Connexion
Abonnez-vous

Pour réguler l’IA générative, des députés veulent transformer la CNIL

CnilGPT a réponse à tout

Pour réguler l’IA générative, des députés veulent transformer la CNIL

Face aux craintes suscitées par l’IA générative, l’Assemblée nationale avait lancé une mission d’information. Next a pu lire le rapport que présenteront demain les deux députés. S’ils proposent que la régulation soit d’abord européenne, les députés proposent de transformer la CNIL. Ils notent aussi que l’administration française est timide en matière d’IA générative, à l’exception de la gendarmerie.

Le 13 février à 14h35

La mission lancée en mai 2023 par la commission des lois de l’Assemblée porte sur les « défis de l’intelligence artificielle générative (IAG) en matière de protection des données personnelles et d’utilisation du contenu généré ». Comme de coutume, elle a été conduite par deux députés, l’un de la majorité (Philippe Pradal, Horizons), l’autre de l’opposition (Stéphane Rambaud, RN). Au final, les conclusions sont souvent communes, y compris sur la nécessité d’une régulation au niveau européen.

Pour les députés, l’IAG n’est pas forcément négative, son impact sur la société dépendant « entièrement de l’application qui en sera faite ». Ils soulignent plusieurs risques (vie privée, fuite de données, biais, fraude, amplification des discriminations) et s’interrogent sur la destruction d’emplois.

Ainsi, la grève l’an dernier des scénaristes d’Hollywood, la première liée à l’IAG, « n’est pas sans rappeler la révolte au XIXème siècle des canuts lyonnais, qui protestaient contre l’arrivée de nouvelles machines à tisser ». Mais l’IAG créera aussi de nouveaux métiers. Selon les choix politiques qui seront faits, elle pourrait « soit être source de destructions d’emplois, soit constituer une opportunité pour allouer de nouveaux moyens à des tâches plus essentielles ».

Une administration française en retard

Dans leur rapport, les députés notent « un contraste marqué dans les approches entre les représentants d’entreprises et les administrations ». Si les « les premiers semblent déjà envisager un avenir où l’IAG transformera radicalement l’économie », de leur côté, les administrations sont « attentistes ». Excepté la CNIL, les administrations ont ainsi « manifesté peu d’enthousiasme » pour contribuer à la mission d’information, « leurs réponses aux questionnaires étaient plutôt convenues et leur réflexion sur les impacts de l’IAG en est encore à ses prémices ».

Notable exception : la gendarmerie nationale, qui a développé ses propres outils d’IA générative. En s’appuyant sur ses bases de données, « elle a mené un travail d’apprentissage de systèmes d’IA, visant à détecter le détournement des IAG à des fins délictuelles ou criminelles. Elle dispose ainsi, par exemple, d’un logiciel de détection des hypertrucages (deepfakes) ». L’IAG est également utilisée comme une technique d’enquête, pour vieillir ou rajeunir des portraits de personnes recherchées.

Le rapport note que le ministère de la Justice a également engagé des réflexions pour recourir davantage à l’IA dans ses logiciels de rapprochement, qui permettent de faire des liens entre différentes affaires. Elle pourrait aussi être utilisée par les magistrats comme aide à la décision, même si une précédente expérimentation avait donné des résultats décevants.

Une régulation européenne

Les élus français sont souvent convaincus que seule notre législation nationale peut réguler le numérique, comme l’ont montré les navrants débats sur la loi SREN. Au contraire, les deux rapporteurs sont revenus de Bruxelles « convaincus que les défis de l’IAG sont mondiaux et devaient donc être traités tant à l’échelle européenne qu’à l’échelle nationale ».

Pour les deux députés, « le défi de la régulation à venir sera de parvenir à encadrer les usages de l’IAG », « sans entraver l’innovation et l’émergence de nouveaux acteurs, français ou européen ». Les rapporteurs notent que la Chine a adopté une régulation beaucoup plus dirigiste, obligeant ainsi les développeurs à inscrire leur système d’IAG à un registre des algorithmes.

Le rapport revient sur les différents textes européens. Ceux qui s’appliquent déjà (RGPD, DSA/DMA, Data Act) étant insuffisants pour couvrir l’ensemble des problèmes, un règlement sur l’IA est en cours de négociation. Le compromis trouvé en décembre 2023 entre le Parlement européen et le Conseil prévoit une gradation de la régulation en fonction du risque et de l’impact des systèmes d’IA.

Les systèmes à risque inacceptable (notation sociale) seraient interdits. Les systèmes à haut risque seraient évalués avant leur mise sur le marché et inscrits dans une base de données relevant de l’UE. Les systèmes à risque limité (chatbots) seraient soumis à des obligations allégées de transparence. Les IA à risque minimal ou nul (jeux vidéos, filtres anti-spam) seraient libres.

Toutefois, certain États-membres, dont la France, « souhaitent revoir certains points afin de ne pas priver leurs administrations de l’opportunité d’utiliser l’intelligence artificielle dans le cadre de certaines politiques publiques, notamment en matière fiscale ou de sécurité ». Pour, par exemple, détecter des contenus à caractère discriminatoire ou pédopornographique.

Dans leur rapport, les députés critiquent la volonté d’un trop fort contrôle de l’IA, qui freinerait l’émergence de nouveaux acteurs. Ils recommandent donc de prendre en compte l’audience des IAG afin d’encourager l’innovation. Ils craignent également qu’une trop forte régulation aboutisse à la création de « paradis de données » en dehors de l’Union. À ce titre, il regrette d’ailleurs la décision d’adéquation de la législation américaine au RGPD rendue par la Commission européenne en juillet 2023.

Mais pour les députés, la régulation ne suffit pas. Ils plaident en faveur d’obligation d’investissement des grands groupes, voire d’un « Airbus de l’IA » avec la création d’une société européenne à capitaux partiellement publics, venant des États volontaires.

Une CNIL transformée

Pour ce est qui de la régulation au niveau français, plus que l’Arcom, actuellement compétente pour réguler les plateformes, les deux députés misent sur la CNIL. Les données personnelles occupent une place centrale sur les questions d’IAG. Aujourd’hui, « seule la CNIL dispose de l’expertise et de l’expérience nécessaires pour évaluer le respect du RGPD par les modèles d’IAG ».

Par ailleurs, l’autorité est allante sur le sujet, ayant « déjà adopté une démarche aidante pour le développement de l’IAG en France, en apportant aux entrepreneurs les clarifications nécessaires pour l’interprétation d’une réglementation complexe en matière de protection des données ». Ils souhaiteraient donc transformer la CNIL en une « Haute autorité en charge de la protection des données et du contrôle de l’IA générative ».

Une évolution qui, pour les députés, nécessitera de renforcer les moyens et d'aller au-delà de l'équipe actuelle de cinq experts dédiés à l'IA.

Pour suivre les discussions internationales, ils suggèrent la nomination d’un ambassadeur à l’IAG. Sur le droit pénal, le ministre de la Justice considère que l’arsenal actuel est suffisant pour appréhender l’utilisation détournée des contenus produits par les IAG. Mais les deux députés veulent aller plus loin et adapter plusieurs délits.

Ainsi, l’utilisation de l’IAG pourrait devenir une circonstance aggravante, et un délit spécifique pourrait punir les deepfakes réalisés sans le consentement de la personne ou le fait d’empoisonner des données d’entraînement d’une IA générative.

Commentaires (8)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
un délit spécifique pourrait punir […] le fait d’empoisonner des données d’entraînement d’une IA générative.
Donc protéger ses illustrations avec des softs type NightShade pourrait être considéré comme un délit ? oO
votre avatar
N'ayant pas l'autorisation de s'en servir et de le copier, je crois que c'est pas pour cela. Je le vois plutôt comme un délit assez spécifique, comme un employés malveillant qui va flinguer le modèle avec des mauvaises data, ou bien de publier sur le Web des choses avec l'intention de les voir intégrer dans un modèle.

Mais comme on sépare l'intention de nuire et le fait de l'avoir fait... Ah non ça c'est pour les politiques à la CJR.
votre avatar
Je trouve que rattacher les enjeux d'IAG à la CNIL a tout à fait sa place, surtout pour éviter de créer une énième machine à gaz d'autorité administrative indépendante.
votre avatar
Le monde se divise en deux catégories:
- ceux qui veulent réguler l'IAG pour gagner du pognon
- ceux qui veulent réguler l'IAG pour gagner du pouvoir

et nous, on creuse.
votre avatar
Mais pour les députés, la régulation ne suffit pas. Ils plaident en faveur d’obligation d’investissement des grands groupes, voire d’un « Airbus de l’IA » avec la création d’une société européenne à capitaux partiellement publics, venant des États volontaires.
Et soutenir l'existant, on s'en fout pour changer ?

On a déjà une entreprise française, Mistral AI, qui est très bonne sur le sujet et dont son modèle, Mixtral, n'a pas à rougir de GPT. Au contraire même, il semble plus performant à différents niveaux. Et très probablement d'autres que j'ignore !

C'est fou cette volonté de systématiquement ignorer les acteurs économiques d'un secteur. Comme pour le Cloud, on aime pleurer qu'on a "rien" alors qu'on a OVH, Scaleway ou encore CleverCloud.

Bordel, enlevez vos putains d’œillères !

(ouais, c'est agaçant)
votre avatar
Bienvenue dans la startup nation où tout doit être nouveau et pompeux, plutôt que de capitaliser et consolider l'existant.
votre avatar
Comme l'article (et probablement le rapport) mélange IAG et IA, c'est difficile de suivre le fil, comme ça saute de l'un à l'autre.

Dommage d'ailleurs de ne pas avoir une copie du rapport (non encore publié je l'ai compris) d'accessible pour mieux comprendre de quoi il s'agit. (En d'autres temps, NXI aurait publié un PDF généré par ses soins afin de protéger ses sources).
Éventuellement, il aurait mieux valu à mon avis attendre demain et mettre un lien vers le rapport. On n'est pas à un jour près, pas la peine de faire la chasse au scoop.

Sans le texte du rapport, difficile de se faire un avis.

J'ai toujours du mal à comprendre comment une IAG peut traiter des données personnelles, vu son fonctionnement et j'aurais bien voulu lire leur raison de raccrocher ce sujet à la CNIL qui a déjà du mal à faire correctement son travail.
votre avatar
Sinon par rapport au sous titre :
CnilGPT a réponse à tout
Dans les faits, un modèle fine-tuned sur des textes légaux, des décisions, des jurisprudences, etc, pourrait très bien aider à catégoriser et trier les dossiers sur une analyse de premier niveau. Avec ensuite revue et validation humaine.

Même sans IA, un algorithme simple permettrait déjà de valider les plaintes, typiquement pour savoir si le parcours prévu par le RGPD a été respecté par la personne.

Pour réguler l’IA générative, des députés veulent transformer la CNIL

  • Une administration française en retard

  • Une régulation européenne

  • Une CNIL transformée

Fermer