Le plan d’action de la CNIL sur l’intelligence artificielle
La CNIL a publié en mai 2023 son plan d’action afin de promouvoir le respect de la vie privée et des données personnelles dans le cadre du développement actuel des systèmes d’intelligence artificielle et plus particulièrement des IA génératives.
La CNIL a dévoilé son plan d'action sur l'intelligence artificielle, qui s'inscrit dans la droite ligne de la création en janvier 2023 de son service intelligence artificielle. Ce plan comporte 4 volets principaux :
– Appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes
Il faut pouvoir comprendre le fonctionnement des systèmes d’IA pour estimer les impacts sur la protection des données personnelles lors du traitement ou de la transmission des données recueillies par ces outils. Il s’agit aussi d’assurer la protection de ces données contre les biais et les discriminations, particulièrement lorsqu’elles sont accessibles publiquement sur le Web. Pour aider à cette compréhension des systèmes d’IA, le Laboratoire d’Innovation Numérique de la CNIL (LINC) a publié un dossier relatif notamment aux IA génératives pour en détailler le fonctionnement, exposer les questions juridiques liées à leur conception et préciser les enjeux éthiques et de sécurité des SIA.
– Permettre et encadrer le développement d’IA respectueuses des données personnelles
Cet objectif, qui a été mentionné dans le rapport annuel 2022, concerne plusieurs actions déjà réalisées par la CNIL. Parmi ces actions figure la publication de fiches pédagogiques sur l’IA et d’un guide d’accompagnement pour les professionnels ; également la publication de la position de la CNIL sur l’usage des caméras dites augmentées, qui utilisent l’IA sur des images captées dans l’espace public et constituent donc des risques nouveaux pour les droits et libertés fondamentaux et dont l’usage devrait être encadré par les autorités publiques. Cette question de l’utilisation des caméras augmentées par les acteurs publics constitue un axe prioritaire du plan stratégique 2022-2024 de la CNIL et aussi une thématique prioritaire de ses contrôles en 2023.
Par ailleurs, ce deuxième volet du plan d’action de la CNIL donnera lieu au cours de l’automne 2023 à la publication de plusieurs documents relatifs notamment aux règles applicables au partage et à la réutilisation des données accessibles et utilisées pour l’apprentissage de modèles d’IA ou encore aux recommandations relatives à la conception des systèmes d’IA.
– Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe
Les entreprises innovantes en matière d’IA doivent intégrer les enjeux liés à la question de la protection des données personnelles. Pour les aider à atteindre cet objectif, la CNIL leur propose plusieurs types d’accompagnement. D’une manière générale, il existe des accompagnements en « bac à sable ». Étaient concernées en 2021 les entreprises dans le domaine de la santé et en 2022, celles de l’éducation. Pour 2023, l’accompagnement portera sur l’usage de l’IA dans le secteur public. D’une manière plus particulière, la CNIL propose un accompagnement pour les fournisseurs de vidéosurveillance « augmentée » dans le cadre de l’expérimentation prévue par la loi relative aux Jeux olympiques et paralympiques de 2024. Un dernier type d’accompagnement, qualifié de renforcé, a été mis en place depuis 2023. En contrepartie d’un engagement fort des entreprises, ce dernier type d’accompagnement inclut notamment un appui juridique et technique, une revue de conformité des traitements mis en œuvre et enfin des actions de sensibilisation aux enjeux de la protection des données à destination des salariés et des dirigeants.
– Auditer et contrôler les systèmes d’IA et protéger les personnes
Ce dernier volet du plan d’action de la CNIL peut prendre place à différents stades d’utilisation des systèmes d’IA qui utilisent des données personnelles. A priori, chaque personne utilisant ces systèmes d’IA doit bénéficier de mesures d’informations sur l’usage des données personnelles et connaître les conditions d’exercice de ses droits. Par ailleurs, les entreprises doivent avoir réalisé, en amont, une analyse d’impact relative à la protection des données pour évaluer les risques et adopter les mesures nécessaires pour en diminuer la survenance.
A posteriori, la CNIL entend renforcer ses mesures de contrôle sur plusieurs points en 2023 : le respect de la position sur l’usage de la vidéosurveillance « augmentée », l’usage des algorithmes dans la lutte contre la fraude et enfin des procédures de contrôle dans le cadre de l’utilisation des IA génératives et les traitements de données par celles-ci.
Ce plan d’action en quatre volets de la CNIL a pour but de préparer l’entrée en application du règlement européen sur l’IA. La France n’a pas encore créé ou attribué le rôle d’autorité nationale de tutelle de l’intelligence artificielle, conformément à ce qui est prévu par ce règlement AI Act. Dans une étude publiée en 2022, le Conseil d’État français avait recommandé que cette fonction d’autorité de contrôle nationale de la régulation des systèmes d’intelligence artificielle soit attribuée à la CNIL.
En Espagne, un décret d’août 2023 officialise la création de l’autorité nationale de tutelle de l’intelligence artificielle (Agence Espagnole de Supervision de l’Intelligence Artificielle, AESIA). Cette agence, rattachée au ministère espagnol des Affaires économiques et de la Transformation numérique, et différente de l’Agence Espagnole de Protection des Données, est le premier organisme créé au sein de l’Union européenne pour cette mission.