La CNIL pousse son expertise sur les enjeux de protection des données personnelles liés à l’IA

Alors qu'Elisabeth Borne vient de nommer un nouveau « comité de l’intelligence artificielle », la présidente de la CNIL, Marie-Laure Denis, donnait, le 11 septembre devant la Commission des lois de l’Assemblée nationale, le regard de son institution sur les enjeux de protection des données personnelles. Elle a plaidé pour un rôle important de la CNIL dans la régulation de ces systèmes.

Mardi 19 septembre au soir, Matignon annonçait la création du « premier comité de l’intelligence artificielle » pour répondre aux « très nombreuses questions, notamment dans les domaines de l’éthique, de l’économie, de la productivité, du travail, de l’organisation des entreprises ou encore sur les souverainetés industrielle et numérique des états ».

Ce comité, co-présidé par l'économiste Philippe Aghion (et ancien conseiller du candidat Emmanuel Macron en 2017) et la présidente du conseil d’administration de l'ENS Anne Bouverot, réunit des noms très connus dans le milieu comme Yann Le Cun, scientifique en chef IA chez Meta, Joëlle Barral, directrice scientifique chez Google, Luc Julia, directeur scientifique du groupe Renault, Bernard Charlès, Directeur général de Dassault Systèmes, Cédric O, ancien Secrétaire d’État au Numérique ou encore Isabelle Ryl, directrice du Paris Artificial Intelligence Research Institute d'INRIA.

Les membres de ce comité devront présenter « des propositions concrètes – d’ici 6 mois – afin d’adapter notre stratégie nationale », explique Matignon.

Mais des institutions existantes ont déjà donné leur avis sur le sujet. Le Comité national pilote pour l’éthique du numérique a rendu son rapport (dont les trois co-rapporteurs, Raja Chatila, Laurence Devillers et Alexei Grinbaum n'ont rien à envier aux personnalités précédemment citées) en juillet dernier.

• Le Comité national pilote pour l’éthique du numérique donne 22 préconisations sur l'IA générative

La présidente de la CNIL, Marie-Laure Denis, a été consultée par la Commission des lois de l’Assemblée nationale le 11 septembre. Si cet entretien avec les élus s'est effectué à huis clos, la CNIL a mis en ligne [PDF] le propos liminaire que sa présidente avait préparé et qui brosse son regard sur le sujet de la régulation de l'intelligence artificielle. Elle y plaide « pour que la CNIL ait un rôle important à jouer dans la régulation de ces systèmes ».

Comprendre le fonctionnement pour bien réguler

Selon Marie-Laure Denis, « il nous faut d’abord comprendre le fonctionnement d’une IA car on ne peut bien réguler un objet que [si on le ] comprend. Cette connaissance des systèmes d’IA est d’autant plus cruciale que ces systèmes sont sujets à des défaillances, à des attaques, ou peuvent avoir des impacts encore insoupçonnés sur les individus et sur la société ».

Elle appuie sur ce besoin de compréhension de leur fonction « d’autant plus cruciale que ces systèmes sont sujets à des défaillances, à des attaques, ou peuvent avoir des impacts encore insoupçonnés sur les individus et sur la société » et sur « les sources d’erreur et de biais [qui] peuvent être multiples » étant donné la complexité de ces systèmes.

Marie-Laure Denis a expliqué aux députés que ces erreurs peuvent venir soit de la conception en raison d’un manque de représentativité dans les données d’entrainement, soit des conditions d'utilisation comme la qualité des données fournies.  « Par ailleurs, comme tout système complexe, les systèmes d’intelligence artificielle ne sont pas exempts des défaillances classiques des systèmes informatiques qui peuvent intervenir sur les infrastructures physiques où sont réalisés les calculs, lors de la communication d’information, ou encore à cause d’une erreur humaine » a-t-elle rajouté.

Mais la présidente de la CNIL insiste sur la différence avec d'autres systèmes informatiques : « Là où les systèmes d’intelligence artificielle se distinguent de systèmes informatisés plus classiques, c’est dans les difficultés que pose l’identification du problème, à nouveau en raison de leur nature statistique : c’est l’enjeu d’explicabilité des décisions proposées ou faites par l’IA ».

Émergence d'un cadre légal

Mais pour Marie-Laure Denis, « aujourd’hui, le stade de l’identification des difficultés juridiques et éthiques semble dépassé ». La présidente de l'autorité rappelle d'ailleurs qu'au jeu des rendus de rapports, la CNIL s'est saisie dès 2017 du sujet de l'IA « au service de l'homme ». Elle insiste pour passer à l'étape d'après et « l’émergence d’un cadre légal et opérationnel permettant à l’innovation de se déployer dans le respect des libertés publiques et individuelles ».

Elle rappelle d'ailleurs que la Commission européenne a déjà entamé le chantier dès 2021 en proposant un règlement sur le sujet, dont la phase d'adoption progresse. Elle a expliqué aux députés français qu'« à ce stade, les institutions européennes convergent sur une classification des systèmes de l’IA en fonction de leur niveau de risque. En pratique, les systèmes sont classés comme inacceptables, à haut risque, risque limité et risque minimal en fonction de leurs caractéristiques et finalités ».

• Intelligence artificielle : la Commission européenne dégaine son projet de directive sur la responsabilité
• AI Act : intenses débats en perspective

Mais Marie-Laure Denis a ajouté que « si ce règlement peut être adopté avant la fin de cette année, il ne s’appliquera au mieux qu’en 2025 ». La présidente de la CNIL explique donc qu'en attendant cette date, son institution a mis en place un plan d'action (que nous avons déjà détaillé en mai dernier) qui se concentre surtout sur l'accompagnement plutôt que sur le contrôle.

• IA et respect de la vie privée : la CNIL veut accompagner avant de contrôler

Demande de moyens pour auditer et contrôler

Si ce plan d'action ne se concentre pas sur le contrôle, c'est peut-être que la CNIL manque de moyens pour le mettre en place. En tout cas, c'est en creux ce que l'on peut comprendre quand la présidente de l'autorité explique aux députés que pour avoir « une capacité à auditer les technologies d’IA en concevant des méthodologies d’audit et de contrôle des systèmes pour assurer le respect de la vie privée [...] il faut disposer de moyens, développer une expertise particulière et définir une méthodologie. Il nous faut un outillage permettant d’auditer les systèmes d’IA, tant a priori qu’a posteriori ».

Prenant l'exemple des IA génératives, elle explique que son institution doit pouvoir dérouler les investigations sur les trois niveaux que sont l'application, la base de données d'entraînement et le modèle lui-même.

Elle insiste aussi pour qu'il y ait une vraie coordination au niveau européen et rappelle le groupe de travail lancé par le Comité européen de la protection des données (CEPD) en avril dernier.

Marie-Laure Denis insiste pour que la CNIL prenne une place importante dans la régulation de ces systèmes en appuyant sur « la très forte adhérence entre la régulation des systèmes d’IA et celle des données, en particulier des données à caractère personne ».

Avec la création de plusieurs comités par le gouvernement, il est effectivement difficile de savoir si les institutions comme la CNIL auront réellement leur place dans la confection de cette régulation et si la présidente de la CNIL a des raisons de s'inquiéter d'une possible éviction de son institution, alors que le sujet touche aussi beaucoup d'enjeux industriels.