IA et respect de la vie privée : la CNIL veut accompagner avant de contrôler

Après l'annonce, en janvier dernier, de la création de son service dédié à l'intelligence artificielle, la CNIL publie son plan d'action sur le sujet. Celui-ci guidera les missions de ce nouveau service.

Si l'utilisation industrielle du deep learning et des technologies autour de l'intelligence artificielle n'est pas nouvelle, son utilisation massive et ses conséquences sont de plus en plus tangibles. ChatGPT et les outils élaborés autour des grands modèles de langage, ainsi que l'arrivée sur le marché occidental des caméras à reconnaissance faciale, poussent politiques et régulateurs à se pencher plus sérieusement sur le sujet.

Alors que l'AI Act est en discussion au Parlement européen, la CNIL, de son côté, prend depuis le début de l'année le sujet en main, notamment avec la création d'un service dédié. Elle publie aujourd'hui un plan d'action en quatre volets qui guidera l'action de ce service, « considérant que la protection des données personnelles est un enjeu majeur pour la conception et l’utilisation de ces outils ».

• Le développement de l'intelligence artificielle inquiète, des centaines de chercheurs s'engagent
• Dans les méandres de l'intelligence artificielle, entre angoisses, espoirs et recommandations
• Intelligence artificielle : les axes de normalisation de l’Afnor pour une IA de confiance
• La CNCDH s’inquiète de l’impact de l’intelligence artificielle sur les droits fondamentaux
• AI Act : un groupe d’associations demande au Parlement européen de protéger les droits fondamentaux
• AI Act : le texte interdit désormais la reconnaissance faciale, la notation sociale et la police prédictive

Si dans les quatre volets de ce plan d'action, la mission d'audit et de contrôle de l'Autorité est bien présente, ce n'est pas ce que la CNIL a voulu mettre en avant dans son plan, reléguant celle-ci au quatrième point.

Son rôle d'information mis en avant

D'abord, la CNIL veut affirmer son rôle d'information et de recherche pour permettre d' « appréhender le fonctionnement des systèmes d’IA et leurs impacts sur les personnes ». Elle souligne que ces technologies posent des « questions nouvelles sur la protection des données ».

Et de citer en particulier les points concernant la loyauté et la transparence des traitements de données, la protection des données publiquement accessibles sur le Web, la protection des données transmises par les utilisateurs, les conséquences sur les droits des personnes sur leurs données, la protection contre les biais et les discriminations.

L'arrivée soudaine et planétaire de ChatGPT a pris de cours les régulateurs sur les réflexions qu'ils doivent aborder sur ces différents sujets. Son blocage en Italie fin mars par l'autorité italienne – qui l'a levé depuis, après qu'OpenAI, éditeur du chatBot, a accepté quelques modifications – s'appuyant sur le RGPD, les plaintes à la CNIL, ainsi que la création d'un groupe de travail européen sur le sujet, montrent que ces questions ne sont pas triviales.

L'autorité française indique que son laboratoire de recherche, le laboratoire d’innovation numérique de la CNIL (LINC), se concentrera aussi sur ces questions. Il a déjà publié un dossier de vulgarisation sur le sujet.

« Permettre » et « accompagner »

Dans les deux points suivants, l'Autorité met en avant des fonctions positives qu'elle veut porter vis-à-vis des entreprises du numérique voulant développer des « IA respectueuses des données personnelles ».

Elle annonce qu'elle publiera bientôt « un guide sur les règles applicables au partage et à la réutilisation de données » ainsi que plusieurs documents sur « la conception de systèmes d’IA et la constitution de bases de données pour l’apprentissage automatique ».

Mais elle veut aussi « fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe ». L'édition 2023 de son opération « bac à sable » d'accompagnement de projets se concentrera sur l’usage de l’intelligence artificielle dans le secteur public.

L'Autorité a aussi lancé un programme d'accompagnement spécifique des fournisseurs de solutions algorithmiques de surveillance (que la CNIL appelle « fournisseurs de vidéosurveillance "augmentée" ») dans le cadre de « l’expérimentation » prévue par la loi relative aux Jeux olympiques et paralympiques de 2024.

La CNIL accompagne également une sélection d'entreprises dans le domaine de l'IA dans leur mise en conformité par rapport au RGPD à travers un nouveau dispositif.

« Auditer » et « contrôler » en dernier

Si ces missions de la CNIL sont celles qui font souvent le plus de bruit, l'Autorité ne les met pas en avant de son plan d'action sur l'Intelligence artificielle. Elle indique néanmoins qu'elle concentrera son action de contrôle cette année sur le respect de sa position de 2022 sur l'usage de la vidéosurveillance « augmentée » [PDF], l’usage de l’intelligence artificielle pour la lutte contre la fraude et bien sûr l’instruction de plaintes déposées auprès de la CNIL.

Si cette instruction sur des cas français ou européens devrait pouvoir être efficace, le cas récent de Clearview montre que, sur ces sujets de questions d'IA et de respect de la vie privée, la CNIL n'a que peu de prises pour faire respecter ses décisions à des sociétés basées sur d'autres continents. Ce problème semble être un angle mort, pour l'instant, de son plan d'action.