Le déploiement direct de chatbots assistés par l'IA auprès des clients comporte des risques et des implications légales.
Ces systèmes, basés sur des large language models (LLMs), peuvent dérailler en raison de biais et de lacunes dans leur conception et leur formation, ce qui expose les entreprises à des responsabilités juridiques et financières.
En cas de défaillance d'un chatbot, l'entreprise peut être tenue responsable des propos tenus par celui-ci, notamment en cas de promesses non tenues ou de préjudices causés aux utilisateurs. Cela peut engager sa responsabilité contractuelle si le chatbot ne fournit pas les fonctionnalités promises, sa responsabilité délictuelle en cas de négligence dans sa conception ou sa maintenance, ou encore une violation du RGPD en cas de non-respect des règles de protection des données personnelles.
Actuellement, aucune solution n'élimine totalement les risques associés aux chatbots IA déployés directement auprès des clients. Il est recommandé de les déployer d'abord auprès des collaborateurs qui peuvent analyser les réponses avant de les transmettre aux clients, agissant ainsi comme un garde-fou humain. Même des approches comme le RAG (retrieval augmented generation) offrent des garanties insuffisantes en matière de sécurité.
Pour limiter les risques, il est conseillé de procéder à des phases de test, comme des versions Beta, et d'effectuer des séquences de red teaming pour évaluer la réaction du chatbot face à des situations problématiques. Ces démarches permettent d'identifier et de corriger les éventuelles faiblesses avant un déploiement à grande échelle.
Une violation du RGPD par le chatbot peut également engager la responsabilité de l'entreprise représentée par le chatbot.
Le Règlement Général sur la Protection des Données (RGPD) de l'Union européenne
Il impose des obligations strictes aux entreprises en matière de traitement des données personnelles. Si un chatbot collecte, traite ou stocke des données personnelles en violation du RGPD, l'entreprise représentée par le chatbot peut être tenue responsable de cette violation. Cela peut entraîner des sanctions financières importantes de la part des autorités de régulation, telles que la CNIL en France, ainsi que des répercussions sur la réputation de l'entreprise. Il est donc crucial pour les entreprises de s'assurer que leurs chatbots respectent pleinement les exigences du RGPD en matière de protection des données personnelles.