Autorités administratives indépendantes : des expertises diversifiées sur les systèmes algorithmiques
Les systèmes d'intelligence artificielle sont un enjeu de société nécessitant une forte expertise pluridisciplinaire et transversale. Le 23 janvier 2023, la CNIL a annoncé la création d’un service de l’intelligence artificielle pour renforcer son expertise sur ces systèmes et sa compréhension des risques pour la vie privée tout en préparant l’entrée en application du règlement européen sur l’IA. Par ailleurs, la CNIL a annoncé qu’elle proposera ses premières recommandations sur le sujet des bases de données d’apprentissage dans les prochaines semaines. Cette annonce s’inscrit dans une dynamique de spécialisation des autorités administratives indépendantes sur les enjeux numériques.
L’intelligence artificielle : un enjeu de société nécessitant une expertise pluridisciplinaire
Comme indiqué par la CNIL, "l’intelligence artificielle connaît des avancées technologiques spectaculaires, permettant d'assister l’humain dans de très nombreuses tâches. Dans le secteur privé, elle est vue comme un facteur d’optimisation des performances et de la rentabilité, tandis que son utilisation dans les administrations pourrait permettre d’améliorer la qualité du service public rendu à l’usager. L’usage de cette technologie concerne ainsi tous les acteurs, quels que soient leurs domaines d’activité ou leur taille. Par ricochet, toute personne y est forcément directement ou indirectement confrontée à un moment ou un autre ; par exemple, à l’occasion de l’utilisation d’un assistant vocal, d’un processus de sélection des candidatures à un emploi ou en matière de lutte contre la fraude fiscale". Dans son étude "IA et action publique : construire la confiance, service la performance", le Conseil d’État avait notamment préconisé de doter la France des ressources humaines et techniques et de la gouvernance adaptées afin de conduire une stratégie de l’intelligence artificielle publique. Une des priorités identifiées par le Conseil d’État était en effet de former les dirigeants publics, de recruter des experts des données mais aussi de se doter des ressources techniques nécessaires. Un assouplissement du cadre juridique, notamment du partage de données au sein des administrations, devrait aussi être examiné. L’étude préconisait également une transformation profonde de la CNIL en autorité de contrôle nationale responsable de la régulation des systèmes d’IA, notamment publics, pour incarner et internaliser le double enjeu de la protection des droits et libertés fondamentaux, d’une part, et de l’innovation et de la performance publique, d’autre part. Il met aussi en avant l’importance pour la CNIL de jouer un rôle d’autorité de coordination et de supervision, en fonction des dispositions du futur règlement européen, et ainsi d’assurer le maillage d’un vaste réseau d’institutions publiques allant des autorités de surveillance de marché aux régulateurs sectoriels.
⇒ Pour en savoir plus : « IA et action publique : construire la confiance, servir la performance » - Étude à la demande du Premier ministre
La CNIL : une autorité administrative indépendante active sur les enjeux de l'intelligence artificielle
Création d’un service de l’intelligence artificielle (SIA) au rôle transversal
Un service de l’intelligence artificielle (SIA) a été créé en janvier 2023 au sein de la CNIL et réunira cinq personnes, principalement des juristes et des ingénieurs spécialisés. Ce service sera rattaché à la direction des technologies et de l’innovation de la CNIL dont le directeur, Bertrand Pailhès, était précédemment coordonnateur national pour la stratégie d'intelligence artificielle au sein de la Direction interministérielle du numérique et du SI de l'État (DINSIC). Comme indiqué dans le communiqué de presse, quatre missions principales sont attendues de ce service :
- " faciliter au sein de la CNIL la compréhension du fonctionnement des systèmes d’IA, mais aussi pour les professionnels et les particuliers ;
- consolider l’expertise de la CNIL dans la connaissance et la prévention des risques pour la vie privée liées à la mise en œuvre de ces systèmes ;
- préparer l’entrée en application du règlement européen sur l’IA, qui est en cours de discussion au niveau européen ;
- développer les relations avec les acteurs de l’écosystème ".
En raison de sa composition pluridisciplinaire et de sa nature transversale, le SIA a vocation à travailler avec l’ensemble des directions de la CNIL. Plus particulièrement, il est indiqué que le SIA collaborera étroitement avec la direction chargée de l’accompagnement juridique notamment dans la production de « droit souple » (référentiels, recommandations, etc.) et l’instruction des demandes d’avis adressées par le gouvernement. Cette direction pourra aussi solliciter le SIA pour conseiller les acteurs publics ou privés sur des projets impliquant le recours à des systèmes d’IA d’une complexité particulière. Par ailleurs, le SIA apportera également un support dans l’instruction de plaintes et l’adoption de mesures correctrices en cas de manquements liés à l’utilisation d’un système d’IA. Ce nouveau service sera chargé de l’expertise technique de dossiers relatifs à l’intelligence artificielle comportant des aspects spécifiques à cette technologie. Il contribuera aux travaux du Comité européen de la protection des données (CEPD) et conduira également des projets d’expérimentation en lien avec le LINC.
La création de ce nouveau service s'inscrit dans une dynamique initiée dès 2017 par la CNIL sur l’intelligence artificielle comme expliqué dans un entretien croisé réalisé avec Bertrand Pailhès et Félicien Vallet.
⇒ Pour lire cet entretien : Entretien croisé avec Bertrand Pailhès et Félicien Vallet, agents de la CNIL
Lancement de travaux sur les bases de données d’apprentissage
Les systèmes d’IA, en particulier ceux reposant sur l’apprentissage automatique, nécessitent très souvent l’utilisation d’importants volumes de données personnelles pour l’entraînement des algorithmes. C’est la raison pour laquelle la CNIL lance des travaux sur les bases de données d'apprentissage qui permettront à la fois d’accompagner les professionnels et de garantir le respect des droits des personnes.
Quels sont les objectifs de ce projet ?
De nombreux organismes publics ou privés souhaitant constituer des bases de données pour l'entraînement et le développement d’IA ont fait part à la CNIL leurs interrogations sur la légalité de certains usages.
Les travaux à venir ont donc pour objet de préciser la position de la CNIL sur ce point et de promouvoir les bonnes pratiques, au titre des exigences posées par le RGPD, mais aussi dans la perspective de la proposition de règlement sur l’IA actuellement débattue au niveau européen.
La fourniture d’un cadre d’analyse de la réglementation sur la protection des données personnelles et l’apport de réponses concrètes doivent permettre aux organismes de constituer ou d’utiliser des bases de données dans le respect des droits et libertés fondamentaux des personnes.
La CNIL publiera régulièrement des outils d’accompagnement sur le sujet qui viendront compléter ses premières fiches pratiques.
Quel est le périmètre des réflexions menées ?
Le périmètre des réflexions initiées par la CNIL couvre :
- les systèmes d’IA dont le développement ou l’amélioration nécessite la constitution d’une base de données (systèmes d’apprentissage automatique et systèmes experts) ;
- la collecte de données auprès de tous types de sources (collecte de données auprès des personnes concernées, collecte de données auprès de data brokers, collecte de données en sources ouvertes, etc.) ;
- les phases du développement d’un système d’IA nécessaires à sa mise en production ou à son amélioration (conception du système, prétraitement des données, entraînement, entraînement en continu, etc.). La phase de production est donc exclue de ce projet ;
- divers usages relatifs au développement ou à l’amélioration d’un système d’IA (recherche scientifique, recherche et développement, amélioration d’un produit commercial, etc.), quelle que soit l’objectif du système d’IA en production et le régime juridique applicable au traitement (règlement général sur la protection des données (RGPD), directive « Police-Justice » et loi « Informatique et Libertés »).
En revanche, les questions ayant trait aux modèles d’IA appris à partir des données ainsi collectées, et en particulier celles concernant leur diffusion et leur réutilisation, sont exclues de ce projet et feront l’objet de travaux séparés.
Quelles seront les publications à l’issue de ce projet et les prochaines étapes ?
Les travaux de la CNIL aboutiront à l’élaboration de plusieurs publications au cours de l’année 2023 sur :
- des outils pour accompagner la constitution et l’utilisation de bases de données : ces réflexions seront menées en lien étroit avec le groupe de travail de la CNIL sur l’ouverture et le partage des données annoncé lors de l’événement air 2021 ;
- des fiches pratiques pour répondre aux situations les plus courantes rencontrées par les utilisateurs de base de données d’apprentissage (constitution d’un entrepôt, usage de données pseudonymisées, etc.).
Sur la base de son expertise existante mais aussi de rencontres avec des acteurs publics et privés sur la constitution de base de données à des fins de développement ou d’amélioration d’un système d’IA, la CNIL proposera des recommandations. Elles seront soumises à une consultation publique permettant au plus grand nombre de s’exprimer sur les outils ainsi élaborés.
La création de ce service de l’IA au sein de la CNIL s’inscrit dans un phénomène plus global de spécialisation des autorités administratives indépendantes enclenchée depuis ces dernières années.
Le phénomène de spécialisation des autorités administratives indépendantes sur le sujet de l’intelligence artificielle
Pour rappel, une autorité administrative indépendante (AAI) est une institution de l'État, dépourvue de personnalité morale mais disposant d'un pouvoir propre, chargée de l'une des trois missions suivantes : assurer la protection des droits et libertés des citoyens, veiller au bon fonctionnement de l'Administration dans ses relations avec ses administrés ou participer à la régulation de certains secteurs d'activité.
Un phénomène de spécialisation des autorités administratives indépendantes sur le numérique
L’activité législative s’intensifie sur les sujets numériques. Comme identifié par plusieurs journalistes du média Contexte, " Au fil de la promulgation des lois, les autorités administratives indépendantes ont presque toutes gagné en missions et compétences" (S. Blanc et al., “Comment les régulateurs ont mis la main sur le numérique”, contexte.fr, 14 déc. 2022).
Ce phénomène se justifie dans la mesure où les autorités administratives indépendantes répondent notamment à trois besoins : offrir une plus grande garantie d’impartialité des interventions de l’État, permettre une participation plus importante de personnes d’origines et de compétences diverses, notamment des professionnels des secteurs contrôlés et assurer une intervention de l’État rapide, adaptée à l’évolution des besoins et des marchés. Cela étant, le numérique au sens large, qui inclut les systèmes algorithmiques, ne peut être réduit à un secteur et nécessite des expertises larges et diversifiées, ce à quoi se sont employées les différentes autorités administratives françaises. Leurs compétences, complémentaires et diversifiées, semblent devenues indispensables concernant la régulation des systèmes algorithmiques.
Quelques exemples permettent d’illustrer ce constat.
- L’Autorité de la concurrence s’est par exemple dotée en janvier 2020 d’un service sur l’économie numérique. Ce service spécialisé, directement rattaché au Rapporteur général, a pour mission de développer une expertise poussée sur l’ensemble des sujets numériques et de collaborer aux investigations sur les pratiques anticoncurrentielles dans l’économie numérique. Ce service accueille des profils diversifiés (ingénieurs, juristes, économistes, spécialistes en science de la donnée).
- En septembre 2020, un Pôle d’Expertise de la Régulation Numérique a été créé par un décret du 31 août 2020. Rattaché à la Direction générale des entreprises (DGE), il constitue un centre d’expertise en science des données mobilisable par les services de l’État et les autorités administratives indépendantes le souhaitant. D’une part, il peut d’abord fournir un appui aux services ayant des compétences de régulation dans la mise en œuvre de celle-ci : dans ce cas, le cadre d’intervention est défini par des conventions qui intègrent les spécificités réglementaires de l’autorité ou administration en question, notamment concernant la capacité de collecte de données ou à faire appel à des agents extérieurs. D’autre part, il peut également apporter son expertise dans le cadre de travaux de recherche commandités par des services de l’Etat, en réalisant des études à caractère exploratoire ou scientifique : le PEReN agit alors comme un pôle de recherche. Il a notamment sur certains sujets un partenariat avec Inria (Institut national de recherche en sciences et technologies du numérique) et plus particulièrement son pôle REGALIA, spécialisé dans l’étude des algorithmes. Dans son premier rapport d’activité, le PeRen indique vouloir intégrer les réflexions sur l’IA à son périmètre, "tant la connexité est grande avec les sujets de régulation".
- L’Autorité de régulation de la communication audiovisuelle (Arcom) sera probablement désignée pour jouer le rôle de coordinateur national dans le cadre du règlement sur la législation sur les services numériques (aussi dit règlement DSA) afin de contrôler le respect de ce texte et de recevoir les plaintes à l'encontre des intermédiaires en ligne. Les différents coordinateurs nationaux devront coopérer au sein d'un "comité européen des services numériques" qui rendra des analyses, mènera des enquêtes conjointes dans plusieurs pays et émettra des recommandations sur l'application de la nouvelle réglementation. Ce comité devra notamment recommander la Commission européenne sur l'activation du mécanisme de réponse aux crises.
- L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), quant à elle, développe depuis décembre 2021 une expertise sur l’empreinte environnementale du numérique. En effet, la loi visant à renforcer la régulation environnementale du numérique lui confère un pouvoir de collecte de données relatives à l'impact environnemental du numérique. Ce texte complète la loi du 15 novembre 2021 visant à réduire l'empreinte environnementale du numérique en France dite "REEN". Un bilan de l'empreinte environnementale du secteur des communications électroniques, des terminaux et des centres de données sera désormais intégré au rapport annuel sur l'état de l'internet de l'Arcep. Cette dernière peut également infliger aux récalcitrants une amende allant jusqu’à 3 % de leur chiffre d’affaires.
- Dans son étude sur l’intelligence artificielle précitée, le Conseil d’État préconise un renforcement d’Etalab et du coordonnateur national pour l’intelligence artificielle, en lien avec l’intervention de l’Agence nationale de la cohésion des territoires, cela permettrait aussi de faire de l’État un possible prestataire de services et pourvoyeur de ressources, y compris humaines, pour les collectivités territoriales.
Le futur rôle des autorités administratives indépendantes dans la gouvernance de l’IA
Les autorités administratives françaises auront un rôle à jouer dans la gouvernance de l’intelligence artificielle. En effet, le titre VI de la proposition de règlement dite législation sur l'intelligence artificielle (aussi dit AI Act) met en place les systèmes de gouvernance au niveau de l’Union et au niveau national. Au niveau de l’Union, la proposition institue un Comité européen de l’intelligence artificielle, composé de représentants des États membres et de la Commission. Le Comité facilitera la mise en œuvre fluide, efficace et harmonisée du présent règlement en contribuant à la coopération efficace entre les autorités de contrôle nationales et la Commission et en fournissant des conseils et une expertise à la Commission. Il recensera également les meilleures pratiques et les diffusera dans les États membres.
Au niveau national, les États membres devront désigner une ou plusieurs autorités nationales compétentes et, parmi elles, l’autorité de contrôle nationale chargée de contrôler l’application et la mise en œuvre du règlement. Dans un avis sur la proposition de règlement de la Commission européenne sur l'IA, la CNIL et ses homologues ont considéré que les autorités de protection des données devraient être désignées comme autorités de contrôle national de l’intelligence artificielle.
Il est prévu que le Contrôleur européen de la protection des données agira en tant qu’autorité compétente pour la surveillance des institutions, agences et organes de l’Union lorsqu’ils relèvent du champ d’application du présent règlement.
Le titre VII de la proposition sur l’AI Act vise à faciliter le travail de suivi de la Commission européenne et des autorités nationales par la création d’une base de données à l’échelle de l’Union européenne pour les systèmes d’IA autonomes à haut risque qui soulèvent principalement des questions quant au respect des droits fondamentaux. La base de données sera gérée par la Commission européenne et alimentée par les fournisseurs de systèmes d’IA, qui seront tenus d’enregistrer leurs systèmes avant de les mettre sur le marché ou de les mettre en service d’une autre manière.
Le titre VIII dudit texte énonce les obligations en matière de surveillance et d’établissement de rapports pour les fournisseurs de systèmes d’IA en ce qui concerne la surveillance après commercialisation et l’établissement de rapports et les enquêtes sur les incidents et les dysfonctionnements liés à l’IA. Les autorités de surveillance du marché seraient aussi chargées de contrôler le marché et d’enquêter sur le respect des obligations et des exigences pour tous les systèmes d’IA à haut risque déjà mis sur le marché. Les autorités de surveillance du marché seraient investies de tous les pouvoirs qui leur sont conférés en vertu du règlement (UE) 2019/1020 sur la surveillance du marché. Le contrôle ex post de l’application devrait garantir qu’une fois le système d’IA mis sur le marché, les autorités publiques ont les pouvoirs et les ressources nécessaires pour intervenir au cas où les systèmes d’IA généreraient des risques inattendus, qui justifient une action rapide. Les autorités contrôleront également le respect par les opérateurs des obligations pertinentes qui leur incombent au titre du règlement. La proposition ne prévoit pas la création automatique d’organes ou autorités supplémentaires au niveau des États membres. Les États membres peuvent donc désigner (et s’appuyer sur l’expertise) des autorités sectorielles existantes, qu’ils investiraient également des pouvoirs de suivi et de contrôle de l’application des dispositions du règlement. Dès lors, les différentes expertises susmentionnées pourraient être mobilisées concernant l’encadrement des systèmes d’IA.
Quoiqu’il advienne, la proposition de règlement est sans préjudice du système existant et de l’attribution des pouvoirs de contrôle ex post du respect des obligations relatives aux droits fondamentaux dans les États membres. Lorsque cela est nécessaire à leur mandat, les autorités existantes de surveillance et de contrôle de l’application seront également habilitées à demander et à avoir accès à toute documentation conservée en vertu du présent règlement et, le cas échéant, à demander aux autorités de surveillance du marché d’organiser des essais du système d’IA à haut risque par des moyens techniques.