Lignes directrices en matière de sécurité et de protection de la vie privée pour l’utilisation, l’acquisition et le déploiement de l’IA

Objectif et public visé

Le présent document a été conçu comme une première ligne directrice à l’intention des étudiants, des facultés et des membres du personnel pour l’utilisation des outils d’intelligence artificielle (IA) et d’IA générative.

Il y a des considérations importantes à garder à l’esprit lors de l’utilisation ou de l’expérimentation avec l’IA, notamment la sécurité de l’information, la confidentialité des données, la conformité, la responsabilité et l’éthique. L’IA générative est à la fois transformatrice et perturbatrice. En adhérant à ces lignes directrices, l’Université d’Ottawa peut en exploiter les avantages de façon plus sécuritaire.

L’Université reconnaît la nécessité de définir sa tolérance au risque en ce qui a trait à l’utilisation de l’IA. Elle adoptera une approche équilibrée, en tenant compte à la fois des avantages potentiels et des risques associés. Les systèmes d'IA susceptibles d’affecter la sécurité, les droits fondamentaux ou d’introduire d’importantes questions éthiques seront considérés comme présentant un risque élevé.

L’IA est une technologie qui évolue rapidement, et les Technologies de l’information continueront de surveiller les développements et d’intégrer la rétroaction de la communauté universitaire pour mettre à jour ses lignes directrices en conséquence.

Qu'est ce que l'IA et l'IA générative

Un système d’IA est un système basé sur l’ingénierie ou une machine qui peut, pour un ensemble donné d’objectifs, générer des résultats telles que des prédictions, des recommandations ou des décisions influençant des environnements réels ou virtuels. Les systèmes d’IA sont conçus pour fonctionner avec différents niveaux d’autonomie (NIST AI RMF 1.0).

L’IA générative fait référence à une technologie d’intelligence artificielle qui synthétise de nouvelles versions de textes, de sons ou d’imageries visuelles à partir de grandes quantités de données, en réponse à des demandes de l’utilisateur. Les modèles d’IA générative peuvent être utilisés dans des applications autonomes, telles ChatGPT, Microsoft Copilot, Gemini, ou incorporés dans d’autres applications telles que des moteurs de recherche sur Internet ou des applications de traitement de texte.

Principes

Toutes les parties concevant, développant, déployant ou utilisant des systèmes d’IA ont une responsabilité partagée pour déterminer si la technologie d’IA est un outil approprié ou nécessaire pour le contexte ou l’objectif pertinent, et comment l’utiliser de manière responsable.

La décision de déployer ou d’utiliser un système d’IA doit être fondée sur chaque contexte d’utilisation, sur une évaluation des risques en matière de sécurité et de protection de la vie privée réalisée par les bureaux de la Sécurité de l’information et de l’accès à l’information et de la protection de la vie privée (BAIPVP), et sur la prise en compte des principes énoncés ci-dessous :

• Sûreté

La sûreté doit être prise en compte tout au long de la durée de vie d’un système d’IA afin de prévenir les défaillances ou les conditions qui présentent un risque potentiel d’atteinte grave à la vie humaine, à la santé, aux biens ou à l’environnement. Consultez les efforts et les lignes directrices en matière de sécurité dans les services fournis par l’Université, et alignez-les aux lignes directrices ou aux normes existantes spécifiques au secteur ou à l’application.

• Équité et détection des biais

Pour aborder des problèmes tels que les biais nuisibles et la discrimination dans les systèmes d’IA, nous devons tous travailler activement pour garantir l’équité de ces systèmes. Les biais peuvent s’ancrer dans les systèmes automatisés qui aident à prendre des décisions dans nos activités quotidiennes. Ils peuvent amplifier et perpétuer des biais qui nuisent aux individus, aux groupes, aux communautés, aux organisations et à la société. Les systèmes d’IA et leurs résultats devraient autonomiser tous les individus, tout en promouvant l’égalité et l’équité

• Transparence

Les informations concernant le système d’IA et ses résultats doivent être disponibles pour les utilisateurs interagissant avec ou utilisant le système. Les utilisateurs doivent être explicitement informés quand l’IA est utilisée, son utilisation et objectif prévus, des données collectées, utilisées ou divulguées, ainsi que des décisions ou résultats créés et par qui.

• Responsabilité

Lors de la conception, du développement, du déploiement ou de l’utilisation de systèmes d’IA dans le cadre d'activités individuelles et organisationnelles, vous êtes responsable du respect des principes décrits ici, des politiques et directives de l’université, et des exigences réglementaires applicables. La responsabilité des résultats et des décisions des systèmes d’IA repose sur les individus et les organisations, et non sur le système automatisé utilisé pour soutenir ces activités.

Consultez le Règlement académique A-4 — Intégrité académique et inconduite académique de l’Université, le site web consacré à l’Intégrité académique pour les étudiants et les Lignes directrices pour l’enseignement avec l’intelligence artificielle générative publiées par le Service d’appui à l’enseignement et à l’apprentissage (SAEA).

• Sécurité

• Respect de la vie privée

Des mesures de protection pour préserver les informations personnelles et atténuer les risques liés à la protection de la vie privée devraient guider l’utilisation des systèmes d’IA tout au long de la durée de vie du système. Les technologies améliorant la confidentialité et les méthodes de minimisation des données, telles que la désidentification, devraient être prises en compte dans la conception, le développement, le déploiement ou l’utilisation de tout système d’IA.

Consultez le Guide du BAIPVP sur l’utilisation raisonnable de l’intelligence artificielle et protéger en même temps les informations personnelles, pour plus de renseignements sur la manière de respecter les obligations de l’université en matière de protection de la vie privée.

• Fiabilité et validité 

Les systèmes et les résultats d’IA doivent être évalués par des tests ou une surveillance continue qui confirme que le système d’IA fonctionne comme prévu dans des conditions d’utilisation attendues et sur une période donnée, tout au long de la durée de vie du système. Des défaillances peuvent survenir dans des contextes attendus et inattendus, ce qui peut causer un préjudice plus grand aux personnes, à l’Université ou aux ressources de l’Université. Les efforts devraient prioriser la minimisation des impacts négatifs potentiels et peuvent nécessiter une intervention humaine. 

Responsabilités

Tous les membres de la communauté universitaire

• En règle générale, tous les membres de la communauté universitaire doivent prendre des mesures raisonnables pour préserver la sécurité des systèmes et réseaux informatiques de l’Université, y compris les systèmes basés sur l’IA. Cela inclut la mise en œuvre de contrôles de sécurité appropriés pour se protéger contre les attaques malveillantes et veiller à ce que les utilisateurs soient informés des risques associés à l’utilisation de la technologie.
• L’adoption d’outils d’IA introduit de nouvelles considérations, en particulier l’application des principes de protection de la vie privée. Les configurations par défaut de nombreux outils d’IA tendent à favoriser la fonctionnalité, ce qui augmente le risque de divulguer par inadvertance des données confidentielles ou sensibles à des personnes non autorisées, ou d’utiliser ces données pour entraîner des modèles d’IA.
• Les utilisateurs doivent éviter d’entrer des informations classées comme internes, confidentielles ou restreintes, y compris des données de recherche non publiques, dans un outil d’IA. La protection des données à l’Université d’Ottawa est une responsabilité partagée en vertu de la Politique 117.
• Les membres de la communauté directement impliqués dans l’utilisation d’outils d’IA sont responsables de l’identification et de l’atténuation des risques associés à leur utilisation et de la mise en place de mesures de protection appropriées. Ces responsabilités comprennent l’évaluation des ensembles de données afin de prévenir ou de corriger les biais, l’examen minutieux des résultats générés et le renforcement des défenses contre les attaques malveillantes, entre autres tâches essentielles.

Propriétaires de systèmes opérationnels et gestionnaires de produits

Les propriétaires de systèmes opérationnels et les gestionnaires de produits doivent soumettre une évaluation de la sécurité et de la protection de la vie privée :

• lors de l’acquisition ou du déploiement d’un outil d’IA;
• lorsque des fournisseurs tiers ajoutent de nouvelles fonctionnalités d’IA à des systèmes existants;
• lorsqu’ils prévoient d’intégrer à un système existant un outil d’IA (par exemple : API, plug-ins, connecteurs, etc.).

Sécurité de l’information et BAIPVP

• Le chef de la sécurité de l’information est responsable de la surveillance des risques liés aux informations et aux actifs des TI de l’Université, y compris les outils et les technologies d’IA.
• Les bureaux de la Sécurité de l’information et du BAIPVP collaborent pour mener des évaluations de sécurité et protection de la vie privée afin d’identifier les vulnérabilités, évaluer les risques et de recommander des mesures d’atténuation conformément aux obligations de l’Université.

Technologies de l'information (TI)

• Les Technologies de l’information fournissent, mettent en œuvre et soutiennent des services et des produits standard, et conseillent la communauté dans l’utilisation et le déploiement de toute technologie logicielle, y compris les logiciels basés sur l’IA.
• Les TI sont responsables de la réduction des risques inhérents associés à la mise en œuvre de nouvelles technologies en mettant en place des processus et des cadres (par exemple, le comité d’examen de l’architecture, le comité d’examen du projet, le comité d’approbation des changements, le cycle de vie sécurisé du développement de logiciels, etc.)

Comment obtenir du soutien avec les outils d’IA

Les Solutions TI et le Groupe de travail des architectes (GTA) fournissent une assistance et des conseils d’experts pour aider les membres de la communauté. Vous pouvez ouvrir une demande d’assistance en visitant le Centre de libre-service des TI.

Mise en oeuvre et révision

Le Chef de la sécurité de l’information (CSI) de l’Université d’Ottawa est responsable de la mise en œuvre, de l’examen et de l’approbation de ces lignes directrices, et de procéder à un examen au besoin, et au moins une fois par année, afin d’assurer la conformité avec les exigences et les règlements internes et externes.

Pour toute question concernant les présentes lignes directrices, adressez vous au Bureau de la sécurité de l'information.

Références

• Guide pour une utilisation pratique de l’intelligence artificielle dans le respect de la protection des renseignements - Bureau de l’accès à l’information et de la protection de la vie privée, université d'Ottawa
• Question fréquentes sur ChatGPT pour les professeurs - Service d’appui à l’enseignement et à l’apprentissage, université d'Ottawa
• Intégrité académique pour les étudiants - Université d'Ottawa
• Principes pour des technologies de l’intelligence artificielle (IA) générative responsables, dignes de confiance et respectueuses de la vie privée - Commissariat à la protection de la vie privée au Canada 
• Cadre de gestion des risques liées à l'intelligence artificielle (En anglais uniquement) - Institut nationale des normes et des technologies,  Département du commerce des États-Unis d'Amérique