Voici le plan d'action de la Cnil pour encadrer l'intelligence artificielle
Auditionnée par la mission d'information de l'Assemblée nationale dédiée à l'IA et la protection des données, la présidente de la Cnil Marie-Laure Denis a exposé le plan d'action de son autorité pour encadrer l'IA, et notamment l'IA générative. Au menu : comprendre, accompagner et contrôler.
Comment encadrer l'essor de l'intelligence artificielle sans freiner l'innovation ? Voici le dilemme auquel sont confrontés les législateurs et les régulateurs du monde entier. Pour tenter d'avoir la meilleure approche possible, l'Assemblée nationale a créé une commission permanente dédiée à l'IA et la protection des données personnelles. Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés (Cnil), a été auditionnée le 11 septembre.
Sans grande surprise, elle a jugé que le boom de l'IA générative, comme ChatGPT, soulevait de nouvelles craintes. "Les menaces associées à l’essor de cette technologie sont multiples : peur de voir disparaître certains emplois, crainte d’une utilisation à des fins malveillantes, atteintes à la propriété intellectuelle, exploitation illicite de données personnelles…", a-t-elle détaillé lors de son intervention devant les parlementaires.
Comprendre, accompagner et contrôler
Ainsi, pour "créer les conditions d'une utilisation (…) éthique, responsable et respectueuse de nos valeurs", il faut "comprendre, accompagner et contrôler" l'IA, a déclaré la présidente. "On ne peut bien réguler un objet que l'on comprend", a-t-elle ajouté. A ce titre, l'autorité française a publié en 2017 le rapport "Comment permettre à l'Homme de garder la main" qui identifiait les difficultés juridiques et éthiques. Il met en lumière la nécessité de promouvoir deux principes fondateurs à une IA "au service de l'homme" : le principe de loyauté (l'intérêt des utilisateurs doit primer) et le principe de vigilance (l'organisation d'une forme de questionnement régulier, méthodique et délibératif).
Une fois les termes du débat compris et posés, il faut se "concentrer sur l'émergence d'un cadre légal et opérationnel permettant à l'innovation de se déployer dans le respect des libertés publiques et individuelles", a indiqué Marie-Laure Denis. Elle rappelle que dans son projet de règlement présenté en 2021, la Commission européenne a proposé un système de régulation basé sur le niveau de risque d'une IA. Ainsi, ceux appartenant à "la catégorie 'à haut risque' doivent être surveillés et les fournisseurs sont tenus par des obligations strictes, notamment un processus de gestion des risques adapté, une documentation technique et une évaluation de la conformité". La présidence espagnole du Conseil, en place jusqu'au 31 décembre 2023, a fait de la conclusion de ce règlement une priorité.
La Cnil se dote d'un service dédié à l'IA
En attendant que ce texte s'applique, "en 2025" au mieux, la Cnil doit apporter "des réponses concrètes aux entreprises innovantes (…) ainsi qu'aux citoyens qui disposent de droits". C'est pour cette raison qu'elle s'est dotée en mai 2023 d'un service dédié. Une stratégie d'accompagnement a également été mise en place à travers un appel à projets pour l'usage de l'IA dans les services publics et d'un accompagnement pour "les fournisseurs de vidéosurveillance augmentée" dans le cadre des Jeux olympiques et paralympiques de 2024.
La présidente a ajouté qu'un "dialogue régulier" avec les fournisseurs de solutions était "indispensable" et devait concerner "tous les domaines" (santé, ressources humaines, sécurité…). En effet, "la mise en place d'une réglementation doit nécessairement être associée à un accompagnement sur le terrain". "C'est à cette condition que les individus pourront garder la main", a-t-elle sommé.
Des audits en trois étapes
Aussi, Marie-Laure Denis a appelé au développement d'un "outillage" pour auditer les systèmes d'IA afin de s'assurer du respect de la vie privée. "Les investigations doivent se dérouler à trois niveaux", a-t-elle détaillé. Le premier doit se situer "au niveau de l'application" afin de s'assurer que les utilisateurs sont informés "sur la façon dont les données qu'ils soumettent sont traitées, qu'ils peuvent s'opposer au traitement ultérieur de leurs données d'entrée et exercer leur droit d'accès sur les données fournies au système". Le second concerne "la base de données d'entraînement utilisée pour le modèle" pour vérifier que "les personnes concernées par les données de bases (...) peuvent opérationnellement exercer leurs droits".
Le troisième niveau porte sur "le modèle sous-jacent", "la partie la plus complexe à mettre en oeuvre pour les modèles déjà entraînés", en particulier pour les IA génératives comme ChatGPT. "Il est techniquement impossible de mettre en oeuvre un droit de rectification sur les données incluses dans le modèle entraîné", a-t-elle indiqué aux parlementaires. A la place, il faudrait recourir à "d'autres solutions comme l'utilisation de modules permettant de corriger les erreurs ou inexactitudes du modèle".
Un renforcement des effectifs obligatoire
La présidente conclut son propos liminaire en appelant à "une articulation harmonieuse du règlement IA avec le RGPD d'autant plus que le Parlement européen propose de conditionner l'obtention du marquage CE au respect du droit de l'Union en matière de protection des données". Dans ce contexte, elle alerte sur la nécessité d'un "renforcement progressif de ses effectifs".
SUR LE MÊME SUJET
Voici le plan d'action de la Cnil pour encadrer l'intelligence artificielle
Tous les champs sont obligatoires
0Commentaire
Réagir