Ce n’est plus qu’un battage médiatique. Les entreprises cherchent globalement à adopter Gen AI pour améliorer la productivité de leurs employés.
 
Il y a aussi la demande des utilisateurs finaux à satisfaire. Les gens utilisent l’IA dans leur vie personnelle et veulent l’utiliser au travail. Les futurs employés évaluent les options d’emploi en fonction des outils d’IA disponibles dans l’entreprise potentielle. A tous les niveaux, les entreprises doivent s’assurer qu’elles restent à la hauteur de la concurrence en matière de talents et de productivité.

Et cela s’avère efficace. Une étude récente de Forrester révèle une augmentation impressionnante de la productivité, des réductions de coûts, de la diminution  du temps d’intégration et un retour sur investissement estimé jusqu’à 450 %.
 
Tout cela favorise une adoption massive et d’une manière jamais vue auparavant.
 
Les grandes entreprises, naturellement plus conservatrices, sont toujours plus lentes à adopter des nouvelles technologies, mais achètent désormais des quantités significatives de licences Microsoft 365 Copilot et souhaitent accélérer son adoption.
 
 Néanmoins, une question brule les lèvres de tous les directeurs juridiques ou directeurs des affaires juridique : comment mettre en œuvre Copilot de manière responsable et sécurisée ?
 
Voici cinq questions que les services juridiques peuvent poser à leur service IT pour s'assurer que l'adoption de Copilot de Microsoft 365 répond aux enjeux juridiques. La bonne nouvelle est que la prise en compte de ces considérations contribuera également à accroître l'efficacité de Copilot et à obtenir de meilleurs résultats !

Question #1 : Comment pouvons-nous garantir que Copilot de Microsoft 365 n’expose pas d’informations sensibles à des employés qui ne devraient pas y avoir accès ?

Un utilisateur aura généralement accès à Outlook, OneDrive, Teams et à d’autres applications, et il aura probablement accès à des informations dont il n’a pas connaissance, telles que des fichiers sur certains sites SharePoint ou OneDrive. Supposons qu’un employé ait partagé un fichier en utilisant la sélection « partager avec n’importe qui dans mon organisation ». Ce n’était pas auparavant un risque important lorsque « n’importe qui dans mon organisation » devait également connaître le lien pour accéder au fichier. Cependant, lorsqu’un utilisateur envoie une invite à Copilot, elle est basée sur l’utilisation de tous les fichiers auxquels l’utilisateur peut accéder. Par conséquent, la réponse de Copilot peut contenir des informations auxquelles l’utilisateur n’était pas censé avoir accès ou auxquelles il ne sait pas avoir accès.
 
Pour répondre à ce problème, les organisations peuvent exploiter les fonctionnalités de sécurité et de conformité des données de Microsoft 365 Purview pour identifier et étiqueter le contenu sensible, notamment les données soumises aux réglementations RGPD, HIPAA, PCI, ainsi que sur la confidentialité ainsi que les documents commerciaux sensibles, définis par l’organisation. Par exemple une cible de fusion et acquisition confidentielle, la propriété intellectuelle, etc. 

Pour accélérer la mise en œuvre de Copilot, les organisations peuvent protéger les données surexposées à Copilot par étapes en fonction des catégories de risque. Par exemple, en identifiant et en corrigeant d’abord les données surexposées contenant du contenu sensible, les utilisateurs finaux peuvent accéder rapidement à Copilot. Ensuite, l’équipe peut s’occuper de la mise à jour des autorisations sur les données surexposées qui n’ont pas de contenu sensible.

Question n°2 : Comment pouvons-nous éviter que Copilot de Microsoft 365 utilise des données obsolètes ou inexactes ?

Étant donné que Copilot  repose sur des données accessibles, celles-ci peuvent être obsolètes ou contenir des informations partiellement incorrectes. De nombreuses organisations conservent de manière générale les données en raison d'une culture de « tout conserver » ou n'ont pas mis en œuvre de stratégie de destruction automatisée, conforme à leur propre politique interne de conservation.
 
Copilot sera un meilleur outil pour ses utilisateurs, s'il utilise des données exactes et précises. 
Lorsqu'une organisation déploie Copilot, c'est alors le moment idéal pour revoir les politiques de conservation et de destruction des données, permettant ainsi de réduire les volumes de données en fonction du calendrier et de la duplicité du contenu, et d'éviter les mauvaises réponses de Copilot. 

Ces bonnes pratiques réduiront également les données soumises à de futures conservations juridiques, réduisant ainsi les coûts de litige et faisant de cette situation une situation gagnant-gagnant pour le service juridique et l'informatique.  

Question n°3 : Comment pouvons-nous éviter la perte ou la fuite de données ?

En suivant les étapes ci-dessus pour définir le contenu sensible et mettre en œuvre la classification automatique des données, les organisations peuvent tirer parti de la bonne gouvernance de leurs données et appliquer des contrôles proactifs pour réduire le risque de perte ou de fuite de données. 

Avec Microsoft Purview Data Loss Prevent (DLP), vous pourrez empêcher les utilisateurs de partager des informations sensibles avec un compte de messagerie personnel ou d'autres destinations non autorisées. 
Les contrôles proactifs peuvent avertir les utilisateurs, bloquer l'activité, enregistrer l'activité et demander à une personne centralisée d'agir en conséquence. 

Il peut également identifier toutes les réponses de Copilot qui contiennent des informations provenant d'un fichier déjà classifié, et le nouveau fichier héritera de la classification et des contrôles associés.

Question n°4 : Comment surveillez-vous et contrôlez-vous les demandes et les réponses dans Copilot de Microsoft 365 ?

La technologie Gen AI est prête à l’emploi. Elle ne permet pas aux utilisateurs de poser des questions insensées.
 
De plus, la mise en œuvre appropriée d’un schéma de classification et de contrôles de politique DLP protégera les demandes et les réponses au niveau individuel.
 
Si des inquiétudes subsistent quant au fait que les utilisateurs demanderont des informations sensibles ou confidentielles, des couches de protection supplémentaires peuvent être appliquées. Cela comprend la limitation des questions que les utilisateurs peuvent poser dans une demande ou l’interdiction de poser des questions sensibles à une organisation. 

Les réponses seront également évaluées pour vérifier leur conformité avec les politiques internes afin d’empêcher que des informations sensibles ne soient divulguées à un utilisateur qui ne devrait pas avoir accès à ce contenu.

Question n° 5 : Si Copilot crée de nouveaux documents, comment alignons-nous nos politiques de conservation des données avec nos pratiques d’eDiscovery/Discovery ?

Aujourd’hui, la rétention des messages Copilot est liée à Microsoft Teams. Si un utilisateur demande à Copilot de résumer un document Word, la boîte aux lettres de l’utilisateur conserve le message et la réponse.
 
Il existe un débat dans le secteur pour savoir si cela doit être considéré comme une autre source de données, comme une conversation, mais techniquement, ce n’est pas le cas. Il s’agit d’un contenu transitoire ou d’une copie de commodité, et il n’est pas nécessaire de le conserver à des fins de conservation des dossiers.
 
Néanmoins, une organisation peut souhaiter conserver les données générées par Copilot, en cas de litiges sociaux ou d’investigations forensiques, etc. Les organisations doivent envisager et mettre en place des politiques concernant ce type de données.

Question bonus que tout le monde devrait se poser : quel est le délai réaliste pour adopter de manière responsable et sécurisée Gen IA? 

L’un des aspects les plus critiques et les plus chronophages de la préparation à l’adoption de Gen AI est de s’assurer que les données sont contrôlées et sécurisées. 

En moyenne, le déploiement complet d’une organisation au niveau de l’entreprise prend six mois. Une façon d’accélérer le délai de rentabilisation est d’utiliser une approche agile et de déployer Gen AI par étapes. De cette façon, les outils Gen AI peuvent être mis à la disposition des utilisateurs les plus critiques, et les enseignements tirés de ces premiers utilisateurs peuvent être appliqués lors du déploiement du programme auprès d’autres groupes au sein d’une organisation.
 
Cette approche peut accélérer l’adoption et est plus efficace que d’essayer de résoudre les problèmes et de mettre en œuvre des contrôles une fois que vos équipes plus larges ont commencé à adopter. Bien qu’une approche agile ne soit pas nouvelle, l’analyse par couches des informations sensibles et des contrôles d’accès permet de réduire les risques associés au déploiement de Gen AI.
 
Apprenez-en plus sur l’évaluation et les services de préparation à l’adoption de Responsible AI et Copilot de Microsoft 365 d’Epiq, notamment sur la manière dont ils peuvent aider votre organisation.
 
Epiq a une grande expérience en conseillant de nombreuses organisations clientes ainsi qu’en mettant en œuvre Copilot de Microsoft 365 au sein d’Epiq. Notre plus grande mission à ce jour a été de travailler avec une seule organisation disposant de 25 000 licences Copilot pour Microsoft 365 et de plus de 100 000 utilisateurs. Grâce à ce travail, nous avons développé notre propre outil d’évaluation et nos services pour aider les équipes juridiques et informatiques à mettre rapidement en œuvre Gen AI au sein de leurs organisations. 
Ce programme de conseil répond aux questions les plus urgentes qu’un directeur juridique ou un responsable juridique doit poser au service informatique pour s’assurer qu’il adopte Copilot avec succès et de manière responsable.

Jon Kessler est Vice-Président de la Gouvernance de l'Information chez Epiq, où il dirige une équipe globale qui intervient sur la mise en oeuvre de Microsoft Purview, l'adoption responsable de l'IA, la migration de données, la conservation légale, la confidentialité, la gestion des risques internes, la gestion du cycle de vie des données, le conseil en sécurité et la gestion des processus de données de fusions et acquisitions. 
Il possède une vaste expérience de travail sur des questions complexes dans divers secteurs et dispense souvent des formations formelles en matière de conformité et d'eDiscovery aux agences gouvernementales et aux entreprises du Fortune 500.