Back to Blog
Sanitized AI Team

Pourquoi votre politique d'utilisation acceptable de l'IA ne fonctionne probablement pas

La plupart des organisations ont déployé une politique d'utilisation acceptable de l'IA au cours des 18 derniers mois. La plupart d'entre elles ne fonctionnent pas, et la raison n'est pas celle que les gens pensent.

Ce n'est pas que les employés n'ont pas lu la politique. C'est que la politique vit dans un endroit que l'employé ne visitera jamais au moment où il en a réellement besoin.

Considérez un mardi après-midi typique. Une chef de produit se prépare pour une mise à jour du conseil d'administration. Elle a trois semaines de retours clients dans une feuille de calcul, y compris des noms, des e-mails et quelques citations peu flatteuses sur un concurrent. Elle colle le tout dans ChatGPT et demande des thèmes. La réponse est exactement ce dont elle avait besoin. Elle retourne à sa journée.

Quelque part dans le wiki interne de l'entreprise, il y a une politique qui dit qu'elle n'aurait pas dû faire ça. Elle sait que ça existe. Elle a peut-être même suivi la formation. Mais la politique ne l'a pas atteinte au clavier, à 14h47, avec une date limite dans 90 minutes.

L'écart que personne ne budgétise

C'est l'écart que la plupart des programmes de gouvernance de l'IA sous-estiment. Les politiques sont rédigées pour des moments de réflexion. L'utilisation de l'IA se produit dans des moments d'urgence. Les deux se croisent rarement.

Quelques modèles que nous voyons encore et encore :

  • La politique est trop large pour être exploitable. « Ne partagez pas d'informations confidentielles avec les outils d'IA » semble clair lors d'une réunion. Au clavier, cela demande à l'employé de classer mentalement chaque document, extrait et conversation en temps réel. La plupart des gens ne le font pas, et ceux qui essaient se trompent souvent.
  • La politique suppose que les employés savent ce qui est considéré comme risqué. La frontière entre le prénom d'un client et le dossier complet des PII (Informations Personnellement Identifiables) d'un client semble évidente dans une présentation de formation. Dans une spécification de produit ou une transcription d'assistance, c'est une question de jugement, et les jugements vont vite sous la pression des délais.
  • La politique traite l'IA comme un outil unique. Ce n'est pas le cas. L'IA est maintenant intégrée aux navigateurs, aux IDE, aux applications de prise de notes, aux CRM et à une liste croissante de produits SaaS qui ont discrètement ajouté une fonctionnalité « assistant IA » le trimestre dernier. Une politique qui nomme ChatGPT et Gemini à la main passe à côté de la majeure partie de la surface réelle.

Le contrôle doit se déplacer là où réside le risque

La solution n'est pas une autre mise à jour de la politique. Il s'agit de reconnaître que le risque s'est déplacé de la limite du réseau vers le moment de la requête (prompt), et que les contrôles doivent le suivre là-bas.

Les programmes les plus efficaces que nous ayons vus associent leur politique à quelque chose qui intervient au niveau de la frappe : une vérification qui s'exécute localement, avant que le prompt ne quitte l'appareil, et donne à l'employé une chance rapide de caviarder, d'anonymiser ou de reconsidérer. Pas un blocage. Pas une leçon. Un petit coup de pouce (nudge) bien synchronisé qui transforme la politique en quelque chose sur lequel l'employé peut réellement agir.

C'est la partie qui manque encore à la plupart des programmes de gouvernance. La politique est bonne. La formation est bonne. Ce qui manque, c'est la présence, être là, au moment où la décision est réellement prise.