Est-il possible de réguler l’IA ?

L’industrie des Intel­li­gences Arti­fi­cielles (IA) géné­ra­tives est en pleine expan­sion. Selon Bloom­berg, elle devrait atteindre 1 300 Mil­liards de dol­lars d’ici 2032. Mais cette crois­sance expo­nen­tielle inquiète mon­dia­le­ment, et pose la ques­tion de la sécu­ri­té et de la légis­la­tion de ce mar­ché. Face à ce mar­ché gran­dis­sant Micro­soft, Google, Ope­nAI et la start-up Anthro­pic – quatre géants amé­ri­cains de l’IA – s’allient pour s’au­to­ré­gu­ler face à la méfiance gran­dis­sante, l’Europe envi­sage des régle­men­ta­tions et le Pre­mier ministre bri­tan­nique, Rishi Sunak, a annon­cé que le pre­mier som­met mon­dial dédié à l’in­tel­li­gence arti­fi­cielle se tien­dra au Royaume-Uni d’i­ci la fin de l’année.

Face à la place crois­sante des sys­tèmes d’IA dans notre quo­ti­dien, la CNIL a ini­tié une démarche inédite en ins­tau­rant un dépar­te­ment spé­ci­fi­que­ment dédié à ce domaine. Sous l’é­gide de Féli­cien Val­let, l’autorité de régu­la­tion cherche à appli­quer sa phi­lo­so­phie régu­la­trice autour d’enjeux majeurs de sécu­ri­té, de trans­pa­rence et d’automatisation.

La CNIL, auto­ri­té de régu­la­tion depuis 1978, est char­gée de la pro­tec­tion des don­nées. Depuis 2018, notre texte de réfé­rence en la matière est le RGPD. Der­niè­re­ment, nous sommes sai­sis sur des ques­tions de trai­te­ments de don­nées à carac­tère per­son­nel de plus en plus basés sur l’IA, quel que soit le sec­teur d’ac­ti­vi­té. À la CNIL, nous sommes plu­tôt orga­ni­sés de manière sec­to­rielle avec des ser­vices dédiés à la san­té ou aux affaires réga­liennes par exemple. Ain­si, la CNIL observe que les usages de l’IA dans les domaines de la lutte contre la fraude fis­cale (par exemple, la détec­tion auto­ma­ti­sée de pis­cines à par­tir d’i­mages satel­lites), de la sécu­ri­té (comme les sys­tèmes de vidéo­sur­veillance aug­men­tée qui ana­lysent les com­por­te­ments humains), mais éga­le­ment de la san­té (par exemple pour l’aide au diag­nos­tic), ou encore de l’éducation (par exemple via les lear­ning ana­ly­tics, visant à per­son­na­li­ser les par­cours d’apprentissage) se mul­ti­plient. En tant que régu­la­teur des trai­te­ments de don­nées à carac­tère per­son­nel, la CNIL porte une atten­tion par­ti­cu­lière aux usages de l’IA sus­cep­tibles d’im­pac­ter les citoyens. La créa­tion d’un ser­vice plu­ri­dis­ci­pli­naire dédié à l’IA s’ex­plique ain­si par la nature trans­ver­sale des enjeux liés à ce domaine.

Nous n’avons pas de défi­ni­tion stric­to sen­su. La défi­ni­tion que nous pro­po­sons sur notre site désigne un pro­cé­dé logique et auto­ma­ti­sé repo­sant géné­ra­le­ment sur un algo­rithme et dans le but de réa­li­ser des tâches bien défi­nies. Pour le Par­le­ment euro­péen, elle consti­tue un outil uti­li­sé par une machine afin de « repro­duire des com­por­te­ments liés aux humains, tels que le rai­son­ne­ment, la pla­ni­fi­ca­tion et la créa­ti­vi­té ». L’intelligence arti­fi­cielle géné­ra­tive est une por­tion des sys­tèmes d’intelligence arti­fi­cielle exis­tant, même si elle aus­si pose ques­tion sur l’usage des don­nées personnelles.

La CNIL a une approche axée sur le risque. Cette logique est au cœur de l’IA Act qui classe les sys­tèmes d’IA en quatre caté­go­ries : inac­cep­tables, à haut risque, à risque limi­té et à risque mini­mal. Les sys­tèmes d’IA dits inac­cep­tables ne peuvent abso­lu­ment pas être mis en œuvre sur le sol euro­péen, car ils ne sont pas dans les clous de la régle­men­ta­tion. Les sys­tèmes à haut risque, qui sont sou­vent déployés dans des sec­teurs comme la san­té ou les affaires réga­liennes, sont par­ti­cu­liè­re­ment sen­sibles, car ils peuvent avoir un impact signi­fi­ca­tif sur les indi­vi­dus et traitent sou­vent des don­nées per­son­nelles. Des pré­cau­tions par­ti­cu­lières sont prises avant leur mise en œuvre. Les sys­tèmes à risque limi­té, comme le sont sou­vent les IA géné­ra­tives par exemple, néces­sitent une trans­pa­rence accrue pour les uti­li­sa­teurs. Les sys­tèmes à risque mini­mal ne font pas l’objet d’o­bli­ga­tions particulières.

Ce sont prin­ci­pa­le­ment la trans­pa­rence, l’au­to­ma­ti­sa­tion et la sécu­ri­té. La trans­pa­rence est cru­ciale pour assu­rer que les per­sonnes soient infor­mées du trai­te­ment de leurs don­nées par les sys­tèmes d’IA, ain­si que pour leur per­mettre d’exer­cer leurs droits. Ces sys­tèmes peuvent uti­li­ser d’é­normes quan­ti­tés de don­nées, par­fois à l’in­su des individus.

L’au­to­ma­ti­sa­tion pose aus­si ques­tion, même lors­qu’un opé­ra­teur humain est inté­gré dans la boucle pour prendre la déci­sion finale. Les biais cog­ni­tifs, comme la ten­dance à faire une confiance exces­sive à la machine, peuvent influen­cer la prise de déci­sion. Il est essen­tiel d’être vigi­lant sur les moda­li­tés de contrôle de l’o­pé­ra­teur et sur la façon dont celui-ci est réel­le­ment inté­gré dans la boucle de décision.

La sécu­ri­té des sys­tèmes d’IA est une autre pré­oc­cu­pa­tion majeure. Comme tout sys­tème infor­ma­tique, ils peuvent être la cible de cybe­rat­taques, notam­ment de détour­ne­ment d’ac­cès ou de vol de don­nées. En outre, ils peuvent être exploi­tés de manière mal­veillante, par exemple pour mener des cam­pagnes de phi­shing ou dif­fu­ser de la dés­in­for­ma­tion à grande échelle.

Notre plan d’action est struc­tu­ré autour de quatre points. Le pre­mier est de com­prendre la tech­no­lo­gie de l’IA, un domaine en constante évo­lu­tion avec chaque jour, de nou­velles inno­va­tions et per­cées scientifiques.

Ensuite, il s’agit de gui­der l’u­ti­li­sa­tion de l’IA. Le RGPD est notre réfé­rence, mais ce texte est tech­no­lo­gi­que­ment neutre. Il ne pres­crit pas spé­ci­fi­que­ment com­ment les don­nées per­son­nelles doivent être trai­tées dans le contexte de l’IA. Il s’a­git donc d’a­dap­ter les prin­cipes géné­raux du RGPD aux dif­fé­rentes tech­no­lo­gies et uti­li­sa­tions de l’IA afin de gui­der effi­ca­ce­ment les professionnels.

Le troi­sième point est de déve­lop­per une inter­ac­tion et une coopé­ra­tion avec nos homo­logues euro­péens, le Défen­seur des droits, l’Au­to­ri­té de la concur­rence ou encore les ins­ti­tuts de recherche pour abor­der les ques­tions liées à la dis­cri­mi­na­tion, à la concur­rence et à l’in­no­va­tion dans le but de fédé­rer le plus d’acteurs pos­sibles autour de ces questions.

Enfin, il s’agit de mettre en place des contrôles, à la fois avant et après la mise en œuvre des sys­tèmes IA. Nous devons donc déve­lop­per des métho­do­lo­gies pour effec­tuer ces contrôles, que ce soit par le biais de listes de check-up, de guides d’au­to-éva­lua­tion ou d’autres outils innovants.

Actuel­le­ment, aucune régle­men­ta­tion spé­ci­fique à l’IA n’existe, que ce soit en France, en Europe ou ailleurs. Le pro­jet de règle­ment euro­péen repré­sen­te­ra une pre­mière en la matière. Cepen­dant, cer­taines régle­men­ta­tions d’ordre géné­ral, comme le RGPD en Europe, s’ap­pliquent indi­rec­te­ment à l’IA. Cer­taines régle­men­ta­tions sec­to­rielles comme celles rela­tives à la sécu­ri­té des pro­duits peuvent s’ap­pli­quer à ceux inté­grant de l’IA, tels que les dis­po­si­tifs médi­caux par exemple.

His­to­ri­que­ment, l’Eu­rope a été plus proac­tive dans la mise en œuvre de régle­men­ta­tions sur les tech­no­lo­gies numé­riques, comme en témoigne l’a­dop­tion du RGPD. Cepen­dant, même aux États-Unis, l’i­dée de régle­men­ter l’IA a gagné du ter­rain. Par exemple, le CEO d’O­pe­nAI a affir­mé devant le Congrès amé­ri­cain qu’une régle­men­ta­tion de l’IA serait béné­fique. Il faut cepen­dant noter que ce que les diri­geants d’en­tre­prises tech­no­lo­giques amé­ri­caines consi­dèrent comme une régle­men­ta­tion adé­quate peut ne pas cor­res­pondre exac­te­ment à ce que l’Eu­rope envi­sage. C’est dans l’objectif d’anticiper l‘AI Act et de s’assurer de l’adhésion des grands indus­triels inter­na­tio­naux du domaine que les com­mis­saires euro­péens Mar­grethe Ves­ta­ger (concur­rence) et Thier­ry Bre­ton (mar­ché inté­rieur) ont res­pec­ti­ve­ment pro­po­sé un AI Code of Conduct et un AI Pact.

Propos recueillis par Jean Zeid