Blog Données personnelles
La CNIL dévoile son plan d’action en matière d’intelligence artificielle
Le 16 mai 2023, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a publié son plan d’action pour un déploiement de systèmes d’IA respectueux de la vie privée des individus [1]. Ce plan d’action fait écho aux récentes actualités dans le domaine de l’intelligence artificielle et en particulier de la place grandissante occupée par les IA dites génératives telles que ChatGPT.
La nécessité d’encadrer un développement vertueux de l’IA sur le terrain des données personnelles
Dans son rapport publié en 2017 (« Enjeux éthiques des algorithmes et de l’intelligence artificielle »), la CNIL attirait déjà l’attention sur les conséquences et enjeux du développement de l’IA sur la protection des données et libertés individuelles. Depuis plusieurs mois, ce sont les intelligences artificielles génératives qui connaissent une ascension fulgurante, que ce soit dans le domaine du texte et de la conversation (tels que GPT-3, BLOOM, Megatron NLG), les agents conversationnels (« chatbots ») dérivés (ChatGPT ou Bard) mais également dans l’imagerie (Dall-E, Midjourney, Stable Diffusion, etc.) ou encore de la parole (Vall-E) note la CNIL.
Ayant conscience que la protection des données personnelles constitue un enjeu majeur pour la conception et l’utilisation de ces outils, la CNIL décide de publier son plan d’action sur l’IA afin d’encadrer, entre autres, le développement des IA génératives [2].
Un plan d’action composé de 4 piliers
Le nouveau service de l’intelligence artificielle de la CNIL sera dédié à ces thématiques et veillera à appuyer les services de la CNIL confrontés à des utilisations de ces algorithmes dans plusieurs contextes. Eu égard aux enjeux liés à la protection des libertés, la régulation de l’IA constitue un élément central de l’action de la CNIL.
Pilier n°1 : appréhender le fonctionnement des systèmes d’IA et leurs impacts sur les personnes
Les techniques innovantes utilisées pour la conception et le fonctionnement des outils d’IA font émerger de nouvelles interrogations sur la protection des données, en particulier :
- la loyauté et la transparence des traitements de données sous-jacents au fonctionnement de ces outils ;
- la protection des données publiquement accessibles sur le Web ;
- la protection des données transmises par les utilisateurs ;
- les conséquences sur les droits des personnes sur leurs données ;
- la protection contre les biais et les discriminations ;
- les enjeux de sécurité inédits posés par ces outils.
Pilier n°2 : Permettre et encadrer le développement d’IA respectueuses des données personnelles
Dans l’objectif d’accompagner les acteurs du domaine de l’IA et pour préparer la future entrée en application du règlement européen sur l’IA, la CNIL poursuit ses travaux doctrinaux et publiera plusieurs ressources :
- un guide sur les règles applicables au partage et à la réutilisation de données soumise à une consultation. Ces travaux comprendront la réutilisation de données librement accessibles sur internet et aujourd’hui constituant l’essence de l’apprentissage de nombreux modèles d’IA ;
- poursuite des travaux sur la conception de systèmes d’IA et la constitution de bases de données pour l’apprentissage automatique qui donneront lieu à plusieurs publications à partir de l’été 2023 ;
- poursuite par la CNIL des réflexions éthiques sur l’utilisation et le partage des modèles d’apprentissage automatique, la prévention et la correction des biais et discriminations, ou encore sur la certification des systèmes d’IA.
Pilier n°3 : Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe
L’objectif à travers cette régulation de l’IA par la CNIL vise à faire émerger, promouvoir et aider à prospérer des acteurs dans un cadre fidèle aux valeurs de protection de droits et libertés fondamentaux françaises et européennes. Cet accompagnement se décline aujourd’hui sous plusieurs formes :
- la CNIL ouvrira bientôt un appel à projet qui concernera l’usage de l’intelligence artificielle dans le secteur public, à l’instar du lancement depuis 2 ans d’un « bac à sable » pour accompagner les projets et acteurs innovants (« bacs à sable » sur la santé en 2021 et sur l’éducation en 2022) ayant permis de fournir des conseils adaptés à des acteurs innovants de l’IA dans ces domaines ;
- lancement d’un programme d’accompagnement spécifique des fournisseurs de vidéosurveillance « augmentée » dans le cadre de l’expérimentation prévue par la loi relative aux Jeux olympiques et paralympiques de 2024 ;
- ouverture en 2023 d’un nouveau programme « d’accompagnement renforcé » pour assister les entreprises innovantes dans leur conformité au RGPD.
Pilier n°4 : Auditer et contrôler les systèmes d’IA et protéger les personnes
En 2023, l’action de contrôle de la CNIL portera sur :
- le respect de la position sur l’usage de la vidéosurveillance « augmentée » ;
- l’usage de l’intelligence artificielle pour la lutte contre la fraude (par ex. assurance sociale) ;
- l’instruction de plaintes déposées auprès de la CNIL (déjà plusieurs plaintes à l’encontre de la société OpenAI qui gère ChatGPT – en parallèle, création d’un groupe de travail au sein du Comité européen de la protection des données pour une démarche coordonnée et une analyse harmonisée des autorités européennes des traitements mis en œuvre par l’outil d’OpenAI).
La CNIL mettra l’accent à l’égard des acteurs traitant des données personnelles pour développer, entraîner, utiliser des systèmes d’intelligence artificielle sur :
- la réalisation d’une analyse d’impact relative à la protection des données (AIPD) ;
- l’information des personnes concernées ;
- les mesures d’exercice des droits des personnes.
[2] IA générative : système capable de créer du texte, des images ou d’autres contenus (musique, vidéo, voix, etc.) à partir d’une instruction d’un utilisateur humain. Ces systèmes peuvent produire des nouveaux contenus en raison de la grande quantité de données ayant servi pour leur entraînement. (Voir à ce sujet, concept de « prompt engineering »).