Alors que la CNIL italienne (Garante Privacy) a suspendu le 31 mars l’usage de ChatGPT pour une durée de 20 jours en invoquant trois manquements (non-respect du RGPD, fuite de données et impossibilité de vérifier que des mineurs de moins de 13 ans utilisent le service), son homologue française compte mettre sur pied un service dédié à l’IA. Bertrand Pailhès, directeur des technologies et de l’innovation de la CNIL, fait le point sur ses missions et les défis qu’il devra relever.
Quand le service IA sera-t-il actif ?
Bertrand Pailhès : Le service IA de la CNIL, qui devrait être en ordre de marche cet été, aura plusieurs missions : renforcer notre expertise sur l'IA pour mieux comprendre le fonctionnement de ces technologies, en particulier l'apprentissage automatique et profond qui représente une évolution majeure, mais aussi notre capacité d'audit de ce type d'algorithme. La genèse de l'IA remonte aux années 1940 avec la modélisation d'un neurone artificiel, d'où est née l'idée de construire des machines capables de simuler le raisonnement humain. Aujourd'hui, il y a deux « écoles » dans ce domaine : la première cherche à reproduire le raisonnement humain en établissant un ensemble de règles, elle est à l'origine des systèmes experts qui se sont développés à la fin des années 1980 ; la seconde a adopté une approche statistique basée sur la recherche de corrélations déduites d'un ensemble de données. C'est elle qui connaît aujourd'hui un fort développement.
Quelles sont les différences entre ces deux types d’IA ?
B. P. : Avec le premier type d'IA, la règle est inscrite dans l'algorithme. Il est très facile de déterminer si elle respecte le RGPD et d'autres lois. Dans le second cas, aucune règle n'est inscrite dans le code de l'algorithme. Ce type d'IA, basée sur l'apprentissage automatique où l'intervention humaine consiste à fixer des objectifs que les solutions cherchent progressivement à atteindre par le processus d'apprentissage, utilise des paramètres qui ne sont ni prédéterminés, ni explicites. Le service IA de la CNIL, en lien avec les services « sectoriels » de la CNIL (travail, santé, économie), va repérer les points d'attention que les entreprises devront prendre en compte et construire des méthodes d'audits capables de déterminer, dans le cas d'un traitement de CV par exemple, s'il y a un risque de discrimination ou si le traitement des données personnelles respecte bien le RGPD. L'enjeu, pour les entreprises, sera de savoir ce que fait l'algorithme pour éviter des soucis après le traitement. Nous avons publié en 2022 un guide d'autoévaluation des usages de l'IA à l'intention des entreprises. Il permet de se poser les bonnes questions, par exemple au sujet des données d'entraînement qui ont permis à l'algorithme d'acquérir son efficacité. La CNIL va publier cette année une recommandation sur ces bases d'entraînement qui permettra aux entreprises de déterminer dans quelles conditions elles peuvent constituer une base de données d'entraînement ou en utiliser une fournie par des tiers. Le service IA va permettre de vérifier le respect du RGPD sur ce type d'opérations.
Quelles problématiques peuvent surgir lors de l’usage de ces IA ?
B. P. : La situation actuelle suscite une tension entre, d'un côté, la recherche d'efficacité des IA par apprentissage qui suppose un grand volume de données et, en partie, des définitions de finalités assez larges ; et de l'autre, les principes de finalité, de proportionnalité et de minimisation posés par le RGPD. Par ailleurs, dans notre mission de faire respecter le RGPD, nous vérifions le caractère licite du traitement, mais nous ne pouvons pas vérifier sa parfaite adéquation avec toutes les obligations de tous les codes et lois existants. Il y a une limite à notre capacité à analyser les usages des algorithmes en fonction du droit applicable à chaque secteur et, in fine, cette analyse revient aux autorités sectorielles. S'il s'agit de droit du travail, ce sont les services de l'inspection du travail et des juridictions compétentes qui seront mobilisés.
L’AI Act européen en préparation interdit-il des cas d’usage ?
B. P. : Dans les versions de l'AI Act déjà diffusées par la Commission européenne et le Conseil européen, parmi les usages classés comme à hauts risques figurent l'éducation et la formation professionnelle ; l'emploi, la gestion de main-d'œuvre et l'accès à un emploi indépendant ; le recrutement ainsi que la sélection de personnes physiques pour les offres d'emploi ; mais aussi les IA destinées à prendre des décisions de promotion ou de licenciement dans le cadre de relations professionnelles contractuelles, pour attribuer des tâches sur la base du comportement individuel ou de traits de la personnalité. Lorsque le Parlement européen aura livré sa version de l'AI Act, avant l'été, commencera le « trilogue », c'est-à-dire un échange entre les trois institutions afin d'aboutir à un texte commun. Cela devrait prendre six à neuf mois. Pour les usages de l'IA qui seront classés comme à haut risque par l'AI Act, c'est sans doute l'autorité régulatrice de chaque secteur qui sera mobilisée : l'Autorité des marchés financiers pour la finance, la Haute Autorité de santé pour les usages portant sur la santé, etc. Pour les usages expérimentaux de reconnaissance faciale prévus durant les JO, le projet de loi prévoit à ce stade que le ministère de l'Intérieur délivre une attestation de conformité. La CNIL sera chargée d'accompagner les acteurs en charge de déployer les systèmes et exercera ses pouvoirs de contrôles.
