Est-il possible de réguler l’IA ?

L’industrie des Intel­li­gences Arti­fi­cielles (IA) généra­tives est en pleine expan­sion. Selon Bloomberg, elle devrait attein­dre 1 300 Mil­liards de dol­lars d’ici 2032. Mais cette crois­sance expo­nen­tielle inquiète mon­di­ale­ment, et pose la ques­tion de la sécu­rité et de la lég­is­la­tion de ce marché. Face à ce marché gran­dis­sant Microsoft, Google, Ope­nAI et la start-up Anthrop­ic – qua­tre géants améri­cains de l’IA – s’allient pour s’au­toréguler face à la méfi­ance gran­dis­sante, l’Europe envis­age des régle­men­ta­tions et le Pre­mier min­istre bri­tan­nique, Rishi Sunak, a annon­cé que le pre­mier som­met mon­di­al dédié à l’in­tel­li­gence arti­fi­cielle se tien­dra au Roy­aume-Uni d’i­ci la fin de l’année.

Face à la place crois­sante des sys­tèmes d’IA dans notre quo­ti­di­en, la CNIL a ini­tié une démarche inédite en instau­rant un départe­ment spé­ci­fique­ment dédié à ce domaine. Sous l’égide de Féli­cien Val­let, l’autorité de régu­la­tion cherche à appli­quer sa philoso­phie régu­la­trice autour d’enjeux majeurs de sécu­rité, de trans­parence et d’automatisation.

La CNIL, autorité de régu­la­tion depuis 1978, est chargée de la pro­tec­tion des don­nées. Depuis 2018, notre texte de référence en la matière est le RGPD. Dernière­ment, nous sommes sai­sis sur des ques­tions de traite­ments de don­nées à car­ac­tère per­son­nel de plus en plus basés sur l’IA, quel que soit le secteur d’ac­tiv­ité. À la CNIL, nous sommes plutôt organ­isés de manière sec­to­rielle avec des ser­vices dédiés à la san­té ou aux affaires régali­ennes par exem­ple. Ain­si, la CNIL observe que les usages de l’IA dans les domaines de la lutte con­tre la fraude fis­cale (par exem­ple, la détec­tion automa­tisée de piscines à par­tir d’im­ages satel­lites), de la sécu­rité (comme les sys­tèmes de vidéo­sur­veil­lance aug­men­tée qui analy­sent les com­porte­ments humains), mais égale­ment de la san­té (par exem­ple pour l’aide au diag­nos­tic), ou encore de l’éducation (par exem­ple via les learn­ing ana­lyt­ics, visant à per­son­nalis­er les par­cours d’apprentissage) se mul­ti­plient. En tant que régu­la­teur des traite­ments de don­nées à car­ac­tère per­son­nel, la CNIL porte une atten­tion par­ti­c­ulière aux usages de l’IA sus­cep­ti­bles d’im­pacter les citoyens. La créa­tion d’un ser­vice pluridis­ci­plinaire dédié à l’IA s’ex­plique ain­si par la nature trans­ver­sale des enjeux liés à ce domaine.

Nous n’avons pas de déf­i­ni­tion stric­to sen­su. La déf­i­ni­tion que nous pro­posons sur notre site désigne un procédé logique et automa­tisé reposant générale­ment sur un algo­rithme et dans le but de réalis­er des tâch­es bien définies. Pour le Par­lement européen, elle con­stitue un out­il util­isé par une machine afin de « repro­duire des com­porte­ments liés aux humains, tels que le raison­nement, la plan­i­fi­ca­tion et la créa­tiv­ité ». L’intelligence arti­fi­cielle généra­tive est une por­tion des sys­tèmes d’intelligence arti­fi­cielle exis­tant, même si elle aus­si pose ques­tion sur l’usage des don­nées personnelles.

La CNIL a une approche axée sur le risque. Cette logique est au cœur de l’IA Act qui classe les sys­tèmes d’IA en qua­tre caté­gories : inac­cept­a­bles, à haut risque, à risque lim­ité et à risque min­i­mal. Les sys­tèmes d’IA dits inac­cept­a­bles ne peu­vent absol­u­ment pas être mis en œuvre sur le sol européen, car ils ne sont pas dans les clous de la régle­men­ta­tion. Les sys­tèmes à haut risque, qui sont sou­vent déployés dans des secteurs comme la san­té ou les affaires régali­ennes, sont par­ti­c­ulière­ment sen­si­bles, car ils peu­vent avoir un impact sig­ni­fi­catif sur les indi­vidus et trait­ent sou­vent des don­nées per­son­nelles. Des pré­cau­tions par­ti­c­ulières sont pris­es avant leur mise en œuvre. Les sys­tèmes à risque lim­ité, comme le sont sou­vent les IA généra­tives par exem­ple, néces­si­tent une trans­parence accrue pour les util­isa­teurs. Les sys­tèmes à risque min­i­mal ne font pas l’objet d’oblig­a­tions particulières.

Ce sont prin­ci­pale­ment la trans­parence, l’au­toma­ti­sa­tion et la sécu­rité. La trans­parence est cru­ciale pour assur­er que les per­son­nes soient infor­mées du traite­ment de leurs don­nées par les sys­tèmes d’IA, ain­si que pour leur per­me­t­tre d’ex­ercer leurs droits. Ces sys­tèmes peu­vent utilis­er d’énormes quan­tités de don­nées, par­fois à l’in­su des individus.

L’au­toma­ti­sa­tion pose aus­si ques­tion, même lorsqu’un opéra­teur humain est inté­gré dans la boucle pour pren­dre la déci­sion finale. Les biais cog­ni­tifs, comme la ten­dance à faire une con­fi­ance exces­sive à la machine, peu­vent influ­encer la prise de déci­sion. Il est essen­tiel d’être vig­i­lant sur les modal­ités de con­trôle de l’opéra­teur et sur la façon dont celui-ci est réelle­ment inté­gré dans la boucle de décision.

La sécu­rité des sys­tèmes d’IA est une autre préoc­cu­pa­tion majeure. Comme tout sys­tème infor­ma­tique, ils peu­vent être la cible de cyber­at­taques, notam­ment de détourne­ment d’ac­cès ou de vol de don­nées. En out­re, ils peu­vent être exploités de manière malveil­lante, par exem­ple pour men­er des cam­pagnes de phish­ing ou dif­fuser de la dés­in­for­ma­tion à grande échelle.

Notre plan d’action est struc­turé autour de qua­tre points. Le pre­mier est de com­pren­dre la tech­nolo­gie de l’IA, un domaine en con­stante évo­lu­tion avec chaque jour, de nou­velles inno­va­tions et per­cées scientifiques.

Ensuite, il s’agit de guider l’u­til­i­sa­tion de l’IA. Le RGPD est notre référence, mais ce texte est tech­nologique­ment neu­tre. Il ne pre­scrit pas spé­ci­fique­ment com­ment les don­nées per­son­nelles doivent être traitées dans le con­texte de l’IA. Il s’ag­it donc d’adapter les principes généraux du RGPD aux dif­férentes tech­nolo­gies et util­i­sa­tions de l’IA afin de guider effi­cace­ment les professionnels.

Le troisième point est de dévelop­per une inter­ac­tion et une coopéra­tion avec nos homo­logues européens, le Défenseur des droits, l’Au­torité de la con­cur­rence ou encore les insti­tuts de recherche pour abor­der les ques­tions liées à la dis­crim­i­na­tion, à la con­cur­rence et à l’in­no­va­tion dans le but de fédér­er le plus d’acteurs pos­si­bles autour de ces questions.

Enfin, il s’agit de met­tre en place des con­trôles, à la fois avant et après la mise en œuvre des sys­tèmes IA. Nous devons donc dévelop­per des méthodolo­gies pour effectuer ces con­trôles, que ce soit par le biais de listes de check-up, de guides d’au­to-éval­u­a­tion ou d’autres out­ils innovants.

Actuelle­ment, aucune régle­men­ta­tion spé­ci­fique à l’IA n’ex­iste, que ce soit en France, en Europe ou ailleurs. Le pro­jet de règle­ment européen représen­tera une pre­mière en la matière. Cepen­dant, cer­taines régle­men­ta­tions d’ordre général, comme le RGPD en Europe, s’ap­pliquent indi­recte­ment à l’IA. Cer­taines régle­men­ta­tions sec­to­rielles comme celles rel­a­tives à la sécu­rité des pro­duits peu­vent s’ap­pli­quer à ceux inté­grant de l’IA, tels que les dis­posi­tifs médi­caux par exemple.

His­torique­ment, l’Eu­rope a été plus proac­tive dans la mise en œuvre de régle­men­ta­tions sur les tech­nolo­gies numériques, comme en témoigne l’adop­tion du RGPD. Cepen­dant, même aux États-Unis, l’idée de régle­menter l’IA a gag­né du ter­rain. Par exem­ple, le CEO d’Ope­nAI a affir­mé devant le Con­grès améri­cain qu’une régle­men­ta­tion de l’IA serait béné­fique. Il faut cepen­dant not­er que ce que les dirigeants d’en­tre­pris­es tech­nologiques améri­caines con­sid­èrent comme une régle­men­ta­tion adéquate peut ne pas cor­re­spon­dre exacte­ment à ce que l’Eu­rope envis­age. C’est dans l’objectif d’anticiper l‘AI Act et de s’assurer de l’adhésion des grands indus­triels inter­na­tionaux du domaine que les com­mis­saires européens Mar­grethe Vestager (con­cur­rence) et Thier­ry Bre­ton (marché intérieur) ont respec­tive­ment pro­posé un AI Code of Con­duct et un AI Pact.

Propos recueillis par Jean Zeid