Sécurité des données : un facteur essentiel pour une IA digne de confiance

La sécurité des données et l’utilisation éthique de l’IA ont été des considérations essentielles pour Thomson Reuters alors que nous développons des solutions telles que CoCounsel, notre assistant d’IA générative (GenAI) pour les professionnels du droit, de la fiscalité et de la comptabilité.

Nous avons parlé avec Carter Cousineauvice-présidente de la gouvernance des données et des modèles de Thomson Reuters, pour expliquer comment son entreprise assure aux utilisateurs de sa technologie d’IA que leurs données sont protégées des cybercriminels. Le travail de Carter comprend l’élaboration des programmes de sécurité et d’éthique des données d’IA de Thomson Reuters.

Questions et réponses avec Carter

Quelles mesures Thomson Reuters met-il en œuvre pour protéger les données des utilisateurs et se conformer aux réglementations en matière de confidentialité des données ?

Tout type de projet impliquant la création et l’utilisation de cas d’utilisation de l’IA et des données passe par ce que nous appelons une « évaluation de l’impact des données ». Ce terme semble simple par rapport à ce qu’il couvre réellement. Le modèle d’évaluation de l’impact des données que nous avons développé intègre la gouvernance des données, la gouvernance du modèle, les questions de confidentialité, les questions soulevées par le directeur juridique de Thomson Reuters, les questions de propriété intellectuelle et la gestion des risques liés à la sécurité de l’information. Nous avons commencé notre processus de développement d’évaluation de l’impact sur les données en intégrant notre évaluation de l’impact sur la vie privée dans la première version.

Dans une évaluation de l’impact des données, nous utilisons le terme « cas d’utilisation » pour désigner un projet ou une initiative d’une entreprise de Thomson Reuters. Nous poserons à l’entreprise plusieurs questions dans notre processus d’évaluation, telles que :

  • Quels sont les types de données dans ce cas d’utilisation ?
  • Quels sont les types d’algorithmes ?
  • Quelle est la juridiction dans laquelle vous essayez d’appliquer ce cas d’utilisation ?
  • Au final, quelles sont les finalités du produit ?

En termes d’identification des risques, c’est là que de nombreuses questions de confidentialité et de gouvernance entrent en jeu.

Nous élaborons ensuite des plans et des techniques d’atténuation clairs associés à chacun des différents risques. Ce processus consiste notamment à garantir que les données sont anonymisées si nécessaire, qu’un accès et une sécurité appropriés sont en place et que des accords de partage de données ont été établis. Du point de vue de la confidentialité, nous nous efforçons de comprendre la sensibilité des données lorsqu’un cas d’utilisation utilise, par exemple, des données personnelles. Ensuite, nous appliquons les contrôles nécessaires.

À quelle fréquence auditez-vous et mettez-vous à jour les mesures de sécurité ?

Lorsque l’IA générative a fait son apparition, nous avons élaboré des directives spécifiques pour Thomson Reuters. Il existe des documents procéduraux que nous mettons constamment à jour tout au long de l’année, et ces documents incluent également des réponses d’atténuation. Nous avons cartographié chacune de nos déclarations standard en fonction de l’ensemble des contrôles qui seraient ou pourraient être appliqués en fonction du scénario de risque, et chacune de ces déclarations fait l’objet d’un examen et d’une évaluation beaucoup plus fréquents.

Nous avons également ce que nous appelons le Hub d’IA responsablequi capture tout dans une vue centralisée pour instaurer la confiance. Nous effectuons certains de nos audits et mises à jour chaque année, tandis que de nombreux autres sont très fréquents. Nous suivons les atténuations chaque semaine, voire quotidiennement, en fonction de la tâche et de l’équipe.

Quelles garanties utilisez-vous pour empêcher tout accès non autorisé ou toute utilisation abusive des données ?

Notre norme de sécurité et de gestion de l’accès aux données s’intègre directement dans notre politique de gouvernance des données. En termes simples, nous veillons à ce que le propriétaire qui donne accès à son ensemble de données fournisse le moins d’informations nécessaires à l’usage de celui qui en fait la demande. Nous avons intégré bon nombre de nos contrôles de sécurité des données dans notre environnement de plate-forme de données et nous disposons d’un outil spécifique qui crée un accès de sécurité basé sur les rôles.

Quelles réalisations voudriez-vous souligner ?

Je suis très fier de notre équipe qui a mis en place ces concepts éthiques et ces risques liés à l’IA. Les risques liés aux données dans le domaine de l’éthique sont particulièrement difficiles à identifier clairement. Ils sont difficiles à définir tout au long de la gestion des risques de bout en bout, et l’équipe a construit le Hub d’IA responsable à peu près à partir de la base. Nous avons passé beaucoup de temps à discuter de l’identification et de l’ampleur des risques liés à l’IA. Nous avons consacré encore plus de temps à donner vie à ces risques, à déterminer comment nous pouvons prendre des mesures pour y faire face et à quoi ressemble cette action du point de vue de l’atténuation des risques.

Je pense que le travail que nous avons accompli au cours des trois dernières années nous a permis de maîtriser les risques liés à l’IA un peu plus rapidement que la plupart des entreprises.

Vous pouvez en savoir plus sur la façon dont l’IA a changé l’avenir des professionnels et sur leur façon de travailler.