L'impact crucial de la protection des données sur la régulation de l’IA

Un article de la Grande Bibliothèque du Droit, le droit partagé.
 France > Droit privé >  Droit du numérique  >  Protection des données personnelles

Haas avocats [1]
Mars 2023


Réguler l’intelligence artificielle revient à s’interroger sur le lien existant entre innovation et progrès.

Le droit intervient ici comme un guide afin de tenter de concilier :

  • d’un côté la pression constante exercée par le digital et ses ramifications serviciels
  • de l’autre une nécessaire réflexion sur la finalité de ces évolutions passant par l’évaluation de l’impact de celles-ci sur nos sociétés.


A l’heure où ChatGPT [2] n’en finit pas de dominer l’actualité et où l’Union Européenne s’apprête à se doter de nouveaux textes visant à encadrer ces nouvelles technologies (DGA, IA Act, DSA, Cyber Resilience Act), la question de la régulation bat son plein.

Est-ce pourtant nouveau ? Assurément pas. L’impératif de régulation des nouvelles technologies n’est pas nouveau. Bien avant la naissance d’internet, le législateur Français avait déjà prévu au sein du 1er article de la loi informatique et libertés du 6 janvier 1978 : « L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Le lecteur aura compris que « l’informatique » désignée ici peut être aisément remplacée par « Intelligence artificielle » sans dénaturer l’esprit du texte.

Entrant dans sa dernière année de mandat, la Présidente de la Cnil, Mme Marie-Laure Denis, s’est récemment attachée à présenter les objectifs actuels [3] de la Commission ; objectifs directement connectés à cette conciliation nécessaire entre contraintes légales et progrès technologique.

Promouvoir une IA conforme aux valeurs européennes

La protection des données à caractère personnel et le respect du Règlement Général Européen sur la Protection des données (RGPD) révèlent une intention forte des législateurs Français et Européen de promouvoir la défense des droits et libertés au sein de l’environnement digital.

Fortement critiqué lors de son entré en vigueur par les lobbys de la tech, le RGPD s’est, du reste, rapidement imposé comme maître étalon servant de socle à de nouvelles régulations émergeantes partout ailleurs dans le monde [1].

Aujourd’hui, la CNIL française se positionne en pointe et annonce une série de contrôles, et autres points de vigilances concernant les thématiques suivantes :

  • Lutte contre l’accès à la pornographie des mineurs


La Commission entend de faire de la lutte contre l’accès à la pornographie des mineurs un objectif prioritaire. La CNIL précise à ce titre s’engager dans un processus d’évaluation des différentes solutions utilisées par les sites proposant du contenu pornographique au regard des obligations du RGPD. Il s’agit, là encore, de concilier deux types de droits et libertés : d’un côté l’impératif de protection des mineurs et de l’autre la nécessité de protection de la vie privée.

Concrètement, le contrôle nécessaire d’accès à ce type de contenu ne doit pas être une porte ouverte à la mise en place de procédés techniques intrusifs disproportionnés.

La CNIL indique se positionner aujourd’hui sur une logique de « double anonymat » dans laquelle un tiers de confiance viendrait certifier l’âge de l’internaute. Il appartiendrait ensuite à l’internaute de montrer cette preuve à l’éditeur du site.

  • L’atteinte à la vie privée via les applications mobiles


Après plusieurs contrôles et sanctions prononcées par la CNIL, cette dernière devrait renforcer ses vérifications en s’intéressant plus particulièrement aux dispositifs d’accès automatique aux carnets d’adresse des utilisateurs, aux photos ou encore aux données de géolocalisation.

L’objectif de la commission est ici de vérifier non seulement la conformité de ce type de collecte au regard du principe de minimisation (ces données sont-elles strictement nécessaires au traitement ?) mais également les modalités d’information et de recueil du consentement lorsque celui-ci est requis. Il s’agit en effet de s’assurer de la transparence et de la loyauté de l’information donnée à l’utilisateur.

  • Biais de l’intelligence artificielle


Faisant suite à plusieurs rapports et réflexions visant à l’encadrement de l’intelligence artificielle, aux termes desquels la CNIL s’attachait à promouvoir plusieurs principes dont celui de la loyauté'[2] et celui de la vigilance [3], la Commission a récemment créé un service dédié à l’intelligence artificielle. Ce service sera notamment amené à travailler avec les concepteurs des algorithmes pour pallier différentes catégories de biais de manière anticipatives. Des projets sont ainsi en cours concernant le projet de loi sur les jeux olympiques. Cela s’inscrit directement dans une logique « by design » supposant de :

  • Former à l’éthique tous les maillons de la chaîne algorithmique (concepteurs, professionnels, citoyens) ;
  • Rendre les systèmes algorithmiques compréhensibles en renforçant les droits existants et en organisant la médiation avec les utilisateurs ;
  • Travailler le design des systèmes algorithmiques au service de la liberté humaine;
  • Constituer une plateforme nationale d’audit des algorithmes ;
  • Encourager la recherche sur l’IA éthique et lancer une grande cause nationale participative autour d’un projet de recherche d’intérêt général; et
  • Renforcer la fonction éthique au sein des entreprises.

Une conformité de l'IA source de différenciation concurrentielle

La CNIL met en avant un double défi : sa volonté d’imposer un cadre juridique strict protégeant les droits et libertés des personnes sans pour autant nuire au développement des entreprises de la « tech ». Pour parvenir à cette conciliation, la Présidente rappelle un élément stratégique essentielle : la conformité à la réglementation « informatique et libertés » a vocation à constituer un élément fort de différenciation concurrentielle.

Le postulat est le suivant : un consommateur éclairé, dument informé et sensibilisé aux enjeux de protection de sa vie privée pourrait être amené à privilégier le recours à des technologies présentant un haut niveau de garantie en matière de conformité RGPD. Ce faisant, des parts de marché pourraient être redistribuées au profit d’entreprises européennes ayant misé sur une stratégique dite « privacy by design » c’est-à-dire sur une technologie ayant intégrée l’impératif de « protection de la vie privée » dès le moment de sa conception. Suivant cette même logique de levier, donneurs d’ordre publics comme privés seraient amenés – pour assurer leur propre conformité juridique de responsable de traitement – à attribuer leurs marchés aux entreprises de la tech vertueuse en matière de protection des données.

Enjeux géopolitiques de la régulation de l'IA

La régulation de l’IA s’inscrit dans un contexte géopolitique particulier qui fait directement écho à l’une des origines du RGPD : assurer une forme de souveraineté numérique à l’Europe en tentant de limiter le niveau de dépendance des Etats et entreprises européennes vis-à-vis d’acteurs internationaux.

La Présidente de la CNIL déclare à ce titre vouloir « convaincre les administrations et les entreprises de la nécessité d’héberger, davantage et au plus vite, leurs données les plus sensibles sur des serveurs immunisés contre le risque d’ingérence d’autorités étrangères ». La souveraineté numérique de la France et plus généralement de l’Union Européenne constitue ainsi un objectif majeur.

Sur ce sujet, rappelons que les plaintes déposées contre TikTok concernant notamment la question du transfert des données vers la Chine ainsi que la question du traitement des données des mineurs sont actuellement en cours d’instruction. Des décisions devraient être rendues courant 2023 et venir ponctuer une forte pression des CNIL européennes sur les géants du Web qui sortent de 4 années de condamnations pour différentes non-conformités au RGPD à hauteur de 3 milliards d’euro.

Références

  1. Selon le site Mlex, plus de 120 pays se seraient dotée d’une loi nationale de protection des données personnelles dès 2020
  2. Cf. Rapport de la CNIL, décembre 2017 : « la loyauté consiste à assurer de bonne foi le service de classement ou de référencement, sans chercher à l’altérer ou à le détourner à des fins étrangères à l’intérêt des utilisateurs ». Appliquée à l’intelligence artificielle, cette définition conduit notamment à imposer la transparence afin d’assurer une intelligibilité aux utilisateurs.
  3. Cf. Rapport de la CNIL, décembre 2017 : le principe de vigilance conduit à « prendre en compte et de contrebalancer la forme de biais cognitif conduisant l’esprit humain à accorder une confiance excessive aux décrets des algorithmes. Il s’agit d’organiser, par des procédures et mesures concrètes, une forme de questionnement régulier, méthodique, délibératif et fécond à l’égard de ces objets techniques de la part de tous les acteurs de la chaine algorithmique, depuis le concepteur, jusqu’à l’utilisateur final, en passant par ceux qui entraînent les algorithmes »