Promenez-vous dans la plupart des lieux de travail et vous le verrez : des outils d'IA gratuits ou peu coûteux sont omniprésents. Glissez un enregistrement dans une application dotée d'IA et vous obtiendrez ce qui a été dit ainsi que les tâches assignées ; ouvrez un long PDF et l'outil pourra le résumer ; cliquez sur un bouton lors d'un appel vidéo et non seulement vous obtiendrez des sous-titres en direct, mais l'outil pourra traduire en temps réel pour vous ; insérez une vidéo et le bruit de fond disparaîtra. Il s'agit souvent d'actions en un seul clic, intégrées dans les smartphones et les applications de bureau, et suffisamment efficaces pour que vous soyez tenté de les utiliser lors de vos enquêtes. Cette commodité est précisément la raison pour laquelle nous avons besoin d'un contrôle plus strict sur la manière dont ces outils interviennent dans les enquêtes, et sur le moment où ils le font.
Avec toutes les connaissances et les informations qu'elle contient et la confiance qu'inspire une réponse claire et bien rédigée, il est facile de faire confiance à ce que l'IA vous renvoie. Cependant, d'innombrables rapports font état de cas où l'IA a inventé des faits ou même des sources. Et ce mauvais comportement peut s'appliquer à une enquête - la réponse de l'IA peut inventer des informations, affirmer une date ou nommer quelqu'un qui ne figure même pas dans le dossier. Le profil d'IA générative du NIST du NIST appelle cela de la confabulation. Si l'enquêteur croit la réponse confabulée et qu'elle se retrouve dans un rapport ou une déclaration sous serment, il a introduit des affirmations semblables à des ouï-dire sans source probante. Les conséquences sont bien plus graves si la croyance en la confabulation est suivie d'effets ou utilisée dans la prise de décision en aval.
Les préjugés, sous leurs nombreuses formes, représentent un risque silencieux mais néfaste. Les biais nuisibles se manifestent beaucoup plus rapidement dans l'IA. Ils peuvent prendre la forme d'une sous-représentation ou d'une sous-représentation du sexe, de la race ou des capacités physiques, ce qui altère gravement les résultats du modèle. Et le risque ne se limite pas aux attributs physiques. Lorsque l'on utilise l'IA pour traduire des enregistrements, si le modèle sous-jacent est bien adapté à l'anglais américain mais peu performant pour l'espagnol mexicain, la traduction qui en résultera risque de déformer ce qui a été dit. Le rapport du ministère de la justice sur l'intelligence artificielle et la justice pénale établit un lien direct avec le respect des droits de la défense : l'exactitude, l'équité et la transparence doivent être démontrées si les données issues de l'IA influencent les décisions d'enquête ou les jugements des procureurs. En résumé : les tribunaux vous demanderont comment vous avez vérifié l'absence de partialité et ce que vous avez fait lorsque vous l'avez trouvée.
Les fuites de sécurité et de vie privée sont des problèmes pratiques, et non théoriques. Si vous copiez-collez des informations d'identification personnelle (PII), des détails sur des informateurs ou des documents confidentiels dans des outils publics, ces données risquent d'être exposées. Les attaques par injection d'invites brouillent les frontières entre les instructions de l'utilisateur et les invites du système interne de l'IA. Cette confusion manipule le comportement du modèle, l'amenant à révéler ou même à modifier des informations.
Un autre problème consiste à garder une trace de ce que l'IA a vu et de la manière dont elle est utilisée. Les procureurs du comté de King, dans l'État de Washington ont déjà fait savoir aux agences qu'ils n'accepteraient pas les rapports de police assistés par l'IA pour des raisons d'exactitude et d'intégrité. L'organisme de surveillance de la police de Seattle a officiellement demandé à la police de Seattle de définir une politique après qu'un agent a utilisé l'IA pour des rapports internes.
Les tribunaux, en tant qu'arbitres de la transparence et de la vie privée, prennent naturellement l'IA au sérieux. Si les messages-guides, les projets et les instructions de l'IA ne sont pas conservés, il se peut que vous ne puissiez pas soumettre les informations ou les preuves. Le National Center for State Courts (NCSC) et la Conference of State Court Administrators (COSCA) ont publié conjointement des des orientations sur l'IA dans les tribunauxqui mettent l'accent sur la protection de la vie privée, la vérification et la clarté de l'information. En juillet de cette année, le système judiciaire californien a adopté une exigence à l'échelle de l'État que chaque tribunal adopte une politique en matière d'IA ou l'interdise purement et simplement - en donnant la priorité à la confidentialité, à l'atténuation des préjugés et à la vérification. Ces normes détermineront ce que les juges attendent des forces de l'ordre dans tout le pays.
Certaines applications d'IA conservent toutes les invites, les commentaires de l'utilisateur et les versions du résultat pour que l'utilisateur puisse les consulter ou poursuivre son travail ultérieurement. Toutefois, bon nombre de ces mêmes outils permettent une utilisation sans connexion. Si le produit du travail n'est pas lié à un compte, toutes les invites, tous les commentaires, etc. de cette session sont perdus. L'absence de règles claires en matière d'IA peut nuire à la confiance dans les services répressifs. En l'absence de lignes directrices appropriées, le personnel bien intentionné risque d'inventer des règles de son propre chef. La direction de l'agence se retrouve alors confrontée à l'examen des médias au lieu de s'occuper du travail de la police.
Bonnes pratiques pour l'utilisation de la GenAI dans les enquêtes
Que faire ?
Commencez par la gouvernance, pas par les outils. Nommez un responsable de l'IA, exigez l'approbation préalable des cas d'utilisation et tenez un inventaire actualisé. Classez les utilisations de l'IA en fonction du risque : faible (pour la grammaire), moyen (pour les résumés administratifs), élevé (tout ce qui est factuel et peut constituer une preuve). Reliez ensuite chaque classification au cadre de gestion des risques liés à l'IA du NIST (NIST Risk Management Framework). cadre de gestion des risques liés à l'IA du NIST (gouverner, cartographier, mesurer, gérer) afin que les contrôles s'adaptent aux enjeux.
Tracer des lignes claires pour les rapports. Si l'IA est utilisée pour un document, le rapport doit comprendre : une déclaration d'information, une vérification humaine de l'exactitude et des références aux sources utilisées. De plus, les humains doivent conserver les modifications de la ligne rouge par rapport à la version préliminaire de l'IA. Ces mesures répondent immédiatement aux préoccupations des procureurs en matière de crédibilité et correspondent aux attentes actuelles des tribunaux et des procureurs.
Traitez les messages-guides, les ébauches et les résultats comme des artefacts qui s'appuient sur des preuves. Enregistrez-les avec des horodatages, des numéros de dossier et des identifiants d'utilisateur. Interdire le collage de données sensibles (ou le téléchargement de fichiers contenant des données sensibles) dans des modèles publics. Conservez tout dans un environnement contrôlé où les journaux et les contrôles d'accès sont standard. Ceci est directement lié à l'accent mis par le NIST sur la documentation, la sécurité et la traçabilité.
Testez-le. Pour chaque utilisation, définissez des critères de réussite, élaborez des scénarios de test fixes, mesurez les taux d'erreur et faites appel à l'équipe rouge pour l'injection rapide et les indices trompeurs. N'approuver qu'après avoir franchi une porte documentée, et refaire des tests après des changements de modèle ou de politique. Cela reflète les attentes du ministère de la justice en matière de performance et d'équité, ainsi que l'approche du cycle de vie du NIST.
Gardez un être humain dans la boucle. Les examinateurs doivent vérifier les faits par rapport au matériel source - ne pas se contenter de lire le document pour voir s'il a du sens ou s'il se lit bien. La responsabilité incombe à l'agent ou à l'analyste dont le nom figure sur le produit du travail. Les orientations du ministère de la justice insistent sur ce point à plusieurs reprises : la surveillance humaine n'est pas facultative.
Limiter la portée et l'exposition. Cela semble évident : commencez par des utilisations administratives à faible risque et interdisez explicitement à l'IA de fournir quoi que ce soit qui se substitue au jugement de l'enquêteur (comme des déclarations de causes probables, des recommandations d'inculpation ou des récits). Minimisez (ou éliminez) les IIP dans les messages-guides et préférez les entrées structurées au texte libre. C'est le principe de base de la minimisation des risques selon le NIST.
Planifiez l'archivage public et la transparence. Mettez par écrit quand et comment vous divulguez l'assistance de l'IA dans les rapports, comment vous répondez aux demandes d'archives et ce que vous direz aux tribunaux et à la communauté. Les articles que j'ai mentionnés précédemment montrent le coût de l'ambiguïté.
Prévoir une rampe de sortie. Si les tests révèlent des erreurs matérielles (ou si une affaire soulève de nouvelles questions juridiques), interrompez l'utilisation de l'IA, documentez le problème, informez le service juridique, remédiez à la situation et reprenez seulement ensuite. Ce n'est pas pour rien que l'approche du NIST repose sur la notion de "mesurer et gérer" en continu.
Aligner les marchés publics sur votre politique. Intégrez les exigences de votre politique dans vos contrats, telles que l'enregistrement et l'exportation des invites et des résultats, les limites de conservation des données, les contrôles de sécurité, le soutien de l'équipe rouge, la documentation du modèle et la coopération en matière d'audit. L'examen du GAO montre que les agences qui lient les contrats à la politique sont plus à même de maintenir la conformité.
Utilisez l'IA pour accélérer le travail, pas pour abaisser la norme. Avec des garde-fous fondés sur les orientations du NIST et du DOJ - et informés par ce que les tribunaux et les États attendent désormais - vous pouvez obtenir l'efficacité sans risquer l'affaire.
À propos de Kevin McTiernan
Kevin McTiernan est un professionnel chevronné qui compte plus de 20 ans d'expérience dans le secteur de la sécurité. Son expertise couvre le big data, la cybersécurité, l'analyse de la sécurité des réseaux et la conformité réglementaire. En tant que vice-président des solutions gouvernementales chez SS8, Kevin est spécialisé dans la mise en œuvre de solutions de renseignement avancées pour le gouvernement américain, les forces de l'ordre et l'alliance Five Eyes. Il est un orateur accompli et un fervent partisan et bénévole de la National Child Protection Task Force (groupe de travail national pour la protection de l'enfance). Pour en savoir plus sur Kevin, consultez son site Profil LinkedIn.
À propos de SS8 Networks
En tant que leader dans le domaine de l'intelligence légale et de la localisation, SS8 s'engage à rendre les sociétés plus sûres. Notre mission est d'extraire, d'analyser et de visualiser les informations critiques, en fournissant des informations en temps réel qui aident à sauver des vies. Avec 25 ans d'expertise, SS8 est un partenaire de confiance des plus grandes agences gouvernementales et des plus grands fournisseurs de communication, restant constamment à la pointe de l'innovation.
Discovery est la dernière solution de SS8. Proposée sous forme d'abonnement, elle permet de multiplier la force d'investigation des polices locales et nationales en fusionnant, filtrant et analysant des volumes massifs de données d'investigation - en temps réel.
Le portefeuille de surveillance et d'analyse de données Intellego® XT est optimisé pour les organismes d'application de la loi afin de capturer, d'analyser et de visualiser des ensembles de données complexes pour obtenir des renseignements d'enquête en temps réel.
LocationWise offre la plus grande précision de localisation de réseau vérifiée au monde, fournissant des informations de localisation actives et passives aux services d'urgence, aux forces de l'ordre et aux opérateurs de réseaux mobiles.
La plateforme de médiation Xcipio® répond aux exigences de l'interception légale dans n'importe quel type de réseau et offre la possibilité de transcoder (convertir) entre les versions de transfert d'interception légale et les familles standard.
Pour en savoir plus, contactez-nous à l'adresse suivante info@SS8.com.
