Code de conduite de Doctrine sur l’IA générative


Pourquoi ce code ?

Doctrine utilise l’intelligence artificielle depuis ses débuts pour fournir sa plateforme d’intelligence juridique aux professionnels du droit. L’intégration de l’intelligence artificielle générative pose des questions nouvelles et légitimes auxquelles nous avons voulu répondre en toute transparence pour nos utilisateurs. Ce code de conduite sur l’IA générative est un engagement unilatéral de Doctrine qui s’engage à en respecter les principes dans ses innovations et développements intégrant l’intelligence artificielle générative.

Pourquoi utiliser l’intelligence artificielle générative ?

L’IA générative permet de grandes avancées dans le traitement du langage naturel, qui est au cœur de la technologie de Doctrine. Grâce aux grands modèles de langage (large language models, ou LLMs, tels que GPT-3.5, GPT-4 ou les modèles de Mistral), nous pouvons désormais acomplir certaines tâches plus rapidement et/ou efficacement. Cela nous permet de faire gagner toujours plus de temps à nos utilisateurs.

Comment fonctionne l’IA générative ? Quels avantages par rapport aux autres solutions ?

L’intelligence artificielle générative utilise de grands modèles de langage pour générer des réponses en fonction des demandes des utilisateurs. Chez Doctrine, nous nous plaçons au carrefour entre (1) vos questionnements et besoins, (2) des modèles d’IA générative et (3) les informations juridiques de notre fonds. Nous distinguons deux grandes catégories d’usages : les utilisations sans entrée de l’utilisateur (“prompt”), et celles le nécessitant.

Pour les usages sans prompt, nous identifions un besoin, le qualifions et l’analysons, et nous effectuons des analyses métier pour transmettre ce besoin à nos prestataires d’IA générative de manière anonyme et sécurisée. Par exemple, le résumé de décisions ou d’actes se fait en un clic, sans transmission de l’identité de l’utilisateur ayant demandé le résumé, et avec pré-traitement grâce aux experts de Doctrine.

Pour les usages avec prompt, nous travaillons d’abord sur votre question pour la comprendre et savoir où chercher. Nous récupérons les informations juridiques pertinentes de notre base de données pour sourcer notre réponse. Nous transférons alors votre question traitée par nos soins et ces informations récupérées à nos prestataires d’IA générative, afin de vous soumettre une réponse augmentée par notre maîtrise de la contextualisation des informations juridiques (ce que nous appelons le Legal Graph de Doctrine). En clair, nous nous engageons à apporter une valeur ajoutée aux échanges avec les prestataires d’IA générative, et à ne pas agir comme une simple “courroie de transmission” de vos questions et besoins.

Quelles sont vos garanties en termes de sécurité des données ?

Principe de sécurité

Les professionnels du droit traitent des données hautement sensibles et confidentielles, et nous sommes conscients que nous devons mériter votre confiance lorsque vous utilisez nos services.

C’est pourquoi Doctrine investit fortement dans la sécurité de toutes les données, personnelles ou non, sensibles ou non, qui transitent par notre plateforme. Nous sommes alignés avec la norme ISO 27001, et en cours de certification.

Nous appliquons notre politique de sécurité à l’ensemble des opérations que nous effectuons, ce qui inclut une grande rigueur organisationnelle interne, le chiffrement de toutes les données en transit et au repos, et l’hébergement chez des prestataires reconnus pour leur sécurité (notre prestataire AWS est certifié ISO/IEC 27001:2022, 27017:2015, 27018:2019, 27701:2019, 22301:2019, 20000-1:2018, 9001:2015 et CSA STAR CCM v4.0).

Nous suivons par ailleurs les bonnes pratiques en termes de développement et de mise en production, afin de nous assurer que nous n’introduisons pas de failles lors de nos itérations, avec notamment des tests automatisés, une revue humaine de chaque nouveauté, et une séparation des environnements de développement et de production.

Afin de garantir que notre sécurité reste au plus haut état de l’art, nous investissons par ailleurs pour bénéficier des services de deux prestataires majeurs : Datadog, qui nous permet à la fois de lutter contre certaines formes d’attaques automatisées et de suivre l’usage de la plateforme pour détecter des anomalies, et Yogosha, qui nous permet de faire tester notre sécurité par des hackers éthiques que nous récompensons s’ils découvrent des failles (tests de pénétration).

Si vous souhaitez en savoir plus sur notre politique de sécurité, n’hésitez pas à la demander par email à dpo@doctrine.fr.

Quelles sont vos garanties en termes de confidentialité des données personnelles ?

Principe de confidentialité

Dès 2016, Doctrine a mis la protection des données personnelles au cœur de son projet. Notre première innovation été notre algorithme d’anonymisation des décisions de justice, pour concilier vie privée et données publiques. Notre engagement dans la conformité RGPD nous a permis de passer avec succès un contrôle de la CNIL.

Nous maintenons cet engagement avec la mise en production d’innovations utilisant l’intelligence artificielle générative :

  • Hébergement des données en Europe : Vos données sont stockées uniquement au sein l’Union européenne. Pour l’usage en production des fonctionnalités d’IA générative avec prompt, nous passons par le service GPT de Microsoft Azure Europe. Nous utilisons les modèles GPT 3.5 et GPT 4 dans un environnement Azure localisé en Europe, sans transfert aux États-Unis. Les garanties de ce dispositif sont analogues à celles que le Conseil d’Etat a établi pour permettre l’hébergement du Health Data Hub dans le domaine de la santé. Si une situation exige un transfert hors Union Européenne, nous vous informerons et prendrons toutes les garanties juridiques et techniques adéquates pour prévenir tout risque d’accès aux données transférées.
  • Absence de transferts de données directement identifiantes aux prestataires d’IA générative : Nous ne transférons pas de données directement identifiantes à nos prestataires d’IA générative. Nous leur envoyons seulement des requêtes juridiques reformulées. La reformulation permet de  dissocier la partie “génération de réponse” de la partie antérieure de compréhension de la question et de recherche des sources pertinentes, qui se déroule intégralement au sein de notre architecture. Nous n’ajoutons pas de données qui pourraient permettre de vous réidentifier directement. Grâce à ce dispositif, nos prestataires ne sont pas capables de vous réidentifier directement.
  • Engagements contractuels de Doctrine : Nous faisons signer à nos prestataires les clauses contractuelles standard de la Commission européenne, même s’ils sont localisés dans des États ne le nécessitant pas, afin d’accompagner contractuellement nos engagements techniques.

    Nous sommes par ailleurs engagés par la clause suivante de nos CGV à respecter la confidentialité de toutes vos données : « Doctrine s’engage irrévocablement, sauf obligation légale ou injonction de l’autorité judiciaire, à respecter le caractère strictement confidentiel des données générées par votre utilisation de ses services. Doctrine s’interdit et interdit à ses salariés d’utiliser, de laisser utiliser ou de révéler à quiconque, directement ou indirectement, sous quelque forme que ce soit, la teneur de ces données. Doctrine reconnaît que la violation de cet engagement est susceptible d’entraîner sa responsabilité. »  

    Cela signifie notamment que, sauf accord exprès de votre part, nous ne réutilisons pas vos documents et données d'usage de la plateforme à des fins d’entrainement de nos systèmes d’intelligence artificielle.

Comment savoir que vous utilisez de l’IA générative ?

Principe de transparence

La transparence est au cœur de la régulation du numérique et des plateformes, ce pourquoi nous avons souhaité l’intégrer comme principe essentiel de nos innovations utilisant l’IA générative. Cet engagement s’illustre par le présent code de conduite, mais aussi par une autre garantie simple et efficace : nous nous engageons à vous informer dès lors que nous vous affichons du contenu généré par intelligence artificielle.

Plus généralement, nous nous engageons également à être transparents sur les prestataires auxquels nous avons recours dans notre politique de données personnelles, afin de vous permettre à tout moment de savoir ce que nous faisons et avec qui. Nous nous engageons enfin à être transparents sur les capacités (et donc les limites) de nos fonctionnalités, pour que vous puissiez les utiliser en pleine confiance car en maîtrise de la totalité des informations essentielles.

Suis-je obligé d’utiliser vos fonctionnalités d’IA générative ?

Principe de libre choix

La réponse est simple : non. Et ce à deux titres.

D’abord, parce que bien évidemment vous pouvez toujours choisir de ne pas utiliser les fonctionnalités disponibles sur le site.

Mais pour bien prendre en compte les différentes sensibilités vis-à-vis de ces dernières innovations, nous avons développé un système de refus ("opt-out") des fonctionnalités d'IA générative avec prompt, qui bloque celles-ci pour vous et votre organisation. Le cas échéant, n’hésitez pas à contacter votre chargé·e de compte pour le faire appliquer. Cet opt-out ne donne lieu à aucun remboursement et aucune réduction.

Quelle responsabilité prenez-vous sur vos fonctionnalités d’IA générative ?

Modèle de responsabilité partagée

Sur ce sujet comme sur tous les sujets du recours à des plateformes d’intelligence juridique par les professionnels du droit, notre approche est celle de la responsabilité partagée.

En effet, vous restez soumis, en tant que professionnel du droit et notamment en tant qu’avocat, magistrat, notaire ou expert-comptable, à une déontologie qui vous est propre et dont l’usage d’une plateforme professionnelle telle que Doctrine ne peut vous exempter. Toute utilisation, non seulement de nos fonctionnalités d’IA générative, mais en fait de tout prestataire d’informations juridiques, est ainsi effectuée sous votre responsabilité. Vous devez donc vérifier toute information importante.

Cependant, nous ne croyons pas à un modèle visant à déresponsabiliser totalement les plateformes d’intelligence juridique. Nous ne pouvons vous garantir la véracité des contenus produits par le biais de nos fonctionnalités d’IA générative, car même basées sur nos sources, les erreurs sont possibles (comme pour tout contenu produit par un être humain). Nous nous engageons cependant à respecter ce code de conduite et tous ses principes. Nous nous efforçons également de réduire au maximum les générations erronées (”hallucinations”) en fournissant systématiquement le contexte nécessaire à nos prestataires d’IA générative, étant précisé que les hallucinations ne peuvent être réduites à zéro, contrairement à ce que certains acteurs du secteur affirment.

Quelle est votre position sur le droit d’auteur et le secret des affaires ?

Principe de respect des droits préexistants

L’IA générative pose des questions intéressantes en termes de droit d’auteur, à la fois concernant l’entraînement de modèles et la propriété du contenu généré. La plupart de ces questions sont en cours d’étude par le législateur et les régulateurs, mais nous souhaitons néanmoins prendre les engagements suivants :

  • Nous respectons le droit d’auteur dans la mise en oeuvre de nos fonctionnalités d’IA générative. Cela signifie notamment que nous ne transférons pas le contenu intégral d’articles soumis au droit d’auteur à nos prestataires d’IA générative, contrairement à certains acteurs du secteur, sans accord des ayants droit ou exceptions au droit d’auteur.
  • Nous respectons votre droit d’auteur et votre secret des affaires en préservant la confidentialité de vos données et en ne les réutilisant pas aux fins d’amélioration de nos services, sauf accord explicite de votre part.
  • Nous ne prétendons pas disposer d’un quelconque droit sur les données générées, que vous pouvez librement réutiliser, et nous engageons à n’opérer que par le biais de prestataires d’IA générative qui sont alignés sur cette position.

Quels sont vos engagements en termes d’éthique ?

Principe d’éthique dès la conception

Doctrine est dotée d’une direction juridique et conformité dirigée par un avocat de formation, et veille à intégrer les réflexions de conformité et d’éthique dès la conception de tous ses produits. C’est d’ailleurs pourquoi nous sommes déjà signataires de la Charte sur la transparence et l'éthique de l'utilisation des données judiciaires du Conseil national des barreaux et labellisés PrivacyTech par l’AFNOR.

Dans ce contexte, nous nous engageons à :

  • Toujours intégrer un membre de la direction juridique dès la conception et l’élaboration de nos fonctionnalités ayant recours à l’intelligence artificielle générative. En pratique, notre équipe juridique est même régulièrement contributrice de ces fonctionnalités en apportant de l’expertise métier.
  • Œuvrer à limiter les biais dans nos jeux de données d’entrainement et de test.
  • Auditer régulièrement nos innovations en production pour nous assurer que leur comportement reste conforme aux exigences.

Bien entendu, ces engagements seront renforcés par notre mise en conformité avec le règlement européen sur l’intelligence artificielle, suite à sa promulgation par la Commission européenne.

Est-ce que vous collaborez avec l’écosystème juridique sur ces sujets ?

Principe d’innovation vertueuse

Le sujet de l’intelligence artificielle générative dans le secteur du droit ne peut être totalement appréhendé par un acteur seul. Nous nous engageons donc à participer, autant que nous le pouvons, aux initiatives portées à notre connaissance pour traiter de ces enjeux et aboutir à une prise en compte générale des problématiques soulevées et des pistes de réponse à apporter. Nous participerons notamment à de telles initiatives dans le cadre du groupe Legaltech de France Digitale, que nous co-animons.