DocuSign, le service de signature électronique largement utilisé, a révélé ses pratiques en matière d'utilisation de données des clients et a suscité un tollé sur la toile. Une mise à jour de sa FAQ indique que l'entreprise peut désormais utiliser les données des clients pour entraîner ses modèles d'IA propriétaires. L'entreprise a expliqué que les données sont dépersonnalisées et anonymisées avant le début du processus de formation. Cependant, l'annonce soulève des inquiétudes quant à la protection de la vie privée des utilisateurs et les promesses en matière de sécurité sont controversées. L'absence d'options de retrait suscite aussi des préoccupations et fait l'objet de débats.DocuSign est une société informatique américaine basée à San Francisco créée en 2003. L'entreprise est spécialisée dans la signature électronique des documents et la gestion des transactions numériques. Notamment, DocuSign développe et distribue eSignature, une solution de signature électronique qui permet aux particuliers et aux entreprises de signer et de gérer des documents par voie électronique. L'entreprise a étendu ses activités au domaine de l'IA, ce qui signifie qu'elle a besoin de données pour former ses modèles. Mais ses ambitions en matière d'IA suscitent des inquiétudes quant à la protection de la vie privée.
Une nouvelle FAQ de DocuSign indique que l'entreprise peut maintenant collecter les données des utilisateurs pour former ses programmes d'IA propriétaires. « Si vous avez donné votre accord contractuel, nous pouvons utiliser vos données pour entraîner les modèles d'IA propriétaires de DocuSign », note la FAQ publiée la semaine dernière. Cela concernerait les utilisateurs du produit de gestion du cycle de vie des contrats de DocuSign et certains utilisateurs de eSignature. En fait, l'entreprise est en train de développer "un programme d'IA interne basé sur des modèles d'IA open source qui ont été personnalisés par DocuSign".
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Docusign just admitted that they use customer data (i.e., all those contracts, affidavits, and other confidential documents we send them) to train AI . There also doesn't appear to be a way to withdraw consent, but I may have missed that. <a href="https://t.co/HFialShnd7">pic.twitter.com/HFialShnd7</a></p>— nixCraft 🐧 (@nixcraft) <a href="https://twitter.com/nixcraft/status/1763124892986474689?ref_src=twsrc%5Etfw">February 29, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
Et il semble maintenant que l'entreprise veuille améliorer le programme d'IA en lui fournissant des données sur les utilisateurs, y compris les contrats qu'ils signent. Cela fait suite au lancement d'une fonction d'IA appelée "Agreement Summarization" permettant d'analyser de longs contrats pour en dégager les points essentiels. La FAQ indique que les données seront dépersonnalisées et anonymisées avant leur utilisation dans la formation des modèles, mais l'initiative a suscité des inquiétudes quant au respect de la vie privée et au consentement. Dénonçant l'approche de DocuSign, un critique a déclaré :
DocuSign vient d'admettre qu'il utilise les données de ses clients (c'est-à-dire tous les contrats, déclarations sous serment et autres documents confidentiels que nous lui envoyons) pour former son IA. Il ne semble pas non plus y avoir de moyen de retirer son consentement, mais cela m'a peut-être échappé.
« La confiance et la transparence ont toujours été au cœur de DocuSign, et notre travail avec l'IA n'est pas différent. Lorsque nous formons des modèles en utilisant les données des clients, nous n'utilisons que les données des clients qui ont donné leur consentement, et qui sont dépersonnalisées et anonymisées avant que la formation ait lieu. Actuellement, nous ne collectons des données pour la formation qu'auprès des clients qui ont donné leur consentement contractuel explicite dans le cadre de leur participation à AI Extension for CLM, AI Labs et à certains programmes bêta utilisant l'IA ».
Il a ajouté : « nous nous excusons pour toute confusion et nous mettons à jour notre FAQ sur l'IA afin d'apporter plus de clarté à l'avenir ». Selon les analystes, la stratégie de DocuSign s'aligne sur les actions récentes de Reddit, WordPress et Tumblr, qui ont vendu des données d'utilisateurs pour permettre la formation des modèles d'IA de grandes entreprises. Walter Haydock, PDG de l'entreprise de cybersécurité Stackaware, a souligné les ambiguïtés entourant le consentement contractuel pour la formation aux données d'IA. Par ailleurs, Alexander Hanff, défenseur de la vie privée, a appelé à reconsidérer l'utilisation de DocuSign.
Hanff a cité les ramifications juridiques potentielles de l'entraînement non autorisé de l'IA sur les données personnelles. Ces critiques soulignent l'équilibre délicat entre le progrès technologique et la protection de la vie privée des utilisateurs. Docusign a dit avoir pris des mesures de sécurité, mais l'efficacité et la fiabilité de ces mesures restent sujettes à débat. Au fur et à mesure que DocuSign développe ses capacités d'IA, les implications plus larges pour la confidentialité des données des clients et la nécessité de mécanismes de consentement transparents et centrés sur l'utilisateur deviennent de plus en plus importantes.
Le débat sur l'utilisation par DocuSign des données de ses clients pour la formation de l'IA marque un tournant décisif à l'intersection de la technologie, de la protection de la vie privée et de la confiance. Alors que les entreprises naviguent dans les complexités de l'innovation en matière d'IA, l'impératif de respecter des normes strictes en matière de protection des données n'a jamais été aussi aigu. Cela souligne le défi permanent que représente l'équilibre entre le progrès technologique et la sauvegarde des droits individuels. Les entreprises ont besoin de grandes quantités de données pour entraîner leurs modèles de langage.
Mais les sources de données sont de plus en plus limitées en raison des lois sur le droit d'auteur. Les entreprises d'IA, comme Microsoft, Meta, OpenAI, Stability AI et Anthropic, sont confrontées à un nombre important d'actions en justice pour violation du droit d'auteur dans le processus de formation de leurs modèles d'IA. Les plaintes dénoncent le pillage des données publiques et des données protégées par le droit d'auteur par les entreprises d'IA. Les plaignants comprennent les artistes 3D, les écrivaines, les auteurs, les éditeurs de presse, les développeurs, mais aussi d'entreprises comme Getty Images, The New York Times, etc.
Cette situation pousse les entreprises d'IA à explorer d'autres sources de données, y compris à exploiter les données de leurs utilisateurs sans leur consentement. Ainsi, l'année dernière, Zoom a changé ses conditions d'utilisation pour s'octroyer le droit d'utiliser les données des utilisateurs pour entraîner ses modèles d'IA sans leur consentement. Il n'est pas clair si les utilisateurs de Zoom ont la possibilité de se retirer de cette campagne de collecte de données. Cela a suscité un tollé, de nombreux critiques ayant appelé à abandonner Zoom au profit d'applications concurrentes comme BigBlueButton ou encore Jitsi.
Source : FAQ de DocuSign
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de l'initiative de DocuSign qui vise à utiliser les données de ses clients pour la formation de ses modèles d'IA ? Cette pratique est-elle l'égale ? Quels sont les risques juridiques auxquels les entreprises s'exposent en adoptant cette approche ?Voir aussi
La Software Freedom Conservancy appelle les développeurs open source à abandonner Zoom et à adopter BigBlueButton, suite à un changement vivement critiqué dans ses conditions d'utilisation Après le changement des conditions d'utilisation de Zoom visant à utiliser les données des utilisateurs pour entraîner l'IA, un développeur suggère de passer à Jitsi Zoom change ses conditions d'utilisation et s'octroie le droit d'utiliser les données des utilisateurs pour entraîner son IA sans leur consentement ni possibilité de s'y opposer