La Cnil et l’IA : comprendre, accompagner et contrôler

La Commission nationale de l’informatique et des libertés (Cnil) n’a pas attendu l’arrivée de ChatGPT, fin 2022, pour conduire des travaux sur l’intelligence artificielle. Elle est en effet sollicitée depuis des années sur la mise en œuvre de traitement de données personnelles impliquant des technologies d’IA. Cela se traduit dans de très nombreux domaines : diagnostic médical, tri de CV, caméras augmentées… Mais avec l’IA générative, un nouveau palier a été franchi grâce à la combinaison de deux facteurs : l’accès à des volumes massifs de données et la puissance de calcul des ordinateurs.

« Si l’intelligence artificielle générative est encensée par certains, elle est aussi, de façon parfois véhémente, critiquée par d’autres. La Cnil a ainsi été récemment sollicitée sur l’enjeu de l’utilisation des données de ce que je pourrais appeler les “acteurs de la voix”, c’est-à-dire les doubleurs, notamment pour l’entraînement des systèmes d’IA. C’est un dossier qui illustre bien la complexité de la régulation en ce qu’elle nécessite d’articuler protection des données personnelles, droit au travail, propriété littéraire et artistique, et droit d’entreprendre », déclare Marie-Laure Denis, présidente de la Cnil.

Comprendre une technologie majeure, non exempte de défaillances

Les inquiétudes exprimées traduisent, comme pour toute nouvelle technologie majeure, la nécessité de créer les conditions d’une utilisation qui soit éthique, responsable et respectueuse des valeurs européennes. « Pour relever ce défi, nous avons mis en place un plan d’action qui doit nous permettre de comprendre le fonctionnement des systèmes d’IA et leurs impacts sur les personnes, de clarifier le cadre légal pour donner de la visibilité aux acteurs du secteur et aux utilisateurs, tout en contrôlant les modalités de mise en œuvre de cette technologie pour protéger tant les personnes physiques que morales des risques qu’elle emporte », complète Marie-Laure Denis.

Le premier pilier de ce plan d’action consiste donc à « comprendre ». Il s’agit pour la Cnil d’un prérequis d’autant plus crucial que les systèmes d’IA sont sujets à des défaillances et à des attaques ou peuvent avoir des conséquences encore insoupçonnées sur les individus ou sur la société. « Étant donné la complexité des systèmes utilisant l’intelligence artificielle, les sources d’erreurs et de biais peuvent être multiples. Elles peuvent intervenir dès la conception, en raison du manque de représentativité dans les données d’entraînement. Ces erreurs peuvent également résulter des conditions d’utilisation. Par exemple, un système de détection d’incivilités par vidéosurveillance pourra être sujet à plus d’erreurs s’il est déployé sur un parc de caméras dont la résolution est insuffisante », note la présidente de la Cnil.

Là où les systèmes d’intelligence artificielle se distinguent des systèmes informatisés plus classiques, c’est dans les difficultés que pose l’identification du problème, en raison de leur nature statistique. C’est tout l’enjeu de l’explicabilité des décisions proposées ou réalisées par l’IA. « Pour répondre à ces enjeux de compréhension, j’ai créé en 2023 un service dédié à l’intelligence artificielle au sein de la Cnil. Il est actuellement composé de juristes, d’ingénieurs et d’analystes en IA qui développent une expertise pluridisciplinaire. Ce service organise un dialogue régulier avec les fournisseurs de solutions d’IA dans tous les domaines d’application afin de renforcer son expertise et de la diffuser dans tous les services de la Cnil », explique Marie-Laure Denis.

Accompagner le marché en clarifiant le cadre légal

Le deuxième axe du plan d’action mise en œuvre par Marie-Laure Denis et ses équipes est l’accompagnement, qui passe notamment par une clarification du cadre légal. Cette démarche concerne les entreprises, les administrations et les citoyens. Elle doit leur permettre de s’approprier le nouveau cadre légal conçu par le législateur, sous l’impulsion du commissaire européen au Marché intérieur, Thierry Breton.

« En avril 2021, la Commission européenne a fait une proposition de règlement (AI Act) qui précise de nouvelles règles pour veiller à ce que les systèmes d’intelligence artificielle utilisés dans l’Union européenne soient le plus sûrs possible, transparents, éthiques, impartiaux et sous contrôle humain. À l’issue des travaux législatifs, les institutions européennes ont convergé vers une classification des systèmes d’IA en fonction de leur niveau de risque. S’ajoute à cela un encadrement des modèles d’IA à usage général, qui concerne tout particulièrement l’IA générative, par exemple à travers une transparence sur les données d’entraînement », rappelle Marie-Laure Denis.

L’AI Act est désormais en voie d’achèvement. Le Parlement européen et le Conseil devraient l’adopter formellement dans les semaines qui viennent. Pour autant, le règlement sur l’intelligence artificielle ne sera applicable que deux ans après son entrée en vigueur. Cette période de transition est nécessaire pour permettre aux acteurs concernés de s’adapter. « Malgré tout, les dispositifs d’IA sont déjà utilisés en partie au quotidien. Et les organismes utilisateurs comme les citoyens ont déjà des questions pratiques qui ne peuvent attendre. C’est pourquoi la Cnil se mobilise et essaye d’apporter des réponses concrètes aux entreprises qui utilisent l’IA ainsi qu’aux citoyens qui disposent de droits sur leurs données, droits issus principalement du RGPD », détaille la présidente de la Cnil.

Un accompagnement qui cible les entreprises les plus innovantes

La stratégie d’accompagnement de la Cnil s’oriente notamment vers les entreprises les plus innovantes en la matière. Par exemple, la Commission nationale de l’informatique et des libertés a lancé une offre d’accompagnement dite renforcée qui l’a conduite à sélectionner trois entreprises du numérique à fort potentiel, dont la société française Hugging Face, éditrice d’une plateforme open source de ressources en intelligence artificielle. 

La Cnil offre en parallèle un accompagnement sur mesure aux fournisseurs de vidéosurveillance augmentée dont les solutions permettent de détecter des comportements suspects, comme une voiture qui arriverait en sens inverse et déclencherait un mouvement de foule. « Nous avons accompagné les fournisseurs de caméras augmentées dans le cadre de l’expérimentation prévue par la loi relative aux Jeux olympiques et paralympiques », note Marie-Laure Denis.

Enfin, à l’issue d’une phase de concertation et de consultation publique, la Cnil a publié sept fiches pratiques relatives à la constitution de bases de données d’apprentissage. Objectif : aider les acteurs à prendre en compte le RGPD. Ce premier lot de fiches sera enrichi d’ici l’été 2024 par un deuxième lot portant sur le développement des systèmes d’IA. « Tous ces travaux poursuivent le même objectif : favoriser les systèmes compatibles avec les valeurs européennes sans entraver l’innovation et l’émergence de nouveaux acteurs français ou européens », commente Marie-Laure Denis.

La compréhension et la clarification n’excluent pas le contrôle

Les phases de compréhension des technologies d’IA et d’accompagnement des organisations ne sont cependant pas suffisantes. « La régulation implique également de disposer d’une capacité à contrôler les technologies d’intelligence artificielle. Pour cela, la Cnil doit disposer de moyens, développer une expertise particulière et définir une méthodologie. Il nous faut aussi un outillage permettant d’auditer les systèmes d’IA, tant a priori qu’a posteriori », avance la présidente de la Cnil.

Si l’on prend l’exemple des IA génératives comme ChatGPT, les investigations doivent se dérouler à trois niveaux. D’abord au niveau de l’application, c’est-à-dire de la couche « tchat » à partir de laquelle les utilisateurs interagissent avec les systèmes d’IA. Il s’agit de s’assurer que les utilisateurs sont informés de la façon dont les données qu’ils soumettent sont traitées. 

« Nous devons notamment vérifier que les personnes concernées par les données des bases, même si elles sont disponibles sur Internet, peuvent exercer leurs droits d’accès, de rectification et de suppression », précise Marie-Laure Denis. Enfin, les investigations se déroulent au niveau du modèle sous-jacent. Il s’agit de la couche « GPT », partie la plus complexe à mettre en œuvre pour les modèles déjà entraînés, du fait des milliards de paramètres appris à partir de centaines de millions de textes issus de sources diverses. 

« Les droits d’accès et d’opposition à l’utilisation de ces données doivent trouver une traduction concrète et c’est bien sûr un véritable défi. Les questions abondent donc et la coordination au niveau européen est essentielle. Pour la favoriser, le Comité européen de la protection des données (CEPD), qui réunit les Cnil européennes, a initié plusieurs travaux sur les IA génératives », souligne Marie-Laure Denis.

La Cnil, organe de régulation incontournable de l’IA
Pour finir sur le sujet de la régulation de l’IA, la présidente de la Cnil a évoqué la question de la gouvernance pour l’application de l’AI Act. « La très forte adhérence entre la régulation des systèmes d’IA et celle des données, en particulier des données à caractère personnel, plaide pour que la Cnil ait un rôle important à jouer dans la régulation de ces systèmes. J’ajoute que la réalité du terrain confirme un peu plus chaque jour que la Cnil est et sera incontournable dans la régulation de l’IA, de ses algorithmes et du règlement sur l’intelligence artificielle, complétant un RGPD qui continue à s’appliquer dans toutes ses dimensions », conclut Marie-Laure Denis.