Que préconisent la CNIL et la CNCDH dans leurs derniers travaux sur l'IA ?
En avril 2022, la Commission nationale consultative des droits de l’homme (CNCDH) et la Commission nationale informatique et libertés (CNIL) ont chacune publié des documents sur l’intelligence artificielle dont les approches divergent : pédagogique pour la CNIL et directionnel pour la CNCDH.
L’approche pédagogique de la CNIL quant à l’intelligence artificielle
La Commission nationale de l’informatique et des libertés (CNIL) avait déjà publié en 2017 un rapport sur les enjeux éthiques des algorithmes et de l'intelligence artificielle intitulé "Comment permettre à l’Homme de garder la main", fruit d’une vaste consultation auprès d’acteurs du secteur et de citoyens.
Dans le cadre de ses missions d’information et de protection des droits, d’accompagnement vers la conformité et d’anticipation et d’innovation, la CNIL a publié, le 5 avril 2022, un ensemble de ressources pour le grand public et les professionnels sur les systèmes utilisant l’intelligence artificielle (IA) qui posent de nouveaux enjeux en matière de protection des données. La CNIL précise que ces ressources s’inscrivent également dans une stratégie européenne et les futures règles relatives à l’intelligence artificielle. Il s’agit en particulier d’élaborer un cadre réglementaire solide pour l’IA fondé sur les droits de l’Homme et les valeurs fondamentales et ainsi instaurer la confiance des citoyens européens.
Les éléments proposés s’adressent à trois publics distincts.
- En premier lieu, est visé le grand public intéressé par le fonctionnement des systèmes d’IA, leurs implications dans nos vies quotidiennes ou encore souhaitant tester leur fonctionnement. La CNIL propose une courte présentation des enjeux de l’intelligence artificielle pour la protection des données, illustrée par des exemples du quotidien. Elle a également réalisé une sélection non-exhaustive de livres, films ou ressources en ligne à destination des curieux comme des initiés pour comprendre le fonctionnement de l’intelligence artificielle, la démystifier et appréhender ses enjeux. Enfin, est mis à disposition un petit glossaire de l’intelligence artificielle contenant des définitions relatives aux domaines de l’intelligence artificielle et de l’apprentissage automatique qu’il est indispensable de bien comprendre pour pouvoir en appréhender les enjeux.
- En deuxième lieu, la CNIL a mis à disposition plusieurs documents à destination des professionnels (responsables de traitement ou sous-traitants) mettant en œuvre des traitements de données personnelles reposant sur des systèmes d’IA, ou le souhaitant et qui s’interrogent sur la façon d’assurer leur conformité au RGPD. En effet, la CNIL a publié un rappel intitulé "IA : Comment être en conformité avec le RGPD" dans lequel sont mis en avant des grands principes de la loi Informatique et Libertés et du RGPD à suivre dans la mise en œuvre de traitements de données personnelles reposant sur des systèmes d’IA, ainsi que des positions de la CNIL sur certains aspects plus spécifiques. Les professionnels pourront également réaliser un guide d’auto-évaluation pour les systèmes d'intelligence artificielle qui leur permettra d'évaluer par eux-mêmes la maturité de leurs systèmes d’IA au regard du RGPD et des bonnes pratiques dans le domaine, dans la perspective du futur règlement européen.
- En troisième lieu, la CNIL souhaite être utile aux spécialistes c’est-à-dire aux chercheurs en IA, aux experts en science des données ou encore aux ingénieurs en apprentissage automatique. Il s’agit de nourrir la réflexion des personnes manipulant l’intelligence artificielle au quotidien, curieuses des enjeux que fait peser l’intelligence artificielle sur la protection des données et qui s’intéressent à l’état de la technique sur ces questions. La CNIL a ainsi publié des études concernant les technologies d’IA prometteuses pour la protection de la vie privée, par exemple l’apprentissage fédéré. Elle a également réalisé des présentations de l’état des connaissances sur des questions fondamentales posées par l’IA, par exemple sur la sécurité des systèmes d’IA. Enfin, elle a mis en avant des paroles d’experts reconnus du domaine de l’intelligence artificielle, par exemple Nicolas Papernot ou Aurélien Bellet et Marc Tommasi.
L’adoption par la CNCDH de l'avis relatif à l’impact de l’intelligence artificielle sur les droits fondamentaux
La CNCDH a adopté à l'unanimité le 7 avril 2022 un avis intitulé "Intelligence artificielle et droits humains : Pour l’élaboration d’un cadre juridique ambitieux" dans lequel elle formule 19 recommandations.
La CNCDH observe que les recherches sur l’intelligence artificielle (IA) et la mise en œuvre de ses applications pratiques se développent, et que dans le même temps, la réglementation actuelle demeure lacunaire pour endiguer les atteintes possiblement majeures aux droits fondamentaux. En préambule et en première recommandation, la CNCDH recommande aux institutions publiques et aux médias de privilégier une terminologie plus neutre et objective que l’expression "intelligence artificielle", telle celle de "système algorithmique d’aide à la décision". Dans le contexte de l’adoption prochaine de la proposition de règlement de l’UE sur le sujet, et des travaux en cours au sein du Conseil de l’Europe, la CNCDH invite les pouvoirs publics à promouvoir un encadrement juridique ambitieux en la matière. La CNCDH relève que la proposition de règlement de l’Union européenne sur l’IA va dans le bon sens, mais ne présente pas de garanties suffisantes pour la protection des droits fondamentaux. Elle appelle également de ses vœux, dans le cadre du Conseil de l’Europe, l’adoption d’une "Convention 108+ de l’IA". De manière générale, la CNCDH préconise la prise en compte d’une approche fondée sur les droits de l’Homme dans les réformes en cours, dès lors qu’elles entendent garantir le respect des droits fondamentaux.
Interdire certains usages. Dans son avis, la CNCDH précise et complète la liste des interdictions posées par le projet de règlement européen. La CNCDH recommande en particulier quatre interdictions dont deux assorties d’exceptions :
- l’interdiction du recours aux interfaces de choix dès lors qu’elles ont pour objet ou pour effet de manipuler, à leur détriment, les utilisateurs en exploitant leurs vulnérabilités ;
- la mise en place de tout type de notation sociale par les administrations ou les entreprises publiques ou privées ;
- l’identification biométrique à distance des personnes dans l’espace public et les lieux accessibles au public, en admettant par exception son utilisation, dès lors que celle-ci est strictement nécessaire, adaptée et proportionnée pour la prévention d’une menace grave et imminente pour la vie ou la sécurité des personnes et celle des ouvrages, installations et établissements d’importance vitale ;
- l’utilisation de technologies de reconnaissance des émotions, en admettant par exception leur utilisation dès lors qu’elles visent à renforcer l’autonomie des personnes, ou plus largement l’effectivité de leurs droits fondamentaux.
Pour certains usages, dont les procédures juridictionnelles, la CNCDH considère qu’il est essentiel d’approfondir la réflexion afin d’identifier les apports et les limites d’une utilisation de l’IA avant d’envisager son utilisation.
Encadrer les usages et garantir le respect des droits fondamentaux. De la conception à l’usage final des systèmes d’IA, l’impact sur les droits fondamentaux doit être régulièrement évalué. Les utilisateurs publics ou privés doivent conduire des études d’impact qui incluent au minimum :
- une mention de la ou des finalités attachées à l’utilisation du système d’IA envisagé ;
- une identification des droits fondamentaux susceptibles d’être affectés par le système ;
- un examen du système d’IA envisagé, à partir d’une évaluation de sa nécessité, de son caractère adapté, et de la proportionnalité des atteintes portées aux droits fondamentaux par rapport au but escompté ;
- les procédures mises en place pour assurer le suivi de l’application, et les mesures d’atténuation au regard des risques encourus.
Selon la CNCDH, ces études devraient être complétées par une consultation des parties prenantes, selon des modalités adaptées, en incluant par exemple les représentants du personnel et, plus largement, les personnes visées par le système d’IA.
Garantir une intervention humaine. La CNCDH recommande d’une part de garantir une intervention humaine pour le contrôle des décisions individuelles issues d’un système d’IA selon des modalités correspondant au niveau de risque de ce dernier et d’autre part, d’en assurer l’effectivité par une formation appropriée et une information de l’intervenant sur les caractéristiques du système. Pour ce faire, la CNCDH recommande de mettre en place une supervision du système d’IA, selon une procédure susceptible de varier selon les risques d’atteintes aux droits fondamentaux tels qu’identifiés par l’étude d’impact, afin de maintenir une vigilance en continu de la part de l’utilisateur à l’égard des effets du système, notamment ses effets discriminatoires. La CNCDH est en faveur d’un droit au réexamen par un être humain, de toute décision individuelle fondée totalement, ou même en partie, sur un traitement algorithmique, dès lors qu’elle emporte des conséquences significatives pour toute personne concernée. Elle préconise également de reconnaître au bénéfice des utilisateurs des systèmes d’IA un droit au paramétrage de leurs critères, notamment afin de déterminer la sélection et la présentation des contenus reçus, et plus généralement dans l’hypothèse des interactions humain-machine.
Informer et former. Toute personne concernée par un système d’IA, que l’utilisateur soit public ou privé, doit être informée de l’intervention de l’IA dans la prise de décision la concernant et, de manière intelligible, des modalités de fonctionnement de l’algorithme. Les systèmes d’IA touchant l’ensemble de la population, la CNCDH considère qu’il est fondamental de développer des outils d’information et de formation accessibles à toutes et tous, et d’inclure les enjeux techniques, politiques et sociétaux de l’IA dans les programmes d’éducation à la citoyenneté. Plusieurs recommandations sont formulées à cet égard :
- pour les pouvoirs publics, informer systématiquement les personnes lorsqu’elles sont exposées ou amenées à interagir avec un système d’IA et communiquer sous une forme intelligible les informations sur le fonctionnement de l’algorithme ;
- favoriser les investissements publics dans la conception d’outils de formation et d’information accessibles au plus grand nombre ; organiser des consultations nationales sur le modèle des États généraux de la bioéthique organisés par le Comité consultatif national d’éthique
- au niveau de l’Éducation nationale, renforcer la formation des élèves aux enjeux techniques, politiques et sociétaux de l’intelligence artificielle et de proposer, à cette fin, des supports pédagogiques à destination des enseignants.