Si le nerf de la guerre est la donnée et que les nouveaux guerriers sont les intelligences artificielles... alors la protection des données personnelles est une priorité ! En effet, l'IA repose très largement sur le traitement de données, ce qui soulève des préoccupations quant à la confidentialité de notre vie privée. Malgré le cadre solide posé par le RGPD, des interrogations subsistent quant à son application et à son efficacité. Cette situation appelle alors à une réflexion sur les défis juridiques (et faussement éthiques) associés à l'utilisation croissante de l'intelligence artificielle. La Cnil a d'ailleurs récemment proposé des recommandations sous forme de fiches afin de guider la mise en conformité des sociétés proposant des systèmes d'IA.
Sommaire
Le RGPD et la protection des données personnelles
Le lien fondamental entre IA et données personnelles
Les recommandations de la Cnil pour une IA respectueuse des données personnelles
1. Le RGPD et la protection des données personnelles
Le Règlement Général sur la Protection des Données, plus connu sous son acronyme RGPD (1), est le principal texte de l'Union Européenne encadrant le traitement des données personnelles. Entré en vigueur en 2018, ce Règlement est fondé sur des principes préexistants provenant notamment de la loi française informatique et libertés de 1978 (2) ou de diverses recommandations, conventions et directives. Au bout du compte, le RGPD a adapté des principes fondamentaux que l’on connaissait déjà aux évolutions technologiques plus récentes comme internet, le big data, le cloud, les réseaux sociaux, ou encore les objets connectés. Il garantit également davantage d'uniformité et de sécurité, puisqu'il est directement applicable et contraignant pour les 27 États membres de l'Union Européenne.
Article 1 alinéa 1 du RGPD : « Le présent règlement établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. »
Le RGPD énonce les règles devant être respectées par toute personne procédant au traitement de données personnelles. Il est par exemple obligatoire d'obtenir le consentement des personnes physiques pour utiliser leurs données personnelles (ou d'avoir une autre base légale), et de se conformer à d'autres principes essentiels tels la loyauté et la transparence du traitement, la limitation des finalités, la minimisation des données collectées, l'exactitude des données, la limitation de leur conservation, ainsi que l'intégrité, la confidentialité et la protection des données dès la conception et par défaut. Des sanctions sont directement applicables en cas de non-conformité.
Il est cependant essentiel de souligner qu'en tant que règlement de l'Union Européenne et conformément aux articles 2 et 3 (champ d'application matériel et champ d'application territorial), le RGPD ne s'applique pas de manière universelle, notamment dans certains cas ne présentant aucun rattachement direct ou indirect avec l'Union Européenne.
2. Le lien fondamental entre IA et données personnelles
Il est évident que les données sont au cœur de notre économie numérique. Elles représentent une véritable mine d'or pour de nombreuses industries, et les sociétés qui conçoivent des systèmes basés sur l'intelligence artificielle en sont bien conscientes. En effet, sans les données, il n'y a pas d'IA !
Comme expliqué dans un précédent article dédié à l'intelligence artificielle et au droit d'auteur, il est possible de schématiser grossièrement le processus de l'IA générative :
L'IA s'entraîne en exploitant des données parmi lesquelles on retrouve des données personnelles protégées par le RGPD (c'est la phase de développement : conception du système, conception de la base de données, apprentissage) ;
L'IA utilise ces données personnelles protégées pour répondre à des demandes formulées par l'homme (via des prompts) et génère divers contenus tels que des textes, des images, des musiques etc. (c'est la phase de déploiement : calibrage, utilisation).
Dans ce contexte, des questions fondamentales se posent alors quant au respect de nos données personnelles et de notre vie privée. On peut par notamment se demander :
Est-ce que les entreprises qui développent ces intelligences artificielles sont autorisées à utiliser des données personnelles protégées par le RGPD pour entraîner leurs algorithmes et générer des contenus ?
D'où viennent exactement les données utilisées dans ces processus ?
Que deviennent les données personnelles que nous fournissons lors de nos échanges avec des systèmes comme ChatGPT, par exemple ?
Qui est responsable de la protection et de la confidentialité de ces données lorsqu'elles sont utilisées par des systèmes d'intelligence artificielle ?
Ces questions mettent clairement en exergue le manque de transparence qui règne aujourd'hui s'agissant de l'origine et de l'utilisation des données personnelles dans le développement et l'utilisation de l'IA. Sans transparence, comment savoir quelles données sont exploitées ou encore ce qui en est fait ? Et ainsi, comment faire effectivement valoir nos droits ? Il semblerait que la transparence soit le premier élément nécessaire et indispensable au respect de tout cadre juridique, surtout lorsqu'il s'agit d'un domaine aussi opaque que l'IA. Cela n'est pas encore une réalité, mais le futur Règlement IA (3) imposera certaines mesure clés de transparence qui, espérons là, changerons radicalement les pratiques.
3. Les recommandations de la Cnil pour une IA respectueuse des données personnelles
La Commission Nationale de l'Informatique et des Libertés (Cnil), créée par la Loi informatique et libertés en 1978 (2), joue désormais le rôle de « gendarme » du RGPD. Depuis plusieurs années déjà, elle s'intéresse aux enjeux juridiques liés à l'utilisation des données personnelles par l'IA. Mais l'arrivée des IA génératives, portées principalement par ChatGPT, Dall-E ou encore Midjourney, a accéléré l'approche et le travail de la Cnil dans ce domaine :
La 16 mai 2023 : la Cnil a publié un plan d'action pour un déploiement de systèmes d'IA respectueux de la vie privée des individus ;
Le 27 juillet 2023 : la Cnil a lancé un appel à contribution visant à alimenter sa réflexion en vue de la publication de futures recommandations sous forme de fiches ;
Le 11 octobre 2023 : la Cnil a publié une première version de ses recommandations sous forme de fiches et les a soumises à une consultation publique jusqu'au 15 décembre 2023 ;
Le 8 avril 2024 : la Cnil a publié 7 recommandations officielles sous forme de fiches, faisant suite à sa consultation publique.
Les fiches suivantes concernent uniquement la phase de développement de systèmes d’IA, et non celle de déploiement, lorsque celle-ci implique le traitement de données à caractère personnel (« données personnelles »). Elles se limitent aux traitements de données soumis au règlement général sur la protection des données (RGPD). Ces fiches doivent permettre d’accompagner les professionnels aux profils aussi bien juridique que technique (délégués à la protection des données, professionnels du droit, personnes disposant de compétences techniques spécifiques ou non à l’IA, etc.). Cnil.fr - Quel est le périmètre des fiches pratiques sur l’IA ?
Au travers de ses diverses publications, la Cnil affirme de manière explicite que le développement des systèmes d'intelligence artificielle est tout à fait compatible avec le respect du RGPD. Elle a également intégré le futur Règlement IA (3) dans ses recommandations et fiches pour guider son approche.
Alors pourquoi avons-nous autant d'interrogations, de préoccupations, ainsi qu'un sentiment de "flou" si des règles sont déjà en vigueur ? Pourquoi ressentons-nous la nécessité d'établir de nouvelles règles, comme si le cadre juridique actuel ne suffisait pas ?
De mon point de vue, l'émergence soudaine et massive de certaines IA génératives semble compromettre la protection de nos données personnelles, et ce notamment en raison de l'absence totale de transparence. De plus, les intérêts économiques sous-jacents paraissent brouiller les réalités juridiques, faisant de l'IA éthique une IA extraordinaire... Alors même qu'il n'y a pas d'IA éthique : il n'y a que des IA qui doivent se conformer à la loi !
--
Découvrez ma formation en droit d'auteur spécial Freelances
Découvrez mes formations 100% sur mesure en droit d'auteur
Et si vous souhaitez recevoir mes articles directement par mail, ainsi que toutes les actus et infos super utiles 100% dédiées à tous les créateurs de contenus, il suffit de vous abonner à ma Newsletter Pas de chichi entre nous :