux États-Unis, où la réglementation en matière de protection des données diffère du RGPD. Cela implique des obligations spécifiques, notamment en matière contractuelle, et une réévaluation de la conformité de l’entreprise à cette réglementation.
Par ailleurs, le déploiement de solutions d’IA dans toute entreprise est désormais soumis au respect de la réglementation européenne sur l’intelligence artificielle. Cela implique une évaluation des actions à mettre en place pour assurer sa conformité qui doit être réalisée solution par solution, et avec l’accompagnement par un spécialiste de cette réglementation.
Conclusion
L’intégration du cloud et de l’IA dans le secteur du tourisme représente une formidable opportunité pour optimiser les services et répondre aux attentes des clients. Toutefois, leur usage doit être encadré par des pratiques rigoureuses en matière de gouvernance, de sécurité et de conformité réglementaire.
En adoptant ces bonnes pratiques, les entreprises peuvent tirer pleinement parti de la transformation numérique tout en protégeant leurs actifs et leurs clients.
Grimaud Valat, DTMV Avocats – expert en droit du numérique et de l’IA
[1] https://cesin.fr/articles-slug/?slug=2060-2060-9%C3%A8me+%C3%A9dition+du+barom%C3%A8tre+annuel+du+CESIN
