IA et protection des données personnelles : analyse des enjeux et régulations.

L’utilisation de données à caractère personnel pour personnaliser les résultats générés par l’IA pose également des risques, notamment la divulgation non autorisée de ces données à des fins commerciales ou malveillantes. De plus, les résultats biaisés ou erronés produits par l’IA peuvent entraîner des conséquences négatives sur les personnes concernées.

Les droits fondamentaux et les libertés des personnes sont en danger face à ces technologies. L’IA, notamment par le biais du web scraping, collecte et exploite automatiquement des données provenant de diverses sources disponibles en ligne pour son entraînement. Ces informations peuvent contenir des données personnelles couvrant divers aspects de la vie privée, voire des catégories spéciales de données personnelles au sens du RGPD.

Ainsi, diverses questions juridiques ressortent. Notamment, comment assurer une transparence suffisante dans les processus automatisés pour que les utilisateurs comprennent comment leurs données sont utilisées ? Quelles sont les limites éthiques et légales à la surveillance et au profilage des individus par l’IA ? Qui est responsable en cas de dommage ou de violation de la vie privée causés par un système d’IA ?

Le RGPD, base de protection.

Le Règlement général sur la protection des données (RGPD), en application depuis le 25 mai 2018, a renforcé la protection des données personnelles dans l’Union européenne.

Actuellement, le RGPD permet d’imposer aux responsables de traitement de données un cadre relatif au recueil de consentement, respect des droits des personnes déposant leurs données et la notification des violations des données. En cas de non-respect de ces obligations, les sanctions envers les responsables de traitement des données peuvent être lourdes. L’article 83 du RGPD prévoit par exemple une amende pouvant s’élever à 20 000 000 d’euros ou dans le cas d’une entreprise, à 4% de son chiffre d’affaires mondial total de l’exercice précédent.

Bien que ce règlement soit essentiel pour encadrer la protection des données à caractères personnelles, il ne suffit pas à garantir à lui seul la sécurité et la confidentialité de ses données utilisées dans le développement de l’IA.

Le RGPD a toutefois permis d’instaurer un environnement favorable à l’innovation tout en protégeant les droits des citoyens. Avec le développement rapide de l’IA, des préoccupations quant à la sécurité des données personnelles, au biais, à la discrimination potentielle et à la désinformation ont émergé. Le RGPD a ainsi contribué à instaurer un lien de confiance entre les citoyens et les entreprises utilisant l’IA et sert désormais de base au processus législatif engagé par l’UE pour encadrer l’IA.

En complément du RGPD, le Digital Market Act (DMA) et le Digital Service Act (DSA) sont deux règlementations clés mais qui ne s’appliquent qu’indirectement à l’IA.

L’objectif du DMA est de protéger les petites entreprises et stimuler l’innovation en faisant cesser la domination des géants technologiques que sont les GAFAM. Le DSA a vocation à protéger les utilisateurs d’internet et à responsabiliser les plateformes en ligne tout en soutenant les petites entreprises. Cependant, afin de couvrir directement les problématiques liées au développement massif de l’IA, de nouvelles réglementations et stratégies plus spécifiques sont devenues indispensables.

Stratégie.

Les développeurs d’IA doivent élaborer une stratégie de conformité pour éviter toute responsabilité. Cela inclut l’adoption de mesures techniques et organisationnelles adéquates pour réduire l’impact sur les personnes concernées. Des garanties adéquates, telles que des critères précis de collecte et l’exclusion de certaines sources, doivent être mises en place. Des mesures doivent également être prises pour supprimer ou anonymiser les données personnelles collectées avant l’étape de formation.

L’intelligence artificielle dite « digne de confiance » repose sur trois caractéristiques fondamentales qui doivent être maintenues tout au long du cycle de vie du système.

Premièrement, elle doit être « licite », c’est-à-dire assurer le respect des législations et des réglementations applicables.

Deuxièmement, elle doit être « éthique », en adhérant à des principes et valeurs moraux.

Enfin, elle doit être « robuste » tant sur le plan technique que social, car même avec de bonnes intentions, les systèmes d’IA peuvent causer des préjudices involontaires.

Ces trois piliers sont essentiels pour garantir la fiabilité et l’acceptabilité des technologies d’intelligence artificielle dans notre société.

La CNIL guide les organismes souhaitant constituer une base de données d’apprentissage contenant des données personnelles pour entraîner un algorithme en s’assurant que le traitement reste licite. Le responsable de traitement doit établir une base légale pour le traitement des données, il peut collecter directement auprès des individus ou indirectement via internet et enfin il doit analyser la conformité de son traitement et informer les individus concernés sur le traitement de leurs données.

Lors de la constitution d’une base de données pour l’apprentissage d’un système d’IA, il est également fortement recommandé de procéder à une Analyse d’Impact sur la Protection des Données (AIPD). Cela permet à l’organisme d’évaluer les risques et d’établir un plan d’action pour les limiter.

Le principe de minimisation est également une stratégie à adopter pour toute organisation souhaitant collecter des données. La CNIL souligne l’importance d’identifier les données pertinentes et minimales. Ainsi, des techniques telles que le « web scraping » sont à réaliser avec précaution en limitant la collecte des données accessibles librement et en supprimant directement les données inutiles.

Obligation de mise en conformité.

Pour garantir la conformité au RGPD et protéger les données personnelles dans le développement de l’IA, les fournisseurs d’IA doivent respecter plusieurs obligations, tandis que les utilisateurs doivent rester vigilants. Le RGPD, à travers ses articles 5, 24 et 25, introduit le principe d’accountability, obligeant les entreprises à mettre en œuvre des mécanismes internes pour être en conformité avec la réglementation européenne et doivent démontrer leur conformité à tout moment concernant la protection des données. Cela inclut la sécurisation des données personnelles, la proportionnalité des traitements par rapport aux finalités poursuivies et le recueil du consentement lorsque nécessaire. Les développeurs d’IA doivent prouver cette conformité dès la phase de conception et ne peuvent invoquer des impossibilités techniques pour justifier des manquements.

Des mesures de sécurité adéquates doivent être mises en place pour protéger les données personnelles. Les utilisateurs doivent être clairement informés des données personnelles utilisées et des résultats générés par l’IA pour garantir transparence et confiance.

Par exemple, OpenAI, l’entreprise américaine derrière ChatGPT, a été confrontée à une interdiction d’un mois par l’autorité italienne de protection des données en mars 2023. Celle-ci reprochait à OpenAI de ne pas informer suffisamment les utilisateurs sur la collecte et l’utilisation de leurs données pour l’entraînement des algorithmes, la violation de l’article 25 du RGPD considérant que ChatGPT n’a pas protégé les données personnelles dès sa conception, autrement dit, lors de la création de son service. En réponse, OpenAI a ajouté des informations détaillées sur son site web concernant la collecte et l’utilisation des données, ainsi qu’une visibilité accrue sur sa politique de données personnelles sur les pages d’accueil de ChatGPT et d’OpenAI.

Chaque traitement de données personnelles doit satisfaire à au moins une des conditions spécifiées à l’article 6(1) du RGPD. Dans le cas des IA, il est difficile d’imaginer avoir obtenu le consentement de toutes les personnes dont les données sont utilisées.

Ainsi, l’article 6(1)(f) du RGPD, basé sur l’intérêt légitime, est souvent invoqué par les développeurs d’IA. Pour que le traitement des données soit licite, il doit être nécessaire par rapport aux finalités pour lesquelles elles sont traitées, un équilibre entre les droits des sujets des données et les intérêts légitimes du responsable, doit être respecté.

Risques pour les utilisateurs.

Les prompts, incluant les données saisies par les utilisateurs, les fichiers téléchargés et les retours sur la qualité des réponses, sont utilisés pour former et améliorer les systèmes d’IA. Les utilisateurs doivent être informés clairement que leur contenu peut être utilisé à des fins d’entraînement, conformément à l’article 6(1)(f) du RGPD. La responsabilité du traitement des données doit être identifiée à chaque phase de développement de l’IA. Par exemple, dans le cas des voitures autonomes utilisant l’IA, il est essentiel de déterminer si le fabricant de voitures ou l’entreprise développant l’algorithme est responsable du traitement des données.

En ce qui concerne le principe d’exactitude des données selon l’article 5(1)(d) du RGPD, une distinction doit être faite entre les données d’entrée (collectées via web scraping ou fournies par les utilisateurs) et les données de sortie (réponses générées par ChatGPT). Bien que le but principal soit de former ChatGPT et non de fournir des informations factuellement exactes, le respect du principe d’exactitude des données est essentiel pour éviter les informations biaisées ou inventées qui pourraient induire les utilisateurs en erreur. L’IA générative fonctionnant de manière probabiliste et étant conditionnée pour délivrer une réponse à tout prix, est effectivement capable de produire un contenu partiellement voire totalement faux. Ce risque de dérive vers des informations erronées est d’autant plus important dans le cas où la demande de l’utilisateur concerne une personne peu connue. Ainsi, l’IA serait capable de combler le manque de données et créer une biographie fictive.

L’IA Act, un nouveau cadre pour l’Europe

L’IA Act , définitivement adopté le 13 juin 2024 par le Parlement européen, classe les différents systèmes d’IA selon quatre niveaux de risque et attribue à chaque niveau des obligations plus ou moins coercitives. Un système d’IA considéré à risque limité est soumis à un droit souple, c’est-à-dire à des obligations de transparence très légères. L’IA à risque modéré doit faire preuve de transparence et d’information auprès de ses utilisateurs, par exemple en indiquant qu’il parle avec un chatbot ou encore que telle image a été générée par une IA. L’IA à haut risque sera soumise à des obligations renforcées (obligation de mise en conformité, marquage, inscription dans la base de données européennes).

L’IA générative est ainsi considérée comme à haut risque en raison du potentiel de « manipulation » (fausses informations, biais, possibilité pour l’utilisateur de croire qu’il parle à un humain…etc). Enfin, l’IA à risque inacceptable est tout simplement interdite sauf rares exceptions. L’article 5 de l’IA Act énumère les systèmes non autorisés et marque certaines exceptions dont bénéficient les autorités sous réserve d’une autorisation préalable ou après utilisation si une situation d’urgence est dûment justifiée (par exemple, l’utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public).

L’article 27 de l’IA Act, suite aux demandes des ONG, oblige les systèmes d’IA à effectuer une étude d’impact sur les potentielles retombées négatives et risques liés aux droits fondamentaux. Cependant, et contrairement à la charte des droits fondamentaux de l’UE ainsi qu’à l’arrêt Schrems II desquels ressort l’aspect de dignité et de vie privée, l’IA Act ne fait pas explicitement mention aux droits fondamentaux et se cantonne à un cadre de responsabilité civile.

Vers une gouvernance de l’IA au niveau mondial ?

Jusqu’à présent, la Commission de l’intelligence artificielle juge qu’il n’existe pas de gouvernance internationale de l’IA. Les différents travaux menés par les Etats et acteurs non étatiques, de la création d’un partenariat mondial pour l’intelligence artificielle (PMIA) au lancement d’une plateforme de suivi des incidents liés à l’IA, n’ont pas de portée contraignante. De plus, certains pays notamment anglo-saxons avaient toujours adopté une approche libérale. Mais aujourd’hui les enjeux que soulèvent l’IA, par exemple en matière de sécurité internationale, entraînent les Etats vers une meilleure régulation.

Le 17 mai 2024, la Convention-cadre du Conseil de l’Europe sur l’IA et les droits de l’homme, la démocratie et l’Etat de droit a été adoptée par le Comité des ministres du Conseil de l’Europe. La signature de ce traité est attendue le 5 septembre 2024. Cette convention s’articule autour des droits fondamentaux et est perçue comme plus forte que l’IA Act en matière de protection. Les 46 Etats membres du Conseil de l’Europe ainsi que plusieurs pays d’autres régions (Argentine, Australie, Canada, Costa Rica, Etats-Unis, Israël, Japon, Mexique, Pérou, Saint-Siège et Uruguay) et l’Union européenne ont participé aux négociations. Cela fait de cette Convention-Cadre le premier traité international contraignant sur l’IA. Des acteurs non étatiques ont également été conviés aux négociations ainsi les représentants d’autres organisations internationales notamment l’OSCE, l’OCDE et l’UNESCO.

La Convention-cadre s’applique aussi bien au secteur privé que public mais pas aux activités de R&D relatives aux systèmes d’IA dans un souci de ne pas freiner l’innovation. Il faut cependant noter que l’article 13 introduit l’obligation de mettre en place un environnement contrôlé pour développer et expérimenter les systèmes d’IA sous la surveillance des autorités compétentes. L’enjeu ici est de savoir dans quelle mesure ce traité laissera assez de leste aux différents acteurs pour poursuivre l’innovation technologique.

Les parties développant des systèmes d’IA doivent garantir la fiabilité de leurs systèmes et promouvoir l’innovation sûre tout en prévenant les impacts négatifs sur les droits de l’homme, la démocratie et l’État de droit. Elles doivent mettre en place des mesures adaptées à leurs contextes juridiques nationaux et respecter leurs obligations internationales. Elles ont également l’obligation de documenter et fournir des informations pertinentes sur les systèmes d’IA ainsi que leurs impacts potentiels sur les droits de l’homme pour permettre aux utilisateurs concernés de contester les décisions prises par ces systèmes.

Les enjeux à venir.

Si les nouvelles réglementations peuvent à court terme mettre une pression supplémentaire sur les épaules des entreprises innovantes, il faut noter que ce cadre vise à instaurer un climat de confiance auprès des utilisateurs et pourrait donc s’inscrire dans un cercle vertueux de l’innovation. Il reste important de souligner qu’une régulation trop restrictive en Europe face à des pays pouvant assouplir leur législation pour attirer les investisseurs et favoriser le développement de l’IA amènerait une concurrence qui risquerait de tuer dans l’œuf les jeunes pousses prometteuses européennes et notamment françaises. Pour la Commission de l’intelligence artificielle, il est indispensable d’aboutir à une convergence internationale des standards et méthodes d’évaluation des systèmes d’IA.

L’IA est en constante évolution et il est donc logique de s’attendre à ce que les standards d’évaluation des performances de l’IA ainsi que les mesures y étant rattachées évoluent également. Il est déjà question d’adapter la répression des infractions existantes puisque l’IA facilite de nombreuses pratiques sanctionnables comme la désinformation, l’usurpation d’identité, le phishing ou encore la génération de malwares. L’Assemblée nationale recommande ainsi que, bien que ces infractions soient déjà couvertes par le droit pénal existant, il serait judicieux d’ajouter des circonstances aggravantes liées à l’IA.

Des questions se posent également quant à la possibilité pour les systèmes d’IA d’« oublier » une donnée ou une information intégrée pendant la phase d’apprentissage. Des travaux de recherche sur le développement de techniques de désapprentissage sont en cours et sont un enjeu majeur pour le droit à l’oubli numérique notamment consacré dans l’article 17 du RGPD.