Pour réguler l’IA générative, des députés veulent transformer la CNIL

Face aux craintes suscitées par l’IA générative, l’Assemblée nationale avait lancé une mission d’information. Next a pu lire le rapport que présenteront demain les deux députés. S’ils proposent que la régulation soit d’abord européenne, les députés proposent de transformer la CNIL. Ils notent aussi que l’administration française est timide en matière d’IA générative, à l’exception de la gendarmerie.

La mission lancée en mai 2023 par la commission des lois de l’Assemblée porte sur les « défis de l’intelligence artificielle générative (IAG) en matière de protection des données personnelles et d’utilisation du contenu généré ». Comme de coutume, elle a été conduite par deux députés, l’un de la majorité (Philippe Pradal, Horizons), l’autre de l’opposition (Stéphane Rambaud, RN). Au final, les conclusions sont souvent communes, y compris sur la nécessité d’une régulation au niveau européen.

Pour les députés, l’IAG n’est pas forcément négative, son impact sur la société dépendant « entièrement de l’application qui en sera faite ». Ils soulignent plusieurs risques (vie privée, fuite de données, biais, fraude, amplification des discriminations) et s’interrogent sur la destruction d’emplois.

Ainsi, la grève l’an dernier des scénaristes d’Hollywood, la première liée à l’IAG, « n’est pas sans rappeler la révolte au XIXème siècle des canuts lyonnais, qui protestaient contre l’arrivée de nouvelles machines à tisser ». Mais l’IAG créera aussi de nouveaux métiers. Selon les choix politiques qui seront faits, elle pourrait « soit être source de destructions d’emplois, soit constituer une opportunité pour allouer de nouveaux moyens à des tâches plus essentielles ».

Une administration française en retard

Dans leur rapport, les députés notent « un contraste marqué dans les approches entre les représentants d’entreprises et les administrations ». Si les « les premiers semblent déjà envisager un avenir où l’IAG transformera radicalement l’économie », de leur côté, les administrations sont « attentistes ». Excepté la CNIL, les administrations ont ainsi « manifesté peu d’enthousiasme » pour contribuer à la mission d’information, « leurs réponses aux questionnaires étaient plutôt convenues et leur réflexion sur les impacts de l’IAG en est encore à ses prémices ».

Notable exception : la gendarmerie nationale, qui a développé ses propres outils d’IA générative. En s’appuyant sur ses bases de données, « elle a mené un travail d’apprentissage de systèmes d’IA, visant à détecter le détournement des IAG à des fins délictuelles ou criminelles. Elle dispose ainsi, par exemple, d’un logiciel de détection des hypertrucages (deepfakes) ». L’IAG est également utilisée comme une technique d’enquête, pour vieillir ou rajeunir des portraits de personnes recherchées.

Le rapport note que le ministère de la Justice a également engagé des réflexions pour recourir davantage à l’IA dans ses logiciels de rapprochement, qui permettent de faire des liens entre différentes affaires. Elle pourrait aussi être utilisée par les magistrats comme aide à la décision, même si une précédente expérimentation avait donné des résultats décevants.

Une régulation européenne

Les élus français sont souvent convaincus que seule notre législation nationale peut réguler le numérique, comme l’ont montré les navrants débats sur la loi SREN. Au contraire, les deux rapporteurs sont revenus de Bruxelles « convaincus que les défis de l’IAG sont mondiaux et devaient donc être traités tant à l’échelle européenne qu’à l’échelle nationale ».

Pour les deux députés, « le défi de la régulation à venir sera de parvenir à encadrer les usages de l’IAG », « sans entraver l’innovation et l’émergence de nouveaux acteurs, français ou européen ». Les rapporteurs notent que la Chine a adopté une régulation beaucoup plus dirigiste, obligeant ainsi les développeurs à inscrire leur système d’IAG à un registre des algorithmes.

Le rapport revient sur les différents textes européens. Ceux qui s’appliquent déjà (RGPD, DSA/DMA, Data Act) étant insuffisants pour couvrir l’ensemble des problèmes, un règlement sur l’IA est en cours de négociation. Le compromis trouvé en décembre 2023 entre le Parlement européen et le Conseil prévoit une gradation de la régulation en fonction du risque et de l’impact des systèmes d’IA.

• • AI Act : les États européens votent le texte à l’unanimité

Les systèmes à risque inacceptable (notation sociale) seraient interdits. Les systèmes à haut risque seraient évalués avant leur mise sur le marché et inscrits dans une base de données relevant de l’UE. Les systèmes à risque limité (chatbots) seraient soumis à des obligations allégées de transparence. Les IA à risque minimal ou nul (jeux vidéos, filtres anti-spam) seraient libres.

Toutefois, certain États-membres, dont la France, « souhaitent revoir certains points afin de ne pas priver leurs administrations de l’opportunité d’utiliser l’intelligence artificielle dans le cadre de certaines politiques publiques, notamment en matière fiscale ou de sécurité ». Pour, par exemple, détecter des contenus à caractère discriminatoire ou pédopornographique.

Dans leur rapport, les députés critiquent la volonté d’un trop fort contrôle de l’IA, qui freinerait l’émergence de nouveaux acteurs. Ils recommandent donc de prendre en compte l’audience des IAG afin d’encourager l’innovation. Ils craignent également qu’une trop forte régulation aboutisse à la création de « paradis de données » en dehors de l’Union. À ce titre, il regrette d’ailleurs la décision d’adéquation de la législation américaine au RGPD rendue par la Commission européenne en juillet 2023.

Mais pour les députés, la régulation ne suffit pas. Ils plaident en faveur d’obligation d’investissement des grands groupes, voire d’un « Airbus de l’IA » avec la création d’une société européenne à capitaux partiellement publics, venant des États volontaires.

Une CNIL transformée

Pour ce est qui de la régulation au niveau français, plus que l’Arcom, actuellement compétente pour réguler les plateformes, les deux députés misent sur la CNIL. Les données personnelles occupent une place centrale sur les questions d’IAG. Aujourd’hui, « seule la CNIL dispose de l’expertise et de l’expérience nécessaires pour évaluer le respect du RGPD par les modèles d’IAG ».

• • La CNIL pousse son expertise sur les enjeux de protection des données personnelles liés à l’IA

Par ailleurs, l’autorité est allante sur le sujet, ayant « déjà adopté une démarche aidante pour le développement de l’IAG en France, en apportant aux entrepreneurs les clarifications nécessaires pour l’interprétation d’une réglementation complexe en matière de protection des données ». Ils souhaiteraient donc transformer la CNIL en une « Haute autorité en charge de la protection des données et du contrôle de l’IA générative ».

Une évolution qui, pour les députés, nécessitera de renforcer les moyens et d'aller au-delà de l'équipe actuelle de cinq experts dédiés à l'IA.

Pour suivre les discussions internationales, ils suggèrent la nomination d’un ambassadeur à l’IAG. Sur le droit pénal, le ministre de la Justice considère que l’arsenal actuel est suffisant pour appréhender l’utilisation détournée des contenus produits par les IAG. Mais les deux députés veulent aller plus loin et adapter plusieurs délits.

Ainsi, l’utilisation de l’IAG pourrait devenir une circonstance aggravante, et un délit spécifique pourrait punir les deepfakes réalisés sans le consentement de la personne ou le fait d’empoisonner des données d’entraînement d’une IA générative.

• • IA générative : l’Autorité de la concurrence s’autosaisit et lance une consultation

• • L’IA générative dans le jeu vidéo : des PNJ plus malins que nous ?