Le 16 mai 2023, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a publié son plan d’action pour un déploiement de systèmes d’IA respectueux de la vie privée des individus [1]. Ce plan d’action fait écho aux récentes actualités dans le domaine de l’intelligence artificielle et en particulier de la place grandissante occupée par les IA dites génératives telles que ChatGPT.
Dans son rapport publié en 2017 (« Enjeux éthiques des algorithmes et de l’intelligence artificielle »), la CNIL attirait déjà l’attention sur les conséquences et enjeux du développement de l’IA sur la protection des données et libertés individuelles. Depuis plusieurs mois, ce sont les intelligences artificielles génératives qui connaissent une ascension fulgurante, que ce soit dans le domaine du texte et de la conversation (tels que GPT-3, BLOOM, Megatron NLG), les agents conversationnels (« chatbots ») dérivés (ChatGPT ou Bard) mais également dans l’imagerie (Dall-E, Midjourney, Stable Diffusion, etc.) ou encore de la parole (Vall-E) note la CNIL.
Ayant conscience que la protection des données personnelles constitue un enjeu majeur pour la conception et l’utilisation de ces outils, la CNIL décide de publier son plan d’action sur l’IA afin d’encadrer, entre autres, le développement des IA génératives [2].
Le nouveau service de l’intelligence artificielle de la CNIL sera dédié à ces thématiques et veillera à appuyer les services de la CNIL confrontés à des utilisations de ces algorithmes dans plusieurs contextes. Eu égard aux enjeux liés à la protection des libertés, la régulation de l’IA constitue un élément central de l’action de la CNIL.
Pilier n°1 : appréhender le fonctionnement des systèmes d’IA et leurs impacts sur les personnes
Les techniques innovantes utilisées pour la conception et le fonctionnement des outils d’IA font émerger de nouvelles interrogations sur la protection des données, en particulier :
Pilier n°2 : Permettre et encadrer le développement d’IA respectueuses des données personnelles
Dans l’objectif d’accompagner les acteurs du domaine de l’IA et pour préparer la future entrée en application du règlement européen sur l’IA, la CNIL poursuit ses travaux doctrinaux et publiera plusieurs ressources :
Pilier n°3 : Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe
L’objectif à travers cette régulation de l’IA par la CNIL vise à faire émerger, promouvoir et aider à prospérer des acteurs dans un cadre fidèle aux valeurs de protection de droits et libertés fondamentaux françaises et européennes. Cet accompagnement se décline aujourd’hui sous plusieurs formes :
Pilier n°4 : Auditer et contrôler les systèmes d’IA et protéger les personnes
En 2023, l’action de contrôle de la CNIL portera sur :
La CNIL mettra l’accent à l’égard des acteurs traitant des données personnelles pour développer, entraîner, utiliser des systèmes d’intelligence artificielle sur :
[2] IA générative : système capable de créer du texte, des images ou d’autres contenus (musique, vidéo, voix, etc.) à partir d’une instruction d’un utilisateur humain. Ces systèmes peuvent produire des nouveaux contenus en raison de la grande quantité de données ayant servi pour leur entraînement. (Voir à ce sujet, concept de « prompt engineering »).