Intelligence artificielle : le plan d'action de la CNIL

Intelligence artificielle : le plan d’action de la CNIL

Posted On: mars 17, 2024

Face à l’actualité récente sur l’intelligence artificielle, et notamment les IA dites génératives comme ChatGPT, la CNIL publie un plan d’action pour le déploiement de systèmes d’IA respectueux de la vie privée des individus.

L’essentiel est :

La CNIL mène depuis plusieurs années un travail pour anticiper et répondre aux problématiques soulevées par l’IA.
En 2023, elle étendra son action sur les caméras augmentées et souhaite étendre ses travaux aux IA génératives, aux grands modèles de langage et aux applications dérivées (notamment les chatbots).
Son plan d’action s’articule autour de quatre volets :
- comprendre le fonctionnement des systèmes d’IA et leur impact sur les personnes ;
- permettre et guider le développement d’une IA respectueuse de la vie privée ;
- fédérer et accompagner les acteurs innovants de l’écosystème de l’IA en France et en Europe ;
- auditer et contrôler les systèmes d’IA et protéger les personnes.
Ces travaux permettront également de préparer l’entrée en application du projet de règlement européen sur l’IA, actuellement en discussion.

La protection des données personnelles, un enjeu fondamental dans le développement de l’IA

Le développement de l’IA s’accompagne d’enjeux en matière de protection des données et des libertés individuelles auxquels la CNIL s’efforce de répondre depuis plusieurs années déjà. Depuis la publication en 2017 de son rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle, la CNIL s’est prononcée à plusieurs reprises sur les enjeux soulevés par les nouveaux outils apportés par cette nouvelle technologie.

En particulier, l’intelligence artificielle générative (voir encadré ci-dessous) se développe rapidement depuis plusieurs mois, que ce soit dans le domaine du texte et de la conversation, via les grands modèles de langage (LLM).etc. anglais), comme GPT-3, BLOOM ou Megatron NLG et les chatbots dérivés (ChatGPT ou Bard), mais aussi dans ceux de l’imagerie (Dall-E, Midjourney, Stable Diffusion, etc.) ou de la parole (Vall-E).

Ces fondationsdes modèles et les briques technologiques qui s’appuient sur elles semblent déjà trouver de nombreux cas d’application dans des secteurs variés. Néanmoins, la compréhension de leur fonctionnement, de leurs possibilités et de leurs limites, ainsi que les questions juridiques, éthiques et techniques entourant leur développement et leur utilisation restent largement débattues.

Étant donné que la protection des données personnelles est un enjeu majeur pour la conception et l’utilisation de ces outilsla CNIL publie son plan d’action sur l’intelligence artificielle, qui vise — entre autres — à encadrer le développement de l’IA générative.

Qu’est-ce que l’IA générative ?

L’intelligence artificielle générative est un système capable de créer du texte, des images ou d’autres contenus (musique, vidéo, voix, etc.) à partir des instructions d’un utilisateur humain. Ces systèmes peuvent produire du nouveau contenu à partir des données de formation. Leurs performances se rapprochent désormais de certaines productions réalisées par des personnes en raison de la grande quantité de données qui ont été utilisées pour leur formation. Cependant, ces systèmes nécessitent que l’utilisateur précise clairement ses requêtes afin d’obtenir les résultats attendus. Un véritable savoir-faire se développe donc autour de la composition des requêtes des utilisateurs (ingénierie rapide).

Par exemple, l’image ci-dessous, intitulée « Space Opera Theatre », a été générée par l’utilisateur Jason M. Allen à l’aide de l’outil Midjourney sur la base d’une instruction textuelle décrivant ses attentes (décor théâtral, toges, inspirations picturales, etc.).

Crédit : Jason M. Allen (2022), Licence CCo

Un plan d’action en quatre volets

Depuis plusieurs années, la CNIL mène des travaux visant à anticiper et répondre aux enjeux posés par l’intelligence artificielle, ses différentes déclinaisons (classification, prédiction, génération de contenus, etc.) et ses différents cas d’usage. C’est nouveau un service d’intelligence artificielle sera dédié à ces problématiques, et viendra en support d’autres services de la CNIL qui utilisent également ces algorithmes dans de nombreux contextes.

Face aux enjeux liés à la protection des libertés, à l’accélération de l’IA et à l’actualité liée à l’IA générative, la régulation de l’intelligence artificielle est au centre de l’action de la CNIL.

Cette réglementation est structurée autour quatre objectifs :

Comprendre le fonctionnement des systèmes d’IA et leurs impacts sur les personnes
Permettre et guider le développement d’une IA respectueuse des données personnelles
Fédérer et accompagner les acteurs innovants de l’écosystème de l’IA en France et en Europe
Auditer et contrôler les systèmes d’IA et protéger les personnes

Comprendre le fonctionnement des systèmes d’IA et leurs impacts sur les personnes

Les techniques innovantes utilisées pour la conception et le fonctionnement des outils d’IA soulèvent de nouvelles questions en matière de protection des données, notamment :

l’équité et la transparence des traitements de données sous-tendant le fonctionnement de ces outils ;
la protection des données accessibles au public sur le Web contre l’utilisation du grattage, ou grattage de données pour la conception d’outils ;
la protection des données transmises par les utilisateurs lorsqu’ils utilisent ces outils, depuis leur collecte (via une interface) jusqu’à leur éventuelle réutilisation et leur traitement grâce à des algorithmes de machine learning ;
les conséquences sur les droits des personnes physiques sur leurs donnéestant par rapport à ceux collectés pour l’apprentissage des modèles que ceux qui peuvent être fournis par ces systèmes, comme les contenus créés dans le cas de l’IA générative ;
la protection contre les préjugés et la discrimination cela peut arriver ;
les défis sécuritaires sans précédent de ces outils.

Ces aspects constitueront un des axes de travail prioritaires du Service Intelligence Artificielle et du Laboratoire d’Innovation Numérique (LINC) de la CNIL.

Dossier dédié

Afin de mettre en lumière certaines de ces problématiques propres à l’IA générative, le Laboratoire d’Innovation Numérique de la CNIL (LINC) a publié et un dossier qui leur est dédié. Ce fichier se compose de quatre éléments :

détaille le fonctionnement technique des agents conversationnels récents et rappelle la place centrale des données pour la création des modèles de fondation sous-jacents ;
expose différentes questions juridiques soulevées par la conception de ces modèles, tant en matière de propriété intellectuelle qu’en matière de protection des données ;
précise les enjeux éthiques des IA génératives pour la fiabilité des informations, les usages malveillants et les voies de détection et d’alerte du public de la présence de contenus ainsi générés ;
illustre par différentes expérimentations les usages positifs ou négatifs qui peuvent être faits de ces outils.

Ce dossier complète les ressources proposées par la CNIL sur son site internet à destination des professionnels et du grand public.

Permettre et guider le développement d’une IA respectueuse des données personnelles

De nombreux acteurs ont fait part à la CNIL des incertitudes entourant l’application du RGPD à l’IA, notamment pour la formation à l’IA générative.

Afin d’accompagner les acteurs dans le domaine de l’intelligence artificielle et de préparer l’entrée en vigueur du Règlement européen IA (qui est en discussion au niveau européen et sur lequel la CNIL et ses homologues européens avaient publié un avis en 2021), la CNIL propose déjà :

Elle poursuit son œuvre doctrinale et publiera prochainement plusieurs documents. Ainsi:

la CNIL va prochainement soumettre à consultation un guide sur les règles applicables au partage et à la réutilisation des données. Ces travaux incluront la problématique de la réutilisation de données librement accessibles sur internet et désormais utilisées pour l’apprentissage de nombreux modèles d’IA. Ce guide sera donc pertinent pour certains traitements de données nécessaires à la conception de systèmes d’IA, notamment les IA génératives.
il poursuivra également ses travaux sur la conception de systèmes d’IA et la création de bases de données pour l’apprentissage automatique. Ceux-ci donneront lieu à plusieurs publications dès l’été 2023, suite à la consultation déjà organisée avec plusieurs acteurs, afin d’apporter des recommandations concrètes, notamment en ce qui concerne la conception de systèmes d’IA tels que ChatGPT. Les thèmes suivants seront progressivement abordés :
- l’utilisation du système de recherche scientifique pour la constitution et la réutilisation de bases de données de formation ;
- l’application du principe de finalité aux IA à usage général et aux modèles de base tels que les grands modèles de langage ;
- l’explication du partage des responsabilités entre les entités qui composent les bases de données, celles qui élaborent des modèles à partir de ces données et celles qui utilisent ces modèles ;
- les règles et bonnes pratiques applicables à la sélection des données pour la formation, au regard des principes d’exactitude et de minimisation des données ;
- la gestion des droits des personnes physiques, notamment les droits d’accès, de rectification et d’opposition ;
- les règles applicables en matière de durée de conservation, notamment pour les bases de formation et les modèles les plus complexes à utiliser ;
enfin, conscient que les enjeux soulevés par les systèmes d’intelligence artificielle ne s’arrêtent pas à leur conception, la CNIL poursuit également sa réflexion éthique sur l’utilisation et le partage de modèles de machine learning, la prévention et la correction des biais et discriminations, ou encore la certification des systèmes d’IA.

Fédéral et accompagner les acteurs innovants de l’écosystème de l’IA en France et en Europe

Le règlement IA de la CNIL vise à faire émerger, promouvoir et aider les acteurs prospères dans un cadre fidèle aux valeurs de protection des droits et libertés fondamentaux français et européens. Cet accompagnement, déjà engagé, prend trois formes :

depuis deux ans, la CNIL a lancé un bac à sable pour soutenir des projets et des acteurs innovants, ce qui l’a amené à se concentrer sur des projets basés sur l’IA. Les « bacs à sable » sur la santé en 2021 (12 projets accompagnés) et sur l’éducation en 2022 (10 projets accompagnés) ont ainsi permis d’apporter des conseils personnalisés aux acteurs innovants de l’IA dans ces domaines. La CNIL ouvrira prochainement un nouvel appel à projets pour l’édition 2023[which will concern in particular the use of artificial intelligence in the public sector];
elle a lancé un programme spécifique de soutien aux prestataires de vidéosurveillance « renforcée » dans le cadre de l’expérimentation prévue dans le Loi sur l’Olympisme et Jeux Paralympiques de 2024;
enfin, la CNIL a ouvert en 2023 un nouveau programme « accompagnement renforcé » pour accompagner les entreprises innovantes dans leur mise en conformité avec le RGPD : les premiers gagnants de cet accompagnement renforcé sont les entreprises innovantes dans le domaine de l’IA.

Plus généralement, la CNIL souhaite engager un dialogue soutenu avec les équipes de recherche, les centres de R&D et les entreprises françaises développant, ou souhaitant développer, des systèmes d’IA dans une logique de respect des règles de protection des données personnelles.

Ces équipes et entreprises peuvent contacter la CNIL à ia@cnil.fr.

Auditer et contrôler les systèmes d’IA et protéger les personnes

La définition du cadre de développement des systèmes d’intelligence artificielle dans le respect des droits et libertés individuels implique, en aval, que la CNIL en contrôle le respect. Il est donc essentiel que la CNIL développe un outil permettant d’auditer a priori et a posteriori les systèmes d’IA qui lui sont soumis.

L’action de contrôle de la CNIL portera notamment en 2023 sur :

le respect des position sur l’utilisation de la vidéo « améliorée » surveillance, publiée en 2022, par des acteurs publics et privés ;
l’utilisation de l’intelligence artificielle dans la lutte contre la fraudepar exemple dans la lutte contre la fraude aux assurances sociales, au vu des enjeux liés à l’utilisation de tels algorithmes ;
l’instruction des réclamations déposées auprès de la CNIL. Si le cadre juridique de la formation et de l’utilisation des IA génératives nécessite une clarification sur laquelle la CNIL va travailler, des plaintes ont déjà été déposées. La CNIL a notamment reçu plusieurs plaintes contre la société OpenAI qui gère le service ChatGPT, et a ouvert une procédure de contrôle. En parallèle, un groupe de travail dédié a été créé au sein du Comité européen de la protection des données (CEPD)assurer une approche coordonnée des autorités européennes et une analyse harmonisée des traitements de données mis en œuvre par l’outil OpenAI.

La CNIL portera une attention particulière à ce dont disposent les acteurs traitant des données personnelles en vue de développer, former ou utiliser des systèmes d’intelligence artificielle :

réalisé une évaluation d’impact sur la protection des données (DIA) pour documenter les risques et prendre des mesures pour les réduire ;
prendre des mesures pour informer les gens;
mesures prévues pour l’exercice des droits des personnes adaptées à ce contexte particulier.

Grâce à ce travail collectif et indispensable, la CNIL souhaite établir des règles claires protégeant les données personnelles des citoyens européens afin de contribuer au développement de systèmes d’IA respectueux de la vie privée.

Léopold Moulin

« Analyste de longue date. Passionné de cuisine subtilement charmant. Introverti. Accro aux médias sociaux. Lecteur. Pionnier général de la télévision. Étudiant. Future idole des adolescents. »