L’intelligence artificielle peut être mise en œuvre à travers des algorithmes et des modèles qui permettent aux machines d’apprendre à partir de données (machine learning), de s’adapter à de nouvelles situations et d’améliorer leurs performances (deep learning) au fil du temps sans une programmation explicite pour chaque tache.
Ainsi, la question se pose de savoir si dans le cadre de la mise en œuvre de l’intelligence artificielle, il existe un arsenal de textes français ou européens permettant de rendre effectif le droit à l’oubli ?
Le droit à l’oubli a été consacré dans l’arrêt de la CJUE Google Spain du 13 avril 2014.
Dans le cadre de cette affaire, la question préjudicielle posée à la CJUE visait, en particulier, à connaître quelles obligations incombent aux exploitants de moteurs de recherche en matière de protection des données à caractère personnel, lorsque les personnes ne souhaitent pas que des données les concernant soient « mises à la disposition des internautes de manière indéfinie ». La cour a précisé qu’un traitement licite de données exactes peut devenir « (…) avec le temps incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé ».
Ainsi, se pose la question de savoir si une intelligence artificielle a la capacité d’oublier ?
En d’autres termes, peut-on entrainer une intelligence artificielle à oublier les données qu’elle a « ingérées » dans le cadre de son entrainement ? Si dans l’absolu, celle-ci n’a pas la capacité d’oublier de façon intrinsèque comme le font les êtres humains car elle est dépendante d’une action humaine qui lui apprendra à oublier certaines informations, il est possible de contraindre la personne qui est derrière l’intelligence artificielle de mettre en place des process lui permettant d’oublier. En effet, le règlement européen pour la protection des données du 27 avril 2016 (ci-après le RGPD) consacre à l’article 17 un droit à l’oubli au bénéfice de la personne dès lors que sont en jeu ses données personnelles.
Dans le cadre dudit Règlement, plusieurs outils à disposition du responsable de traitement peuvent être actionnés afin de permettre à l’intelligence artificielle d’oublier les données personnelles. Ces outils sont nécessaires pour assurer la protection des individus en leur permettant de ne pas supporter les conséquences d’un traitement de données sans avoir la possibilité de s’opposer à celles qui les concernent.
En application de l’article 17 du RGPD, la personne dont les données personnelles sont traitées par une intelligence artificielle est en droit de demander au responsable de traitement de supprimer ses données dans les meilleurs délais. En effet, les individus ont un véritable contrôle sur leurs données personnelles leur permettant de demander la suppression de ces données dans certaines circonstances (retrait du consentement) tout en reconnaissant certaines exceptions nécessaires pour des raisons telles que la liberté d’expression, la recherche et d’autres intérêts publics.
Le responsable de traitement pourra également mettre en place des techniques d’anonymisation ou de pseudonymisation pour éviter de stocker des données identifiables et « permettre » ainsi d’avoir un droit à l’oubli effectif. Pour rappel, l’anonymisation consiste en un ensemble de techniques telles que l’ajout de bruit, de permutation, de confidentialité différentielle, d’agrégation, de k-anonymat, de l-diversité et de t-proximité permettant, en pratique, de rendre impossible toute identification de la personne par quelque moyen que ce soit et ce, de manière irréversible alors que la pseudonymisation consiste à rendre un jeu de données personnelles directement identifiant en des données non identifiantes par le biais de jeu d’alias, etc.
Si le RGPD offre des outils intéressants permettant à l’intelligence artificielle et au responsable de traitement qui la contrôle d’oublier les données qu’elle a traitées, la question peut se poser lorsqu’il s’agit de données non personnelles telles que des données d’un article scientifique ou historique qui deviendrait obsolète par l’effet du temps et de nouvelles découvertes.
De quelle manière une intelligence artificielle peut oublier des données qui seraient devenues périmées avec le temps ?
Il est possible de contraindre une intelligence artificielle à oublier si on l’empêche d’accéder aux données d’origine, notamment par le mécanisme de l’opt out (Option de retrait) prévu à l’article 4 de la directive n°2019/790 sur le droit d’auteur et les droits voisins dans le marché numérique. Cette directive a permis d’introduire une nouvelle exception au droit d’auteur, relative aux opérations de text and data mining.
En d’autres termes, la directive autorise la fouille de textes et de données, notamment à des fins commerciales. Toutefois, un garde-fou est prévu par l’intermédiaire de l’opt out. Ce mécanisme permet un retour à l’exclusivité des titulaires sur certains contenus. Concrètement, le titulaire du contenu, grâce à l’opt out, pourra insérer une balise dans les métadonnées de l’œuvre permettant à l’intelligence artificielle et donc à l’algorithme qui la contrôle de ne pas lire la donnée marquée et qui a vocation à être oubliée. Toutefois, si en théorie, cela semble facile, la pratique est compliquée à mettre en œuvre puisque cela sous-entend que l’intelligence artificielle saurait que le contenu sur lequel elle s’était appuyée dans le cadre du « machine learning » ou « deep learning » est devenu obsolète, ce qui est sans doute peu probable.
En conclusion, s’il existe à l’heure actuelle des moyens juridiques et techniques permettant à l’intelligence artificielle d’oublier, ils s‘avèrent difficile d’application. Il est important que les instances européennes compétentes se réunissent afin de proposer des outils faciles à mettre en œuvre pour assurer un droit à l’oubli effectif.