IA générative et e-commerce : comment assurer sa conformité

7min read - Mathilde Ouvrard

IA générative et e-commerce : comment assurer sa conformité

Le monde de l’e-commerce s’oriente vers une forte adoption de l’intelligence artificielle générative. Après avoir investi ces dernières années dans des formes d’intelligence artificielle prédictive pour proposer des suggestions de produit personnalisées, optimiser la gestion des stocks ou encore mieux prévoir les ventes, l’heure est aujourd’hui à la transformation de l’expérience de conversation en ligne entre les marques et leurs clients. L’IA générative, dont les performances ont été décuplées ces derniers mois et présentées au grand public via l’application d’OpenAI ChatGPT, s'appuie sur notre langage pour générer immédiatement des textes pertinents. Néanmoins, cette technologie interroge les Data Protection Officers des e-commerçants : l’IA générative est-elle 100% conforme à la loi et aux régulations qui entourent l’e-commerce et Internet ? Nous vous proposons une plongée dans les enjeux de conformité posés par l’IA générative et les solutions concrètes pour garantir la conformité de votre business. 

⏱️ Ce sujet vous intérresse, mais vous avez moins de 4 minutes à y consacrer ?

Pas de problème, Matthieu Huet, Directeur Juridique et DPO d'iAdvize, vous décrypte les 5 cinq idées reçues à dépasser sur le sujet de la conformité de l'IA générative :

1. Comprendre les différents types d'IA génératives

L’intelligence artificielle générative vient changer la donne en vous permettant de traiter les conversations sur votre site de manière précise et à très grande échelle , pour décupler vos ventes et vos performances. Cependant, pour démêler les enjeux et mythes autour de l’IA générative pour l’e-commerce, il faut d’abord bien comprendre de quelle technologie il s’agit. 

Pourquoi ChatGPT n'est qu'un outil parmi d'autres dans l'IA générative

ChatGPT est devenu extrêmement populaire ces derniers mois et a contribué à faire connaître les technologies d’IA générative auprès du grand public. L'écueil serait de croire que ChatGPT est égal à l’IA générative. Et non, ChatGPT n’est pas la seule IA générative du marché ! ChatGPT est la version publique de la technologie d'IA créée par OpenAI L.L.C. 

Vous avez sans aucun doute testé les versions 3.5 ou 4, qui sont, il faut bien l’avouer, bluffantes. Elles viennent révolutionner nombre de métiers : marketing, support, etc. ; et les professions  de l’e-commerce. La version publique de ChatGPT n’est pas l’IA générative la plus adaptée aux problématiques de sécurité et de performance des entreprises de commerce en ligne. Elle comporte des risques et fait d'ailleurs l'objet d'une enquête de la part de plus de 20 autorités chargées de la protection des données. Elle a également été interdite dans certains lieux de travail chez les géants du digital.

Comment choisir une IA générative adaptée à l'e-commerce

Les acteurs de l’e-commerce ont besoin d'applications basées sur une IA générative de confiance, qui utilisent et protègent les données privées tout en exploitant la puissance de l’IA. Dans l’univers des Large Language Models, d’autres options existent. Une approche holistique est d’ailleurs clé : l’idée est d’explorer les différents modèles disponibles et de trouver celles qui vous apporteront le maximum de garanties pour votre business. 

Notre plateforme conversationnelle utilise une technologie basée sur l’IA de Microsoft Azure OpenAI, complètement distincte du modèle public d’OpenAI (elle n’est pas ouverte au public, elle est payante et a recours à d’autres paramètres de confidentialité). 

Ce partenariat a été mis en œuvre avec Microsoft Azure pour trois raisons essentielles : 

  • Sa fiabilité 
  • Ses garanties de sécurité
  • Sa performance offerte aux entreprises depuis de nombreuses années

2. Comment garantir le contrôle de l'IA générative dans l'e-commerce ?

L’un des défis majeurs pour rendre l’IA conforme pour l’e-commerce est d’en faire un outil contrôlable. De nouveau, beaucoup d’idées reçues circulent autour de l’IA générative sur ce point : l’IA pourrait-elle devenir hors de contrôle et nous échapper totalement ?

Reconnaître les limites de l'IA générative pour l'e-commerce

Pour rétablir les faits, il faut bien comprendre que certaines IA génératives sont sujettes à des hallucinations, c’est-à-dire qu’elles peuvent inventer des éléments ou des réponses complètes. En effet, l’IA générative textuelle a comme objectif d’apporter une réponse à tout prix, quitte, pour celles sans garde-fou intégré, à répondre par une pure invention. 

Pour les entreprises, c’est absolument non-opérationnel. Imaginez une IA qui invente des attributs à vos produits, ou suggère des couleurs qui ne sont en réalité pas disponibles ? C’est pour cette raison que nous avons passé ces derniers mois à analyser ces limites afin de les résoudre, et de rendre l’IA générative contrôlable par et pour l’entreprise. 

Les stratégies pour surmonter les défis de l'IA générative

Il existe deux leviers d’actions principaux pour contrôler le système et son contenu : 

  • Maîtriser l’art du prompt :

Le prompt correspond aux instructions données en amont à l’algorithme. Pour qu’un bot doté d’IA générative soit pertinent et performant pour l’e-commerce, il est essentiel de travailler ses instructions. Par exemple, en demandant à l’IA générative de ne pas utiliser d’autres informations pour répondre que celles fournies par la marque. Un prompt bien construit et précis permet d’éviter les dérives de l’IA. C’est donc un levier de contrôle essentiel.

1 FR - IA e-commerce

  • Intégrer des outils supplémentaires de supervision

L’IA générative de notre plateforme conversationnelle peut être supervisée grâce à des insights disponibles en temps réel, ce qui permet de la perfectionner en continu. Les contrôles humains jouent également un rôle important. Une règle simple, mais néanmoins source d’une grande fiabilité, permet à notre IA générative d’être sûre : dès lors qu’elle ne connaît pas la réponse, elle le précise et offre la possibilité au visiteur de le transférer vers un répondant humain sans fermer la conversation.

3. Les clés pour une IA générative conforme au RGPD dans l'e-commerce

C’est LA question qui brûle les lèvres des DPO : “L’IA générative de cette solution est-elle conforme au RGPD ?”. Des affaires retentissantes de fuites de données ont mis l’ensemble de la profession sur ses gardes, et c’est bien normal. Toutefois, il faut, là encore, faire la différence entre les technologies et leurs applications. L’IA générative pour l’e-commerce d’iAdvize est rendue conforme grâce à un cahier des charges exigeant. 

Les obligations légales et l'hébergement des données pour une IA générative conforme

Afin d’assurer la conformité RGPD de votre société, vous êtes sans aucun doute attachés à un hébergement des données sur le sol européen. Microsoft Azure s’est engagé à respecter le “Microsoft EU data boundary”, c’est pourquoi les données de notre IA générative sont stockées en Europe pour une durée de 30 jours à des fins de prévention de fraude uniquement.

Nous avons signé un DPA (accord de traitement de données) avec Microsoft et avons réalisé différentes études d’impact sur la protection des données relatives à l’utilisation des intelligences artificielles, pour un maximum de conformité au RGPD. Par ailleurs, Microsoft Azure OpenAI possède plusieurs certifications qui lui permettent de garantir à ses utilisateurs un niveau élevé de sécurité et de conformité : 

Certifications sécurité légales ia
Microsoft Azure OpenAI est également certifié HDH (Health Data Host), ce qui représente l'un des niveaux de stockage de données les plus sûrs au regard du RGPD.

 

IA générative pour l'e-commerce, sécurité et l'usage des données

La sécurité des données est en haut de votre liste de priorités dans le cadre du choix d’une IA générative pour l’e-commerce. La confidentialité de vos données est essentielle pour votre business, c’est pourquoi du côté de notre solution, l’API du LLM n’est disponible que via TLS (Transport Layer Security, et par conséquent les requêtes et réponses des clients au bot doté d’IA générative sont cryptées.

Ensuite, la question de l’usage des données collectées s’impose. La CNIL a rappelé l’importance de l’encadrement du traitement des données personnelles par une intelligence artificielle. En effet, dans le contexte de conversations entre les marques et les clients, on est en droit de s’interroger sur ce que deviennent les informations partagées par les clients, sur leurs besoins et préférences par exemple. Le fonctionnement des intelligences artificielles publiques a de nouveau créé de la confusion sur le sujet, puisqu’elles utilisent les données fournies par les utilisateurs pour apporter des réponses à d’autres utilisateurs. De telles pratiques ont inévitablement mené à des fuites de données confidentielles. 

Une IA conforme aux besoins de l’e-commerce respecte les principes du Privacy by Design, conçue dès l’origine avec des systèmes de protection des données personnelles. À titre d’exemple, le LLM de notre plateforme n’utilise pas les données soumises par les clients pour l’apprentissage ou l’amélioration de son modèle. Le LLM se nourrit uniquement des informations que vous jugerez bon de lui fournir pour une pertinence maximale. Pour résumer, votre bot est alimenté uniquement par la source de données que vous choisirez de lui fournir.

 

2 FR - Slide

4. AI Act : l’exigence de transparence dans l'utilisation de l'IA générative pour l'e-commerce

Si vous vous posez toutes ces questions sur la conformité de l’IA générative, n’oubliez pas que vous n’êtes pas seul·e dans ce cas. Les visiteurs de votre site s’interrogent aussi ! L’IA générative va devenir de plus en plus présente dans notre quotidien et va progressivement intégrer les habitudes d’achat. Cependant, comme devant toute nouveauté technologique, la pédagogie et la transparence priment. La transparence et l’information des utilisateurs sont un pilier du RGPD, et plus récemment, de l’AI Act.

Qu’est-ce que l’AI Act ? 

Il s’agit d’une régulation globale sur l’intelligence artificielle, commune aux pays de l’Union européenne. Elle a vocation à devenir un socle pour les futures législations des pays membres. Son objectif consiste à protéger l’utilisateur des IA et ses données

Le Parlement européen a donc classé les IA et leurs usages selon le niveau de risque qu’ils représentent pour l’utilisateur et ses données. Il y en existe 4 : 

1. Risque minimal : pas d’obligations pour les entreprises

2. Risque limité : obligation de mettre en place des mécanismes de transparence

3. Risque élevée : systèmes d’IA devant être régulés puisqu’ils peuvent avoir une influence négative sur la sécurité ou les droits fondamentaux des utilisateurs

4. Risque inacceptable : usages interdits (comme le Deep Fake)


 

Comment être conforme à l’AI Act tout en intégrant l’IA générative dans vos conversations en ligne ? Dans ce cas de figure, vous êtes concernés par l’exigence simple mais essentielle de transparence. Trois étapes vous permettront d’être en conformité : 

 

  • Personnalisez le premier message de chat

Ajustez le premier message de la conversation pour faire savoir à vos visiteurs qu'ils interagissent avec un assistant virtuel alimenté par une IA générative.

  • Personnalisez vos mentions légales

Les mentions légales sont personnalisables, ce qui vous permet d'ajouter les informations nécessaires sur l’IA.

  • Utilisez des designs de chatbot adaptés

Utilisez des designs spécifiques pour indiquer aux visiteurs qu'ils parlent à un chatbot doté d’IA générative.

N’oubliez pas vos propres équipes de répondants et n’hésitez pas à communiquer sur ce nouvel outil ainsi que les détails de sa conformité auprès d’elles. 

Pour une technologie utilisée en toute confiance chez les plus grands acteurs de l’e-commerce, nous avons pris dès l’origine du texte, avant son vote, en compte les propositions définies par l'AI Act et par les autorités de protection des données afin de proposer à nos clients une IA de confiance. iAdvize Copilot™ est donc aujourd’hui conforme à l’article 52 de l’AI Act qui pose cette obligation de transparence.

3 FR - CTA