Intelligence artificielle : le Conseil d’État veut des moyens et une « super CNIL »

Après avoir dressé un état des lieux de l'IA en France et fait la liste des critères jugés essentiels pour bâtir une confiance, le Conseil d’État a abordé dans son rapport les mesures concrètes à privilégier, selon lui. Parmi elles, une CNIL aux attributions et pouvoirs étendus.

Notre dossier sur le rapport du Conseil d'État sur l'intelligence artificielle :

• Le Conseil d’État encourage l’intelligence artificielle dans les administrations
• Intelligence artificielle : les critères nécessaires à la confiance, selon le Conseil d'État
• Intelligence artificielle : le Conseil d’État veut des moyens et une « super CNIL »
• Intelligence artificielle : le cas ambivalent de Parcoursup

Faire ou acheter ?

Fort de ces constats et mises en garde, le Conseil d’État entre enfin dans le vif du sujet : la mise en pratique. Et là, une première question se pose : faut-il faire ou acheter ?

Dans son analyse, la haute juridiction indique que la réponse ne peut être ni abstraite ni absolue. Il faut se pencher sur chaque projet et lui appliquer a minima une grille de filtres pour se poser les bonnes questions. Il met en garde : « penser que confier à un prestataire privé le développement d’un SIA [systèmes d’IA, ndlr] induit automatiquement une économie pour les finances publiques est un leurre ». Il enjoint les administrations à ne pas aborder le sujet sous cet angle.

Pourquoi ? Parce que certains points sont trop peu considérés, selon le rapport. Par exemple, les coûts de maintenance et de formation, qui peuvent faire exploser la facture. Ensuite, les compétences internes dont dispose l’administration concernée et qui font toute la différence. Ce n’est pas en effet parce qu’une structure dispose d’un pôle développement qu’il faut se jeter à cœur perdu dans un projet. « La disponibilité de deux à trois ingénieurs IA, d’un développeur et d’un ingénieur de la donnée est sans doute un minimum pour développer des SIA modestes », indique le Conseil.

Ce point, en particulier, représente un vrai problème pour bon nombre de collectivités territoriales qui n’auront tout simplement pas les ressources nécessaires. Elles ne pourront donc pas considérer un développement interne, et risquent de ne pas avoir les moyens de contrôler si une externalisation répond correctement à la demande, avec les risques de surcoût que cela induit.

Pour le Conseil, il s’agit donc bien de cas par cas, sans recette magique. Les critères sont nombreux, notamment la sensibilité du projet, car une administration ou une collectivité peut choisir en conséquence la maitrise de bout en bout du projet. Dans d’autres, il sera inopportun de vouloir recréer un SIA ayant fait ses preuves dans des projets similaires, qui plus est s’il est aisément internalisable.

Le rapport recommande également de ne pas prendre à la légère les contraintes liées au droit des commandes publiques, encadré strictement en Europe. Il existe cependant des mécanismes pour assouplir les règles, le Conseil d’État invitant les collectivités à se pencher activement dessus : marchés de recherche et développement (soustraits aux obligations de publicité et de mise en concurrence), partenariats d’innovation (non soustraits mais intéressants sur le plan financier) ou achats innovants (pour les marchés de moins de 100 000 euros). Mais là encore, il s’agit d’outils pouvant servir au cas par cas.

Ressources humaines : le maillon faible

Tout en prenant des pincettes, le rapport n’y va pas non plus par quatre chemins : « Ce n’est pas faire injure à la fonction publique que de constater, comme l’ont fait de nombreuses personnes auditionnées, que la culture de l’IA est faible, voire inexistante, chez la plupart des agents publics, y compris à haut niveau de responsabilité. Les concepts restent nébuleux et les confusions fréquentes ; les enjeux, potentialités et modalités de fonctionnement des SIA sont encore mal appréhendés ».

Le Conseil d’État insiste sur la nécessité absolue de développer une culture de l’IA chez les agents publics, car rien ne se fera sans un réel pool de compétences. Il recommande donc des actions de sensibilisation au numérique et aux enjeux de l’IA, mais pas seulement aux agents : comme d’autres analyses précédemment, le Conseil vise l’ensemble des citoyens dès l’école (il ne précise pas à partir de quel cycle), ainsi qu’une « évolution de l’environnement culturel administratif dans un sens favorable à l’innovation ».

À la formation immédiate devront s’ajouter une formation continue et donc des points de contrôle. Le rapport insiste : l’adhésion des cadres dirigeants est primordiale dans l’émergence et le succès des initiatives.

La construction d’une gouvernance

Avec la formation, c’est l’autre grand point poussé par le Conseil d’État : la nécessité de disposer « d’une structure de pilotage chargé de concevoir et d’animer la mise en œuvre de la stratégie des SIA publics » dans l’administration de l’État.

Cette structure s’occuperait de toute la gouvernance autour des SIA : définition et pilote des stratégies, mise en œuvre opérationnelle dans les administrations et collectivités territoriales, conduite de projets, contrôles de conformité, régularisation externe des systèmes dans un cadre européen harmonisé (en passe de l’être) et réflexions sur l’usage éthique de l’IA et l’implication citoyenne, tout en gérant la communication et la sensibilité du grand public et la représentation de la France dans les instances européennes et internationales. L’équivalent d’une CNIL, en somme.

Cette gouvernance est assurée aujourd’hui par trois entités : la direction interministérielle du numérique (DINUM), la direction interministérielle de la transformation publique (DITP) et le coordonnateur national pour l’intelligence artificielle. Le Conseil d’État reconnaît à cette division des qualités, notamment d’éviter certains écueils, comme la « sanctuarisation complète de la politique d’intelligence artificielle publique dans une entité dédiée ».

Le Conseil estime en effet que les SIA ne doivent pas « sacralisés » dans un ministère ou une direction centrale, mais au contraire « articulés avec l’ensemble de la politique numérique et de transformation publique de l’État, comme elle l’est tant à la DINUM qu’à la DITP ». Le processus engendrerait également une rupture franche entre le privé et le public, alors que les liens sont étroits dans ce domaine. En outre, l'analyse pointe le danger « d’hypertrophie » de la structure et le risque de déconnexion avec le terrain.

À l’inverse, l’organisation actuelle a des faiblesses, dont la plus criante – selon le Conseil – est la dispersion des moyens. Prises séparément, les structures n’en ont que peu pour les SIA. Le coordinateur national n’a par exemple qu’un seul adjoint. À la DINUM, Etalab a beau avoir 28 collaborateurs, seuls 4 se consacrent à l’IA. 

Aucun des trois – DINUM, DITP et coordinateur national – n’est de taille suffisante pour « effectuer un véritable effet de levier », selon le rapport.

Renforcer et redessiner les contours

Le Conseil recommande à tout le moins un renforcement d’Etalab pour créer un « véritable centre de ressources partagées » destinées aux collectivités publiques. Il rêve d’une transformation de ce service d’administration centrale en service à compétence nationale. Le rapport prend pour modèle le Health Data Hub, et propose par exemple que les ingénieurs IA puissent consacrer 80 % de leur temps au déploiement réel dans les administrations, et les 20 % restants à l’activité au sein d’Etalab.

Le rapport suggère que le pilotage politique soit assuré par une personne membre du gouvernement, sur le même modèle que le secrétaire d’État au numérique. Elle serait rattachée à la fois aux ministères chargés de l’économie et de la transformation publique. En parallèle, le rôle du coordinateur national devrait davantage devenir un pivot pour jouer un rôle plus important dans la stratégie nationale. Il animerait notamment une « instance de partage avec les collectivités territoriales », à laquelle participeraient, entre autres, « les associations de collectivités et la Caisse des dépôts et consignations ». Le tout en lien étroit avec l’ANCT (Agence nationale de la cohésion des territoires).

Une CNIL transformée pour réguler les SIA

Sur le sujet de la régulation, le Conseil estime qu’il ne faut pas créer de nouvelle entité, toujours dans l’optique de ne pas dissocier les compétences et d’éviter la dispersion des moyens. Il note l’existence d’une « très forte adhérence » entre la régulation des SIA – surtout telle qu’envisagée par la proposition de règlement européen – et celles des données. Ce constat, couplé à « l’intérêt d’une internalisation institutionnelle de l’articulation des deux régimes juridiques », va dans un sens prévisible : la CNIL devrait occuper les deux fonctions.

La Commission deviendrait alors une « autorité de coordination, de supervision, de tête de réseau ». Une structure souple, dans l’esprit du Conseil d’État, puisque rien n’empêcherait d’autres régulateurs de participer pleinement aux travaux grâce à leur expertise dans leur domaine : Arcep, ART, ADLC, AMF ou encore ARCOM. Il serait même possible à cette CNIL nouvelle formule de déléguer des travaux. Mais la CNIL aurait en charge le contrôle et donc le dernier mot. Elle aurait également un pouvoir de sanction.

C’est l’une des recommandations phares de cette synthèse, car pour que la CNIL mène à bien cette éventuelle mission, il faudrait deux évolutions profondes. Premièrement, un investissement « immédiat et massif » pour augmenter ses capacités. Le Conseil relève en effet le paradoxe de la Commission, qui a réussi à se révéler comme une « référence européenne » tout en n’ayant que des moyens « des plus modestes ». Deuxièmement, un positionnement et une image à retravailler, pour qu’elle devienne enfin un véritable régulateur, forte de son expérience sur la protection des données, qu’elle continuerait d'ailleurs à assumer.

Outre un renforcement considérable de ses moyens, cela suppose une forte évolution de la structure de son collège, pour y inclure notamment des spécialistes, dont une partie provenant des acteurs de l’innovation. Cette évolution se manifesterait aussi par une plus grande diversité des profils, « entre juniors et seniors, et entre agents titulaires et contractuels ». Le rapport souligne par exemple qu’en raison de moyens limités, et comme d’autres administrations, la CNIL a du mal à recruter des profils seniors.

Le Conseil n’écarte pas un éventuel changement de nom pour mieux refléter cette grande transformation. Il pointe à ce propos que l’ampleur et la difficulté de l’évolution ne doivent pas être sous-estimées : « Elles requerront un portage politique au plus haut niveau et une vigilance particulière dans les nominations ».

Éthique et implication civique

Point intéressant soulevé par le rapport, la « prise de conscience de l’importance des enjeux d’éthique est contemporaine des balbutiements des systèmes d’IA, et les craintes en la matière sont, pour ce qui concerne les services publics, beaucoup plus développées que les systèmes eux-mêmes ». Non seulement ce n’est pas un problème pour le Conseil, mais la réflexion prospective et l’anticipation des risques sont « cruciales » pour garantir la confiance, où le simple respect des lois ne suffirait pas.

L’éthique ne doit donc pas être envisagée comme « une voie parallèle et étanche à la normativité juridique », mais bien comme un élément constitutif de toutes les réflexions sur les SIA. Nul besoin pour la « nouvelle CNIL » d’animer un débat permanent qui engloutirait ses ressources en repartant d’une page blanche. Le Conseil recommande qu’elle se base notamment sur les travaux du CCNE (Comité consultatif national d’éthique) pour alimenter ses propres réflexions.

Mais c’est bien, encore une fois, qui aurait la charge de promouvoir une éthique homogène et cohérente. À elle également de s’assurer qu’elle fait le lien entre réflexion généraliste et réflexion opérationnelle, en contrôlant que la doctrine d’application est suivie par l’ensemble des acteurs impliqués.

En ce qui concerne l’implication civique, là encore les choses sont claires pour le Conseil d’État : « seule la présence effective de citoyens directement ou par l’intermédiaire de partenaires sociaux ou d’associations autour de la table de la conception, du déploiement, de la critique et de la correction des SIA est de nature à prévenir une partie de la défiance et de la critique ».

Le Conseil prend ici de grosses pincettes pour éviter de froisser : il ne s’agit ni de détourner une critique indépendante, ni d’évincer les structures actuelles de concertation. Dans l’esprit de la haute juridiction, il s’agit d’écoute et de mise en commun, de collecte de retours, de prise en compte d’avis extérieurs, d’autant plus lorsque l’on parle des personnes directement concernées, comme c’est nécessairement le cas pour les usagers des services administratifs. Cette participation est jugée « fondamentale », aussi bien pour le développement des projets eux-mêmes que pour « bâtir une confiance propice à un bon usage de l’IA ». À charge pour le législateur de trouver le ou les meilleurs moyens de la mettre en place.

Ce rapport, même s’il ne représente pas l’alpha et l’oméga en matière d’intelligence artificielle, est une publication importante. Puisqu’elle émane du Conseil d’État, elle devient une recommandation appuyée au gouvernement et a le mérite de faire la synthèse sur de nombreux points.

Toutefois, comme nous le verrons dans notre dernière partie, l’action du Conseil n’est pas toujours aussi claire.