L'intelligence artificielle : de la théorie à la pratique - compte-rendu de la journée RGPD de la CNIL du 09/04/24 à Lille

Dans un contexte de numérisation de la société, la Commission Nationale de l’Informatique et des Libertés (CNIL) — autorité de contrôle des données personnelles en France — a deux objectifs principaux : apporter de la sécurité juridique et créer de la confiance. En effet, son but est de redonner aux citoyens le contrôle sur leurs données en rendant les systèmes d’information moins opaques et plus transparents. Pour cela, elle a notamment décidé d’organiser des évènements récurrents ayant lieu partout en France, à diverses périodes, pour parler des actualités en droit du numérique : les journées RGPD (journées dédiées au règlement général sur la protection des données — RGPD —, mais pas que !)

Le 9 avril dernier, la CNIL a animé une journée RGPD à Lille, en collaboration avec la Faculté de Droit de l’Université Catholique de Lille et l'Association Française des Juristes d'Entreprise (AFJE). Au programme, plusieurs thématiques ont été abordées, que nous déclinerons sous forme de 4 publications :

Dans cet article, concentrons-nous donc sur l’intelligence artificielle (IA) : protéger les données personnelles dans l’IA est indispensable, car l’IA se nourrit de données, notamment personnelles, surtout l’IA générative (IAG).

La CNIL se penche activement sur la question, avec la création d’un service IA l’année dernière ou encore avec la publication de fiches pratiques sur l’IA, son but étant de ne pas freiner l’innovation, surtout avec le futur règlement européen sur l’intelligence artificielle (RIA). Notons que RIA et RGPD sont complémentaires : le RGPD devra continuer de s’appliquer après la sortie du RIA.

Historiquement, le terme “IA” date de 1950. Depuis, de nouvelles techniques ont émergé : il y a eu un déplacement de l’usage de l’IA dans les laboratoires uniquement, à la possibilité pour chacun de manipuler des systèmes d’IA (SIA).

3 principaux facteurs expliquent ce phénomène :

  • Le succès de l’IAG (notamment de ChatGPT), avec le développement des capacités de calcul avec des modèles géants et une modélisation du mode très large
  • Le caractère génératif, avec le système qui va lui-même proposer et produire quelque chose
  • Le prompt, avec la possibilité pour n’importe qui d'interagir avec le système

En ce qui concerne le RIA, la définition d’un SIA se base sur la définition de l’OCDE (Organisation de Coopération et de Développement Économique) qui adopte une approche non technique pour balayer large - voir trop puisque des systèmes peuvent rentrer dans cette définition, tel que l’automatisation, alors que ce n’est pas de l’IA.

Le RIA — règlement européen donc d’application directe et uniforme au sein de l’UE comme le RGPD — opte pour une approche sécurité des produits et respect des droits fondamentaux, en s’intéressant aux SIA à travers 4 niveaux :

  • Les SIA avec risques minimaux sur les personnes
  • Les SIA avec risques limités — enjeux avec la transparence (ex : deepfake sur les réseaux sociaux)
  • Les SIA avec haut risques
  • Les SIA interdits, car complètement attentatoires aux droits et/ou valeurs européennes (ex : score social, surveillance publique)

Les enjeux seront - entre autres - de savoir dans quel niveau on se trouve et quand un SIA passe de haut risque à interdit. Il faut d’ailleurs noter que le texte va s’appliquer assez rapidement et ne remplacera pas le RGPD : ils sont complémentaires — on l’a vu et c’est indiqué par le texte lui-même — et dans certains cas, le RIA viendra préciser le RGPD, notamment pour le traitement de données à caractère personnel sensibles par les SIA pour s’assurer qu’ils ne présentent pas de biais.

Le timing pressenti est le suivant :

  • 6 mois après l’adoption du RIA, les régulateurs pourront prendre des sanctions pour les SIA interdits
  • 12 mois après l’adoption du RIA pour les modèles de fondation (ex : OpenAI, etc.) et les obligations qu’ils doivent respecter
  • 24 mois après l’adoption du RIA pour les SIA à haut risque sectoriel (ex : pour les dispositifs médicaux qui utilisent de l’IA)
  • 36 mois pour le reste, hors sectoriel

Les DPO feront désormais face à de nouveaux défis et devront plus que jamais être au courant des usages existants : ils doivent être visibles au sein des organisations, sollicités et écoutés.

La question des défis pour les DPO a d’ailleurs été posée à une IAG qui lista les points suivants :

  • Compréhension des technologies d’IA — nuançons ce propos puisque le DPO ne doit pas “mettre les mains dans le moteur” mais doit comprendre les grands principes
  • AIPD (analyse d’impact sur la protection des données) — le RIA prenant en compte le risque sur les personnes et libertés fondamentales
  • Transparence et explicabilité — transparence par des lectures et explicabilité par le fonctionnement de la technologie
  • Gestion du consentement — reprise ici de la notion du RGPD mais chaque SIA ne requiert pas forcément le consentement
  • Sécurité des données — cf. AIPD
  • Respect de la minimisation des données et de la limitation de la finalité — cf. AIPD
  • Défis juridiques et éthiques — cf. AIPD

Conclusion de l’IA :

“Pour relever ces défis, les DPO doivent non seulement se tenir informés des dernières évolutions en matière de technologie et de législation sur la protection des données mais aussi collaborer étroitement avec les experts en IA, les équipes de sécurité informatique et les instances de régulation.”

La même question a ensuite été posée à un DPO “humain” qui répondit par les questions suivantes :

  • Quels sont les domaines d’activité où les DPO sont susceptibles d’être fortement sollicités ? La cybersécurité, la santé, la banque et assurance, la relation client, l’automobile, la cybersurveillance, etc. — à court ou moyen terme, à l'instar de la numérisation de la société, tous les secteurs d’activité seront concernés.

  • Quels sont les défis et les perspectives pour les DPO ? Il faut être un DPO visible, sollicité et écouté (on l’a vu) afin d’avoir une gouvernance renforcée, il faut maîtriser son écosystème législatif et réglementaire (DMA, DSA, DGA, Data Act, proposition de directive relative aux règles de responsabilité civile extracontractuelle applicables aux outils d’IA…) ou encore mettre en place une gouvernance spécifique (Charte IA des administrateurs, chercheurs, RSE…)

Enfin, on peut se questionner sur les compétences que la CNIL aura pour encadrer l’IA. Elle devra notamment appréhender et comprendre l’IA, informer les utilisateurs et les guider en leur fournissant des éléments concrets d’interprétation (tels que les fiches pratiques) ou encore promouvoir des outils (tels que les bacs à sable ou les accompagnements renforcés).


Speakers :

  • Albine VINCENT, cheffe du service des DPO et de l’accompagnement à la CNIL
  • Félicien VALLET, chef du service de l’IA de la CNIL
  • Nicolas SAMARCQ, président de Lexagone et administrateur de l’AFCDP