Pour réguler l’IA générative, des députés veulent transformer la CNIL
CnilGPT a réponse à tout
Face aux craintes suscitées par l’IA générative, l’Assemblée nationale avait lancé une mission d’information. Next a pu lire le rapport que présenteront demain les deux députés. S’ils proposent que la régulation soit d’abord européenne, les députés proposent de transformer la CNIL. Ils notent aussi que l’administration française est timide en matière d’IA générative, à l’exception de la gendarmerie.
Le 13 février à 14h35
7 min
Droit
Droit
La mission lancée en mai 2023 par la commission des lois de l’Assemblée porte sur les « défis de l’intelligence artificielle générative (IAG) en matière de protection des données personnelles et d’utilisation du contenu généré ». Comme de coutume, elle a été conduite par deux députés, l’un de la majorité (Philippe Pradal, Horizons), l’autre de l’opposition (Stéphane Rambaud, RN). Au final, les conclusions sont souvent communes, y compris sur la nécessité d’une régulation au niveau européen.
Pour les députés, l’IAG n’est pas forcément négative, son impact sur la société dépendant « entièrement de l’application qui en sera faite ». Ils soulignent plusieurs risques (vie privée, fuite de données, biais, fraude, amplification des discriminations) et s’interrogent sur la destruction d’emplois.
Ainsi, la grève l’an dernier des scénaristes d’Hollywood, la première liée à l’IAG, « n’est pas sans rappeler la révolte au XIXème siècle des canuts lyonnais, qui protestaient contre l’arrivée de nouvelles machines à tisser ». Mais l’IAG créera aussi de nouveaux métiers. Selon les choix politiques qui seront faits, elle pourrait « soit être source de destructions d’emplois, soit constituer une opportunité pour allouer de nouveaux moyens à des tâches plus essentielles ».
Une administration française en retard
Dans leur rapport, les députés notent « un contraste marqué dans les approches entre les représentants d’entreprises et les administrations ». Si les « les premiers semblent déjà envisager un avenir où l’IAG transformera radicalement l’économie », de leur côté, les administrations sont « attentistes ». Excepté la CNIL, les administrations ont ainsi « manifesté peu d’enthousiasme » pour contribuer à la mission d’information, « leurs réponses aux questionnaires étaient plutôt convenues et leur réflexion sur les impacts de l’IAG en est encore à ses prémices ».
Notable exception : la gendarmerie nationale, qui a développé ses propres outils d’IA générative. En s’appuyant sur ses bases de données, « elle a mené un travail d’apprentissage de systèmes d’IA, visant à détecter le détournement des IAG à des fins délictuelles ou criminelles. Elle dispose ainsi, par exemple, d’un logiciel de détection des hypertrucages (deepfakes) ». L’IAG est également utilisée comme une technique d’enquête, pour vieillir ou rajeunir des portraits de personnes recherchées.
Le rapport note que le ministère de la Justice a également engagé des réflexions pour recourir davantage à l’IA dans ses logiciels de rapprochement, qui permettent de faire des liens entre différentes affaires. Elle pourrait aussi être utilisée par les magistrats comme aide à la décision, même si une précédente expérimentation avait donné des résultats décevants.
Une régulation européenne
Les élus français sont souvent convaincus que seule notre législation nationale peut réguler le numérique, comme l’ont montré les navrants débats sur la loi SREN. Au contraire, les deux rapporteurs sont revenus de Bruxelles « convaincus que les défis de l’IAG sont mondiaux et devaient donc être traités tant à l’échelle européenne qu’à l’échelle nationale ».
Pour les deux députés, « le défi de la régulation à venir sera de parvenir à encadrer les usages de l’IAG », « sans entraver l’innovation et l’émergence de nouveaux acteurs, français ou européen ». Les rapporteurs notent que la Chine a adopté une régulation beaucoup plus dirigiste, obligeant ainsi les développeurs à inscrire leur système d’IAG à un registre des algorithmes.
Le rapport revient sur les différents textes européens. Ceux qui s’appliquent déjà (RGPD, DSA/DMA, Data Act) étant insuffisants pour couvrir l’ensemble des problèmes, un règlement sur l’IA est en cours de négociation. Le compromis trouvé en décembre 2023 entre le Parlement européen et le Conseil prévoit une gradation de la régulation en fonction du risque et de l’impact des systèmes d’IA.
Les systèmes à risque inacceptable (notation sociale) seraient interdits. Les systèmes à haut risque seraient évalués avant leur mise sur le marché et inscrits dans une base de données relevant de l’UE. Les systèmes à risque limité (chatbots) seraient soumis à des obligations allégées de transparence. Les IA à risque minimal ou nul (jeux vidéos, filtres anti-spam) seraient libres.
Toutefois, certain États-membres, dont la France, « souhaitent revoir certains points afin de ne pas priver leurs administrations de l’opportunité d’utiliser l’intelligence artificielle dans le cadre de certaines politiques publiques, notamment en matière fiscale ou de sécurité ». Pour, par exemple, détecter des contenus à caractère discriminatoire ou pédopornographique.
Dans leur rapport, les députés critiquent la volonté d’un trop fort contrôle de l’IA, qui freinerait l’émergence de nouveaux acteurs. Ils recommandent donc de prendre en compte l’audience des IAG afin d’encourager l’innovation. Ils craignent également qu’une trop forte régulation aboutisse à la création de « paradis de données » en dehors de l’Union. À ce titre, il regrette d’ailleurs la décision d’adéquation de la législation américaine au RGPD rendue par la Commission européenne en juillet 2023.
Mais pour les députés, la régulation ne suffit pas. Ils plaident en faveur d’obligation d’investissement des grands groupes, voire d’un « Airbus de l’IA » avec la création d’une société européenne à capitaux partiellement publics, venant des États volontaires.
Une CNIL transformée
Pour ce est qui de la régulation au niveau français, plus que l’Arcom, actuellement compétente pour réguler les plateformes, les deux députés misent sur la CNIL. Les données personnelles occupent une place centrale sur les questions d’IAG. Aujourd’hui, « seule la CNIL dispose de l’expertise et de l’expérience nécessaires pour évaluer le respect du RGPD par les modèles d’IAG ».
Par ailleurs, l’autorité est allante sur le sujet, ayant « déjà adopté une démarche aidante pour le développement de l’IAG en France, en apportant aux entrepreneurs les clarifications nécessaires pour l’interprétation d’une réglementation complexe en matière de protection des données ». Ils souhaiteraient donc transformer la CNIL en une « Haute autorité en charge de la protection des données et du contrôle de l’IA générative ».
Une évolution qui, pour les députés, nécessitera de renforcer les moyens et d'aller au-delà de l'équipe actuelle de cinq experts dédiés à l'IA.
Pour suivre les discussions internationales, ils suggèrent la nomination d’un ambassadeur à l’IAG. Sur le droit pénal, le ministre de la Justice considère que l’arsenal actuel est suffisant pour appréhender l’utilisation détournée des contenus produits par les IAG. Mais les deux députés veulent aller plus loin et adapter plusieurs délits.
Ainsi, l’utilisation de l’IAG pourrait devenir une circonstance aggravante, et un délit spécifique pourrait punir les deepfakes réalisés sans le consentement de la personne ou le fait d’empoisonner des données d’entraînement d’une IA générative.
Pour réguler l’IA générative, des députés veulent transformer la CNIL
-
Une administration française en retard
-
Une régulation européenne
-
Une CNIL transformée
Commentaires (8)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 13/02/2024 à 15h03
Le 13/02/2024 à 15h55
Mais comme on sépare l'intention de nuire et le fait de l'avoir fait... Ah non ça c'est pour les politiques à la CJR.
Le 13/02/2024 à 16h08
Le 13/02/2024 à 16h24
- ceux qui veulent réguler l'IAG pour gagner du pognon
- ceux qui veulent réguler l'IAG pour gagner du pouvoir
et nous, on creuse.
Modifié le 13/02/2024 à 17h52
On a déjà une entreprise française, Mistral AI, qui est très bonne sur le sujet et dont son modèle, Mixtral, n'a pas à rougir de GPT. Au contraire même, il semble plus performant à différents niveaux. Et très probablement d'autres que j'ignore !
C'est fou cette volonté de systématiquement ignorer les acteurs économiques d'un secteur. Comme pour le Cloud, on aime pleurer qu'on a "rien" alors qu'on a OVH, Scaleway ou encore CleverCloud.
Bordel, enlevez vos putains d’œillères !
(ouais, c'est agaçant)
Le 13/02/2024 à 18h24
Modifié le 13/02/2024 à 20h30
Dommage d'ailleurs de ne pas avoir une copie du rapport (non encore publié je l'ai compris) d'accessible pour mieux comprendre de quoi il s'agit. (En d'autres temps, NXI aurait publié un PDF généré par ses soins afin de protéger ses sources).
Éventuellement, il aurait mieux valu à mon avis attendre demain et mettre un lien vers le rapport. On n'est pas à un jour près, pas la peine de faire la chasse au scoop.
Sans le texte du rapport, difficile de se faire un avis.
J'ai toujours du mal à comprendre comment une IAG peut traiter des données personnelles, vu son fonctionnement et j'aurais bien voulu lire leur raison de raccrocher ce sujet à la CNIL qui a déjà du mal à faire correctement son travail.
Le 14/02/2024 à 07h39
Dans les faits, un modèle fine-tuned sur des textes légaux, des décisions, des jurisprudences, etc, pourrait très bien aider à catégoriser et trier les dossiers sur une analyse de premier niveau. Avec ensuite revue et validation humaine.
Même sans IA, un algorithme simple permettrait déjà de valider les plaintes, typiquement pour savoir si le parcours prévu par le RGPD a été respecté par la personne.