Les chatbots IA engagent-ils la responsabilité des entreprises ?

Les chatbots IA engagent-ils la responsabilité des entreprises ? Un chatbot assisté par IA et déployé directement auprès des clients peut dérailler. Explications et recommandations.

Une entreprise est-elle responsable des propos tenus par son agent conversationnel ? Depuis l'avènement de ChatGPT en novembre 2022 et l'explosion de l'IA générative, certaines entreprises ont voulu sauter le pas et déléguer, du jour au lendemain, la gestion du service clientèle à des systèmes basés sur des large language model. Mais en 2024, toutes les conditions de sureté et d'éthique ne sont pas réunies pour automatiser à 100 % le processus. Les LLMs possèdent encore de nombreux biais impossibles à corriger en totalité. Exposer directement ses clients à de tels systèmes parait donc risqué.

En 2023, Air Canada en a fait les frais. Un passager de la compagnie aérienne a eu gain de cause après que celle-ci lui ait refusé une réduction rétroactive, affirmant qu'elle n'était pas responsable de la promesse erronée faite par le chatbot de son site web. Jake Moffatt avait réservé un vol vers Toronto pour assister aux funérailles d'un proche en utilisant le chatbot d'IA, qui lui avait indiqué qu'il pouvait payer le plein tarif et demander ultérieurement un tarif réduit pour cause de deuil. Le Tribunal de résolution civile de Colombie-Britannique a statué en sa faveur, estimant qu'Air Canada avait le devoir d'être précis et était responsable de toutes les informations figurant sur son site web, y compris celles fournies par le chatbot.

La responsabilité contractuelle et délictuelle en question

En France, aucun cas similaire ne s'est encore présenté devant les tribunaux. Reste qu'Arnaud Touati, du cabinet Hashtag Avocats, identifie au moins trois cas dans lesquels une entreprise peut exposer sa responsabilité juridique :

  • La responsabilité contractuelle peut être plaidée "quand le chatbot promet des fonctionnalités spécifiques ou résultats précis aux utilisateurs et qu'elle ne le fournit pas" (cf le cas d'Air Canada).
  • La responsabilité délictuelle peut également être avancée. "L'entreprise peut être tenue responsable des préjudices causés par le chatbot en raison de sa négligence dans sa conception, sa mise en œuvre ou sa maintenance. Il faudrait mettre en avant que le chatbot est défectueux ou mal conçu."
  • Une violation du RGPD par le chatbot peut également engager la responsabilité de l'entreprise représentée par le chatbot.

Un déraillement de l'IA derrière le chatbot impacte forcément l'entreprise qui l'édite. "Cela peut entraîner des conséquences financières dans le cas où il faudrait réparer le préjudice d'un ou plusieurs utilisateurs. De même, si le chatbot ne respecte pas les règles définies par le RGPD encadrant la protection des données personnelles, l'autorité compétente (la Cnil en France) pourra sanctionner l'entreprise", analyse  Arnaud Touati. La réputation directe de la marque est également en jeu. "Les clients peuvent perdre confiance dans celle-ci et cela peut entraîner une perte de clientèle à long terme. Une mauvaise utilisation du chatbot peut ternir l'image de marque de l'entreprise, la faisant apparaitre comme peu fiable ou peu soucieuse du bien-être de ses clients", rappelle le spécialiste.

Aucune solution fiable à 100%

A l'heure actuelle, il n'existe aucune solution fiable à 100 % pour éliminer totalement les risques produits par un chatbot développé sur une IA et déployé directement aux clients. "Pour le moment, il n'est pas recommandé de mettre directement des IA en front client. C'est encore trop risqué", confirme Gilles Moyse, docteur en intelligence artificielle et CEO de Récital. Ce spécialiste recommande de déployer des systèmes d'IA directement auprès des collaborateurs qui sauront analyser la réponse de l'IA avant de la soumettre aux clients. Une sorte de garde-fou humain.

Pour Gilles Moyse, même le RAG (retrieval augmented generation), qui permet au modèle de sourcer une réponse sur des documents de l'entreprise, n'offre pas une garantie sécuritaire suffisante. "Le RAG est une approche prometteuse pour les entreprises qui souhaitent utiliser des modèles de langage tout en maintenant un contrôle sur les sources d'information utilisées. Toutefois, il faut rester vigilant car le modèle peut parfois dévier et utiliser des connaissances acquises ailleurs, ce qui peut poser problème dans certains contextes", analyse-t-il. Quant au fine-tuning, "il n'est pas envisageable dans les environnements où les documents peuvent changer quotidiennement."

L'importance de la Beta et du red teaming

Globalement, en France et en Europe, les entreprises restent frileuses à déployer directement auprès de leurs clients des systèmes d'IA entièrement automatisés, note Nicolas Gaudemet, chief AI officer chez Onepoint. "Bien qu'ils aient dans leur feuille de route des projets d'IA orientés vers les consommateurs, nos clients restent frileux quant à l'utilisation de ces outils en raison des risques de dérapages", analyse-t-il. Pour ceux qui souhaiteraient tout de même se lancer, Nicolas Gaudemet conseille de commencer par déployer une version Beta, "comme l'a fait Carrefour avec son outil Hopla qui permet de faire des courses en ligne. Cette approche permet de tester l'outil et d'apporter les ajustements nécessaires avant un déploiement à plus grande échelle."

Dans le cas de Carrefour, Hopla a été "bien travaillé" en amont de son déploiement avec une séquence de red teaming. "Lors de la phase de red teaming, on tente d'attaquer l'outil de chatbot en lui posant des questions choquantes, similaires à celles que pourraient poser certains clients malveillants. Il est essentiel de tester comment l'outil réagit à ces attaques. Cela représente un important travail pour les entreprises, car le risque zéro n'existe pas", précise Nicolas Gaudemet.