Pratiques de sécurité et de confidentialité de l’IA de Notion
Chez Notion, nous tenons à être transparents concernant nos produits et la manière dont nous utilisons l’IA. Voici un aperçu du fonctionnement de l’IA de Notion et des pratiques de sécurité et de confidentialité associées. 🔒
L’IA de Notion est un ensemble de produits et de fonctionnalités d’IA, qui comprend actuellement* :
L’assistant IA : pour améliorer votre productivité grâce à des réponses instantanées à vos questions, la création de contenu écrit et des séances de brainstorming, le tout en utilisant les informations provenant de votre espace de travail Notion et du Web.
Le remplissage automatique : pour générer du texte dans plusieurs pages d’une base de données en même temps, avec les instructions de votre choix ou en vous appuyant sur des instructions prédéfinies.
Les fonctionnalités d’IA de Notion s’intègrent naturellement à votre espace de travail, mais elles reposent en réalité sur plusieurs sous-traitants spécialisés dans l’IA. Consultez notre page sur les sous-traitants pour obtenir une liste complète de nos sous-traitants actuels, et nous expliquons plus en détail l’utilisation de l’IA par Notion dans cet article.
*L’IA de Notion intégrera régulièrement de nouvelles fonctionnalités.
Qui sont les fournisseurs des grands modèles de langage (LLM) utilisés par Notion ?
Notion utilise actuellement plusieurs grands modèles de langage (LLM) hébergés par Notion ainsi que par des organisations telles qu’Anthropic et OpenAI. Nous évaluons en permanence nos fournisseurs et leurs modèles pour offrir la meilleure expérience possible aux utilisateurs de l’IA de Notion. Dès lors que nous faisons appel à un tiers pour traiter des données client, son nom est répertorié dans la page consacrée à nos sous-traitants.
Comment puis-je recevoir une notification lors de l’ajout d’un nouveau sous-traitant ?
Vous pouvez recevoir une notification lorsque nous ajoutons un sous-traitant : écrivez-nous à [email protected] en précisant l’objet « Subscribe to New Subprocessors » (S’abonner aux notifications de nouveaux sous-traitants). Notion vous enverra alors un message à l’intégration de chaque nouveau sous-traitant avant de l’autoriser à traiter des données client. Pour en savoir plus, consultez notre Addendum relatif au traitement des données.
Comment fonctionne le remplissage automatique ?
Lorsque vous interagissez avec l’IA de Notion pour configurer une propriété de remplissage automatique, plusieurs actions s’exécutent en arrière-plan :
Notion reçoit vos instructions ;
Le contenu de ces instructions sont envoyées à un fournisseur de LLM, qui génère des informations et les renvoie à Notion.
Notion traite ces informations pour qu’elles adoptent le bon format et le bon langage, puis vous les présente.
Comment mes données sont-elles protégées ?
Lorsque nous envoyons des données à nos fournisseurs de LLM, nous les chiffrons pendant leur transport avec le protocole TLS 1.2 ou version supérieure. Les données client ne sont en aucun cas utilisées pour entraîner le modèle.
Tous nos fournisseurs de LLM conservent les données pendant un maximum de 30 jours avant de les supprimer.
Les fournisseurs de LLM reçoivent uniquement les données auxquelles l’utilisateur a accès sur la page sur laquelle il utilise le remplissage automatique pour générer des informations. Autrement dit, ces informations contiendront uniquement des données auxquelles l’utilisateur avait déjà accès.
Comment fonctionne l’assistant IA ?
L’IA de Notion est un assistant personnalisé qui utilise le moteur de GPT-4. Il peut effectuer des recherches dans votre espace de travail, créer et modifier du contenu et discuter avec vous de n’importe quel sujet.
L’assistant IA fonctionne en deux temps :
la création d’incorporations (« embeddings » en anglais) ;
la production de réponses.
Que sont les plongements lexicaux ?
Les incorporations sont des représentations numériques de textes ou documents. Ils intègrent la signification et le contexte du texte au sein d’un espace multidimensionnel dans lequel les sujets similaires sont associés à des représentations numériques du même type. Avec les incorporations, les algorithmes de recherche vectorielle sont en mesure de comparer et d’identifier des similarités de manière efficace entre différentes parties d’un texte ou de documents. Dans le cas de l’assistant IA de Notion, les incorporations sont générées à partir du contenu de l’espace de travail, afin que le système puisse fournir des réponses précises et pertinentes aux questions de l’utilisateur.
Voici un exemple de plongement lexical généré par OpenAI :
[
-0.02541878,
-0.0104167685,
-0.0015037002,
...,
-0.004155378,
-0.00043069973,
-0.01679479
]
Comment les plongements lexicaux sont-ils créés ?
Pour chaque page de votre espace de travail, nous générons une incorporation à l’aide d’une API OpenAI sans rétention d’information.
Notion reçoit une incorporation pour chaque page Notion, et l’enregistre dans une base de données vectorielle (par exemple, Pinecone) qui est utilisée pour retrouver ce bloc original lorsqu’il est pertinent pour fournir une réponse à l’utilisateur.
Comment les plongements lexicaux permettent-ils de générer des réponses ?
Notion reçoit une question d’un utilisateur ;
La demande est transmise à un fournisseur de LLM. Si la demande ne nécessite pas de recherche dans l’espace de travail Notion, le LLM génère une réponse immédiatement et ignore le reste du processus. Si la demande de l’utilisateur nécessite une recherche dans son espace de travail, le LLM génère une requête de recherche la plus pertinente possible par rapport à la demande de l’utilisateur.
La requête est transmise à une base de données vectorielle, où une liste de pages est trouvée en fonction de la pertinence de la requête.
Notion envoie la requête (et les pages identifiées par la base de données vectorielle) à un LLM hébergé par Notion, où les pages sont affinées et classées par pertinence par rapport à la requête.
La requête, la liste des pages identifiées et leur classement sont traités par nos fournisseurs de LLM pour générer une réponse qui répond à la demande de l’utilisateur.
Notion traite les informations renvoyées pour qu’elles adoptent le bon format et le bon langage et les présente ensuite à l’utilisateur.
Comment sont protégés les plongements lexicaux ?
Bien que les incorporations ne soient qu’une représentation numérique des données client, Notion les traite toujours avec le même niveau de sécurité et de confidentialité que les données client elles-mêmes. Nos engagements envers la protection des données client sont présentés dans notre contrat-cadre de service (MSA). Par ailleurs, les incorporations sont régies par les clauses de nos accords de traitement de données (ATD). Consultez la page Conditions d’utilisation et confidentialité pour plus d’informations.
Nous stockons les incorporations dans des bases de données vectorielles comme Pinecone. Notre équipe de sécurité a approuvé ces bases de données vectorielles, qui bénéficient par ailleurs d’une certification SOC2 Type II obtenue après audit externe.
L’IA de Notion respecte-t-elle les autorisations existantes ?
Oui. L’IA de Notion respecte les autorisations existantes. Le LLM utilisé pour générer des réponses d’IA pour un utilisateur ne peut voir et utiliser que des informations auxquelles cet utilisateur a déjà accès.
Comment les données client sont-elles protégées lors de leur envoi aux sous-traitants d’IA ?
L’IA de Notion est conçue pour protéger vos données client et éviter toute divulgation d’informations aux autres utilisateurs du service.
Avant de s’associer à un sous-traitant ou à un fournisseur, Notion évalue ses pratiques de confidentialité et de sécurité, et signe un contrat définissant ses obligations légales. Tous les sous-traitants font l’objet d’un contrôle et d’un audit au moins une fois par an pour garantir le respect continu des exigences de Notion en matière de sécurité et de confidentialité. Ces vérifications incluent l’analyse de documents comme des rapports d’attestation, des tests d’intrusion et d’autres éléments en fonction de l’importance stratégique du sous-traitant et d’autres facteurs de risque. Dans le cadre de l’intégration et des audits réguliers de ses sous-traitants, Notion leur fait également parvenir des questionnaires obligatoires sur la sécurité des technologies. Enfin, les événements de sécurité publics majeurs sont évalués pour protéger la surface d’attaque de la supply chain.
Quand nous envoyons vos données à des tiers, elles sont chiffrées en transit à l’aide du protocole TLS 1.2 ou d’une version supérieure.
Pour en savoir plus sur le traitement de vos données par Notion, consultez notre addendum relatif au traitement des données (ATD).
Mes données seront-elles utilisées pour entraîner des modèles ?
Par défaut, Notion et ses sous-traitants d’IA n’utilisent pas les données client pour entraîner des modèles. Les contrats conclus avec nos sous-traitants d’IA interdisent spécifiquement l’utilisation des données client pour entraîner des modèles.
Votre utilisation de l’IA de Notion ne confère à Notion aucun droit sur vos données client ni licence pour entraîner nos modèles d’apprentissage automatique.
Comment les données client sont-elles isolées ?
Chaque compte client est stocké de manière individuelle dans notre environnement de production. Nous ne mélangeons ni ne traitons ensemble les données de clients différents lors de l’utilisation des fonctionnalités d’IA. Cela signifie en particulier que nous n’exposons pas vos données aux autres clients de Notion.
Quelles sont les obligations de nos fournisseurs d’IA en matière de conservation de données ?
Les sous-traitants de l’IA de Notion disposent de politiques de conservation des données permettant à Notion de respecter ses obligations en matière de traitement des données.
Lors de l’utilisation de l’assistant IA de Notion et de la fonctionnalité de remplissage automatique, nos LLM ne conservent les données client pendant un maximum de 30 jours avant leur suppression. L’assistant IA de Notion s’appuie également sur des incorporations d’OpenAI. OpenAI ne conserve aucune donnée client par le biais de son service d’incorporations.
Les incorporations enregistrées dans les bases de données vectorielles sont supprimées dans les 60 jours suivant la suppression de la page ou de l’espace de travail associé.
Si un utilisateur supprime une page ou un espace de travail Notion, nous pouvons en restaurer le contenu pendant les 30 jours qui suivent. Passé ce délai, les données supprimées ne sont plus récupérables. Cela inclut l’ensemble des données et incorporations générées par l’IA. Pour en savoir plus sur la suppression ou la restauration de vos données, consultez cet article.
Quelles sont les normes de conformité respectées par l’IA de Notion ?
L’IA de Notion entre dans le champ du rapport SOC 2 type 2 et de la certification ISO 27001, ce qui témoigne de notre engagement à respecter diverses normes.
Nous travaillons activement à sa mise en conformité avec les obligations de la loi HIPAA, en passant par les API sans conservation de données des fournisseurs de LLM afin de pouvoir traiter des données de santé (PHI).
Est-il possible de configurer une intégration de prévention de la perte de données (DLP) pour générer une alerte lorsque des données sont utilisées par l’IA de Notion ?
Oui. Nos clients peuvent déclencher des alertes de prévention de la perte de données lorsque du contenu sensible de leur espace de travail Notion est utilisé, à l’aide de partenaires d’intégration tiers accessibles avec notre forfait Entreprise. Ces alertes incluront les instructions d’IA et le contenu généré par l’IA. En savoir plus sur nos intégrations DLP ici.
Existe-t-il des interdits en lien avec l’IA de Notion ?
Oui. Les conditions d’utilisation du programme d’IA de Notion régissent votre utilisation de l’IA de Notion. En outre, la politique relative au contenu et à l’utilisation de Notion s’applique à tout contenu disponible sur Notion, y compris le contenu généré par l’IA. La violation de ces conditions peut entraîner la suppression de votre contenu ou la suspension de l’accès à votre espace de travail.
Qui détient les droits sur le contenu généré par l’IA de Notion ?
Notion ne revendique aucun droit sur les données en entrée ou les données générées. Cette question est abordée dans les conditions d’utilisation du programme d’IA de Notion dans la section « Données en entrée et données en sortie » :
Vous pouvez fournir des données à traiter par l’IA de Notion (« Données en entrée ») et recevoir des résultats générés et renvoyés par l’IA de Notion sur la base de ces données en entrée (« Données en sortie »). Lorsque vous utilisez l’IA de Notion, les données en entrée et données en sortie sont considérées comme des données client.
Vous pouvez également vous reporter à nos pratiques de protection des données.