LLM et confidentialité: pourquoi les organisations doivent reprendre le contrôle
Réunis à Genève lors de la Journée de droit du numérique organisée par le Digital Law Center de l’Université de Genève, juristes et spécialistes de l’IA ont alerté sur les risques liés à l’utilisation des grands modèles de langage dans les organisations. Au-delà des erreurs générées par les systèmes, les échanges ont porté sur la circulation des données sensibles, l’inférence distribuée et les nouvelles exigences de gouvernance imposées aux entreprises et aux métiers soumis au secret professionnel.
Lors de la Journée de droit du numérique organisée le 7 mai 2026 à Genève par le Digital Law Center de l’Université de Genève et la Commission de Formation Permanente (CFP) de l’Ordre des Avocats de Genève (ODAGE), chercheurs et spécialistes du droit ont alerté sur les limites de mécanismes juridiques confrontés à des environnements IA adaptatifs et à des infrastructures cloud opérant dans plusieurs juridictions. Plusieurs intervenants se sont par ailleurs penchés sur les usages concrets de l’IA générative dans les organisations. Les échanges ont notamment porté sur les risques liés au traitement de données sensibles lors de l’utilisation de grands modèles de langage (LLM), en particulier dans les métiers soumis au secret professionnel.
Dans les études d’avocats comme dans les entreprises, les recours à l’IA générative se multiplient, qu’il s’agisse de recherche juridique, d’analyse documentaire ou d’assistance à la rédaction. Michel José Reymond, avocat et fellow au Digital Law Center (DLC), a rappelé que les LLM génèrent du texte à partir d’analyses statistiques et contextuelles, ce qui peut conduire à des références inexistantes ou à des raisonnements juridiquement plausibles mais erronés. Des connecteurs donnant accès à des bases de données juridiques actualisées permettent de limiter partiellement ces problèmes, sans supprimer la nécessité de vérifications humaines.
Les risques deviennent plus sensibles encore lors de l’analyse documentaire et du traitement de données confidentielles. Eva Cellina, chargée de cours à l’Université de Genève et membre du DLC, a évoqué plusieurs mécanismes techniques susceptibles de compliquer la maîtrise des informations transmises aux plateformes d’IA générative. Certains systèmes commencent par exemple à analyser les contenus dès leur saisie dans l’interface, avant même leur validation ou une éventuelle anonymisation.
L’utilisation potentielle des données pour l’entraînement des modèles ou pour des revues humaines de sécurité a également été évoquée, des fonctions souvent désactivables uniquement dans les versions enterprise des outils. Autre difficulté mentionnée: l’inférence, soit la phase durant laquelle le modèle génère sa réponse. Selon l’architecture technique du fournisseur, les calculs peuvent être répartis entre plusieurs serveurs géographiquement dispersés, compliquant le suivi du traitement des données.
Pour les professions soumises au secret professionnel, ces mécanismes posent des enjeux particuliers. Au regard de l’article 13 de la LLCA et de l’article 321 du Code pénal, les avocats doivent conserver une maîtrise active de la chaîne de traitement des données et pas uniquement éviter leur divulgation.
Des mécanismes de gouvernance séparés des processus classiques
Face à ces nouveaux usages, certaines organisations mettent en place des mécanismes distincts de leurs processus classiques d’outsourcing ou de gestion des fournisseurs. Sandra Dobler, spécialiste en droit des nouvelles technologies chez Lombard Odier, a expliqué que la banque avait choisi d’évaluer séparément les risques liés à l’intelligence artificielle avant d’intégrer les projets dans ses procédures habituelles de Third Party Risk Management.
«Au moment où l’intelligence artificielle est devenue un peu hype, on n’avait pas la même maturité qu’en matière d’outsourcing pour encadrer cette activité», a-t-elle expliqué.
L’établissement conserve pour l’instant un appétit au risque limité concernant les usages de l’IA destinés aux clients. Les futurs outils internes devront toutefois déjà respecter certaines exigences prévues par l’AI Act européen, notamment l’obligation d’informer les utilisateurs lorsqu’ils interagissent avec un système d’intelligence artificielle.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
