Intelligence artificielle : La CNIL crée son Service de l’Intelligence artificielle

IntelligenceArtificielle CNIL SIA RGPD Avocat Marseille

Article publié le 28/01/2023

La CNIL a annoncé le 23 janvier 2023 la création d’un Service Interne de l’Intelligence Artificielle ( SIA,) avec pour objectif tout en préparant l’entrée en application du futur règlement européen, l’AI Act, de développer des relations avec les acteurs de l’écosystème pour construire par ses recommandations et fiches pratiques une « soft Law » pour diffuser les bonnes pratiques de cette technologie complexe.

 

Sommaire :

I) Introduction :

I-a) Petit rappel c’est quoi au juste l’intelligence artificielle ?

II) Pourquoi la création par la CNIL d’un Service d’Intelligence Artificielle ?

II-a) Préparer l’écosystème à la mise en application du futur règlement européen :

II-b) Elaborer le « droit souple » ou « Soft Law » des utilisations algorithmiques de la donnée :

II-c) La finalité des travaux du SIA :

III) Conclusion :

III 1) Le périmètre des activités du SIA :

III-2) Nos préconisations :

 

 I )Introduction :

Cela fait longtemps que la CNIL travaille sur l’intelligence artificielle puisque dès 2017 déjà elle avait publié différents travaux toujours d’actualité :

En 2018 et 2019  la technologie de l’intelligence artificielle a mobilisé le maximum d’articles sur les différents Blogs et Posts des réseaux sociaux.

Le sujet le plus fréquemment abordé était celui de « l’Ethique de l’IA »

En 2020 c’est une autre technologie de rupture qui a supplanté l’intelligence artificielle.

Depuis près de 3 ans c’est la Blockchain qui caracole en tête des divers articles et Posts des réseaux sociaux professionnels.

Or la Blockchain utilise aussi pour son fonctionnement des algorithmes et des systèmes « d’intelligence artificielle » par le support des Smart contracts.

2023 remet sur le devant de la scène l’intelligence artificielle, par différents prismes.

D’abord avec la disruption apportée par « ChatGPT3 » pour les recherches de connaissances sur Internet.

Pour la première fois, Google semble vaciller sur ses certitudes à pouvoir rester le premier moteur de recherche pour les requêtes de recherche d’accès à la connaissance.

2023 semble donc être pour les technologies de rupture, une année charnière pour intégrer les changements structurels majeurs qui vont profondément modifier notre rapport à la « consommation » de l’économie de la connaissance par :

  • D’abord la démocratisation de l’utilisation de intelligence artificielle,

Et

  • Ensuite l’optimisation de la « désintermédiation » des transactions permises par les Blockchain grâce aux systèmes d’intelligence artificielle embarqués dans le Code du Smart contract.

Et 2023 est aussi l’année de la finalisation du futur Règlement européen sur l’intelligence artificielle : « L’AI Act».

C’est dans ce contexte que la CNIL pour anticiper ces changements majeurs vient d’annoncer le 23 janvier 2023, la création de son SIA (Service d’Intelligence Artificielle).

I-a) Petit rappel c’est quoi au juste l’intelligence artificielle ?

L’intelligence artificielle est définie par le futur Règlement européen encore en cours de rédaction.

On peut tenir pour acquise la définition de l’article 3 du futur règlement européen qui définit l’intelligence artificielle comme un « système logiciel » :

Article 3 § 1 : Intelligence artificielle ou Système d'intelligence artificielle" (système IA) :

"Un logiciel développé à l'aide d'une ou plusieurs des techniques et approches énumérées à l'annexe I et capable :

Pour un ensemble donné d'objectifs définis par l'homme, de générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent."

Le législateur européen ne souhaitant pas s’enfermer dans une définition « fermée »et rapidement dépassée par l’innovation technologique procède pour définir le système d’IA, de manière informative et énonciative.

Le « système d’intelligence artificielle » est envisagé par le Règlement Européen comme un « objet » de droit qui s’appréhende par ses conséquences sur les environnements avec lesquelles ils interagissent.

Le changement à venir pour les professionnels de l’IA sera donc de raisonner par rapport aux conséquences de l’utilisation du système logiciel qu’ils développeront, commercialisons, ou utiliserons

La conception d’un système d’intelligence artificielle doit désormais s’envisager par la prévention des risques de leur utilisation vis-à-vis des personnes concernées par une éventuelle atteinte :

  • A leurs droits fondamentaux,

Et

  • A leur sécurité,

Le futur Règlement européen crée un régime de responsabilité spécifique.

La charge de cette démarche obligatoire de la compliance par la prévention des risques reposera solidairement sur tous ceux qui fourniront et mettront à disposition le « système d’intelligence artificielle ».

C’est pourquoi le futur Règlement européen distingue :

  • Les « systèmes ou application d’intelligence artificielle à haut risque» qui s’apprécieront en fonction du « secteur » et du contexte de « l’utilisation » du système d’IA.
  • Et les autres systèmes.

Tous les acteurs économiques concernés par la mise en œuvre d’un système d’intelligence artificielle seront solidairement responsables des risques issus du fonctionnement des systèmes.

Le futur règlement et son article 3 donne la liste des nouveaux acteurs il s’agit :

  • Du fournisseur,
  • Les petits prestataires,
  • L’utilisateur,
  • Le représentant autorisé,
  • L’importateur,
  • Le distributeur,
  • L’opérateur,

Nous reviendrons par d’autres articles sur ces définitions.

Désormais toute personne (physique ou morale) qui appartient à « l’écosystème de la technologie du système d’intelligence artificielle » à intérêt, et ce dès maintenant, à savoir se positionner dans la liste de ces nouvelles définitions.

Nous soulignons que les systèmes d’intelligence artificielle sont évidemment présents dans les technologies du Web3 et de la Blockchain ce qui inclus aussi les univers immersifs et virtuels de la technologie XR et les Metaverses.

Ces nouveaux acteurs seront donc aussi concernés par ces nouvelles obligations.

II) Pourquoi la création par la CNIL d’un Service d’Intelligence Artificielle ?

II-a) Préparer l’écosystème à la mise en application du futur règlement européen :

La mise en œuvre des systèmes d’intelligence artificielle reposera sur l’évaluation des risques des systèmes logiciels donc :

L’article 3 du projet de Règlement organise par ses alinéas 19 à 22 :

  • La création d’une future autorité nationale chargée de mettre en place et d'appliquer les procédures nécessaires à l'évaluation, à la désignation et à la notification des organismes d'évaluation de la conformité, ainsi qu'à leur contrôle.

La CNIL entend se positionner et anticiper les probables fonctions futures « d’autorité de contrôle » des systèmes d’Intelligence Artificielle ;

Mais surtout elle justifie la création de son « service d’intelligence artificielle » par une fonction pédagogique à destination des acteurs de l’écosystème :

  • D’abord parce que les technologies ne cessent de se développer et d’intervenir dans notre quotidien,

Et pour accompagner les professionnels des « systèmes d’Intelligence artificielle » à :

  • Comprendre et anticiper leurs nouvelles obligations notamment dans l’utilisation des « données » nécessaires au fonctionnement des algorithmes.

II-b) Elaborer le « droit souple » ou « Soft Law » des utilisations algorithmiques de la donnée :

Le futur Règlement européen énumère dans son article 3 une taxonomie de la donnée par des définitions que les acteurs des systèmes d’intelligence artificielle devront s’approprier pour anticiper leurs obligations par rapport à la présomption de responsabilité pour risque qui à terme va réguler leurs activités :

Alinéa 29 :

  • Définition des données d’apprentissage,

Alinéa 30 :

  • Définition des données de validation,

Alinéa 31 :

  • Définition des Données d’essai,

Alinéa 32 :

  • Définition des Données d’entrée,

Alinéa 33 :

  • Définition des données biométriques,

C’est ici que la CNIL focalise le cœur de sa mission de réflexion et d’études de son Service d’Intelligence Artificielle.

  • Produire des référentiels et recommandations.

Ces documentations diverses s’écriront à la lumière des travaux du Comité Européen de la Protection des données (CEPD) en lien avec les projets d’expérimentation de son Laboratoire d’Innovation Numérique le LINC.

II-c) La finalité des travaux du SIA :

C’est de veille à la nécessaire protection pour les traitements à base d’Intelligence artificielle de la « Vie Privée » ou de la « Privacy ».

La régulation prochaine de l’utilisation de « l’intelligence artificielle » qui intervient près de 5 ans après la mise en œuvre du RGPD, va permettre de faire la nécessaire distinction entre les 2 enjeux différents mais complémentaires qui sont :

  • La protection des droits des personnes concernant le traitement de leurs données à caractère personnel qui est le domaine de prédilection du RGPD,

Et

  • La protection de la « vie privée» ou la « Privacy ».

La notion de vie privée s’appréhende par plusieurs textes qui se cumulent et sont susceptibles d’une application alternative en fonction du contexte il s’agit de :

  • L’article 8 de la Convention de sauvegarde des droits de l’homme et des libertés,
  • Les articles 7 et 8 de la Charte des droits fondamentaux de l’union européenne de 2000,
  • La Directive « Vie privée et communications électroniques » de 2002.

Cette directive « Vie Privée » appréhende la vie privée par le prisme notamment des Droits fondamentaux reconnus par la Charte des droits fondamentaux de l’union européenne.

La directive de 2002 a été codifiée dans la Loi informatique et libertés en ses articles 81 et 82 qui concernent notamment l’utilisation des cookies et traceurs.

C’est avec cette directive 2002 dite « vie privée » qu’est apparue le concept autonome de la ePrivacy pour protéger aussi la confidentialité des communications électroniques et de leurs métadonnées.

Or depuis 2002 l’univers des télécommunications a bien changé puisque l’Internet ne se consomme principalement à partir d’un Internet mobile dont le support est une tablette et/ou un Smartphone.

Ce changement essentiel dans le device qui permet la connexion a totalement modifié la notion de Privacy et son périmètre car les outils nécessaires aux systèmes d’intelligence artificielle sont :

  • Les données de communication électronique.
  • Les données générées par les applications téléchargées sur le Smartphone qui peuvent être reliées à des objets connectés.

Dans sa communication du 23 janvier 2023, la CNIL confirme que la régulation par le droit souple des usages des systèmes d’intelligence artificielle s’impose donc comme un « enjeu de société » pour protéger toutes nos « interactions numériques » dès lors qu’elles interfèrent sur notre ePrivacy.

La création du Service de l’Intelligence Artificielle répond donc à ses enjeux globaux :

« Organiser la transparence et la compréhension d’une technologie bien souvent perçue comme une « boîte noire » afin d’en assurer une régulation équilibrée et permettre aux organismes, aux personnes concernées, et à la CNIL de maîtriser les risques pour la vie privée.

III) Conclusion :

III -1) Le périmètre des activités du SIA :

  1. a) Les systèmes d’intelligence artificielle dont le développement de l’amélioration nécessite la constitution d’une base de données (système d’apprentissage automatique et système expert)
  2. b) Les modalités de la collecte de données de toute typologie :
  • Collecte directe auprès des personnes concernées,
  • Collecte indirecte auprès des « Datas Brookers »,
  • Collecte indirecte en source ouverte
  • Étude des phases du développement d’un système d’intelligence nécessaire à sa mise en production à son amélioration (conception du système, prètraitement des données, entraînement, entraînement continu etc.).

c)Elle accompagnera les acteurs à savoir détecter quel que soit l’objectif du système d’intelligence artificielle en production le régime juridique applicable au traitement en sachant identifier les bases légales :

  • RGPD,
  • Directive « police-justice»,
  • Loi informatique et libertés, (Lil)
  • Et nous rajoutons et Directive ePrivacy.

Pendant toute l’année 2023 la CNIL communiquera sur ces travaux en élaborant des fiches pratiques correspondant situations les plus courantes.

Elle a d’ailleurs lancé un appel à contribution.

Ces premières recommandations sur le sujet des bases de données d’apprentissage seront déjà publiées dans les prochaines semaines

III-2) Nos préconisations :

Nous suivrons pour vous les travaux du Service d’Intelligence Artificielle de la CNIL, ainsi que et la finalisation du vote du texte définitif du Règlement européen sur l’intelligence artificielle.

Il appartient aux acteurs du marché économique de l’intelligence artificielle de s’astreindre à anticiper notamment :

  • Leur préparation à la certification s’ils sont concernés par le classement en « Système d’intelligence artificielle à haut risque»

Et dans tous les cas de réfléchir à une :

  • Gouvernance de la donnée qui intègre comme principe organisationnel d’anticiper les conséquences d’une responsabilité fondée sur le risque pour la constitution des bases de données d’apprentissage.

Cette gouvernance notamment devra documenter la preuve de la construction et production du système d’intelligence artificielle « Ethique by design » en regard des résultats générés par le système.

Maître Véronique RONDEAU ABOULY est formée et possède les compétences pour conseiller et accompagner les développeurs, fournisseurs et responsables de traitement des systèmes d’intelligence artificielle vers la conformité de vos activités avec le futur Règlement européen.

Étant précisé que d’ores et déjà il existe néanmoins un droit algorithmique qu’il convient de toute façon de respecter.

N’hésitez pas à nous contacter, nous proposons à nos clients des packs forfaitaires d’accompagnement sur la base de 20 heures selon tarif à définir en fonction de vos besoins et nous proposons des facilités de paiement.

L’année 2023 passera très vite et nous soulignons à nouveau que les systèmes d’intelligence artificielle concernent également les technologies du Web3 qui devront aussi anticiper leur conformité.

Article publié le 28 Janvier 2023

Véronique RONDEAU-ABOULY

Avocat Blockchain et DPO externe.

 

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.

Il est mis à jour régulièrement, mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsables de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause, pour une application personnalisée, chaque cas est unique et que bien sûr, le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.

 

Mots Clefs :

Intelligence artificielle-CNIL-RGPD -ePrivacy- 

 

Crédits photos : Istock.com : StudioM1