22 septembre 2021

10min

Liens entre RGPD et IA ?

Toute entreprise utilisant l’Intelligence artificielle (IA), compose avec un nombre très important de données, dont des données personnelles. L’intelligence artificielle est donc au centre des préoccupations réglementaires pour ce qui concerne le RGPD.

L’obligation réglementaire impacte durablement le développement d’une intelligence artificielle qui se base depuis des années sur un traitement de données considérable (obligation de transparence, de consentement, de conservation, d’image…). On doit cependant regarder l’IA comme un moyen et non plus comme une finalité. En effet, l’IA offre de nombreux avantages dans la mise en conformité des entreprises et dans la réponse aux demandes d’exercice de droit imposé par le règlement européen. Nous développerons dans cet article les liens forts entre RGPD et IA qui ne sont pas évidents au premier abord, mais qui offrent des opportunités de complémentarité importantes.

L’Union Européenne s’est dotée depuis mai 2018 d’un règlement sur la gestion et la protection des données personnelles. Les règles instituées ont impacté durablement toutes les entreprises souhaitant développer leur marché sur le territoire européen. En parallèle, l’Union souhaite y développer l’Intelligence artificielle sur le territoire européen : nous pouvons prendre en exemple le plan de coordination de l’intelligence artificielle d’avril 2021. Un double objectif qui peut sembler incohérent.

Au préalable, il est bon de rappeler ce que nous entendons par Intelligence Artificielle. On trouve une définition dans le Journal Officiel du 9 décembre 2018 : « champ interdisciplinaire théorique et pratique qui a pour objet la compréhension de mécanismes de la cognition et de la réflexion, et leur imitation par un dispositif matériel et logiciel, à des fins d’assistance ou de substitution à des activités humaines ».

Demandons-nous ce que le RGPD impose aux entreprises de l’IA, pour comprendre par la suite la limite que pose le RGPD sur le développement d’une Intelligence Artificielle européenne. Ainsi il sera intéressant de s’interroger sur l’apport de l’IA à la mise en conformité avec le RGPD.

Les limites de l’IA face au RGPD

Selon le règlement, une Analyse d’Impact relative à la Protection des données (AIPD) est indispensable, pour ne pas dire obligatoire. En effet, une AIPD est obligatoire quand sont réunis au minimum deux critères sur les neuf issus de la ligne directrice du G29 (organe consultatif de l’Union européenne indépendant sur la protection des données et de la vie privée). Ces critères sont  : l’évaluation/scoring (y compris le profilage), la décision automatique avec effet légal ou similaire, la surveillance systématique, la collecte de données sensibles ou données à caractère hautement personnel, la collecte de données personnelles à large échelle, le croisement de données, le traitement de données personnelles de personnes vulnérables (patients, personnes âgées, enfants, etc.), l’usage innovant (utilisation d’une nouvelle technologie), l’exclusion du bénéfice d’un droit/contrat. Or l’Intelligence Artificielle est par essence une nouvelle technologie composée d’un traitement de données à grande échelle, d’un croisement des données et d’une prise de décision automatisée.

Du privacy by design vers de l’Ethics by design

Pour tout projet, une Privacy by design est nécessaire. C’est-à-dire une étude du projet en prenant directement en compte les nécessités qu’impose le RGPD. On développe son idée en gardant en tête le règlement et en abordant chaque étape en fonction des règles inhérentes au règlement. Le Privacy by design désigne donc « la confidentialité dès la conception ». Cependant, pour ce qui concerne l’IA, une autre expression revient régulièrement : l’Ethics by Design.

« Le RGPD instaure le Privacy-by-design. À l’ère de l’intelligence artificielle, il doit être complété par l’Ethics-by-design » Mick Lévy. Directeur de l’Innovation Business.

Qu’est-ce que l’Ethics by design ? Pour le comprendre nous pouvons citer le cas de Facebook et Cambridge Analytica, en 2016. Facebook a disposé de données personnelles d’utilisateurs, à leur insu dans le but de cibler plus efficacement les messages et potentiellement d’influencer les élections présidentielles étatsuniennes. L’image de marque de Facebook a été très fortement, atteinte, et l’utilisation de données personnelles à des fins politiques, critiquée. L’Ethics by design est donc la prise de conscience de l’image de marque dans la mise en route d’un projet traitant de données personnelles à grande échelle. Et donc, l’Intelligence Artificielle. En France, le laboratoire d’innovation numérique de la CNIL (LINC), dans son rapport de janvier 2019 “La Forme des Choix – Données Personnelles, design et frictions désirables”, explique qu’une vision de l’Ethics by Design peut se résumer comme suit. Il s’agit de « construire une grille d’analyse rigoureuse des architectures de choix et de leurs conséquences sur les individus comme sur la société, dans une orientation éthique et politique qui va au-delà à la fois d’une approche purement juridique comme d’une approche uniquement instrumentale du design ».

Les nouveaux principes d’encadrement des traitements à grandes échelles

L’autre sujet central que l’intelligence artificielle doit prendre en compte, est le principe de transparence. Il n’est plus possible, avec le RGPD, de traiter des données personnelles d’utilisateurs sans leur accord et sans leur expliquer toutes les finalités de traitement de ces dites données. Sujet central mais problématique, puisque la compréhension des algorithmes n’est pas simple, en particulier pour le grand public. Le besoin de transparence dans le traitement qui est fait des données personnelles s’avère très difficile à mettre en place, la vulgarisation des processus des algorithmes sera peut-être insuffisante. Et n’oublions pas l’effet boite noire (l’incompréhension du déroulement qui permet d’arriver à tel ou tel résultat) de certains algorithmes qui empêche ou a minima rend très difficile l’auditabilité des systèmes et la lisibilité du traitement. Enfin, la question du consentement est inhérente à la question de transparence. Le RGPD oblige la collecte du consentement pour tout traitement des données personnelles. Mais comment donner son consentement à un traitement dont la finalité n’est même pas explicitée, ni même comprise avant les résultats ?

Il est dorénavant obligatoire de pouvoir justifier chaque traitement de données personnelles et de pouvoir prouver le consentement de la personne dans le traitement de ses données personnelles. L’IA ne peut plus donc être utilisée comme un simple outil de solution anarchique, mais doit être utilisée pour des fins précises et justifiables.

L’ambition de l’Europe dans une IA digne de confiance

« En matière d’intelligence artificielle, la confiance n’est pas un luxe mais une nécessité absolue. En adoptant ces règles qui feront date, l’UE prend l’initiative d’élaborer de nouvelles normes mondiales qui garantiront que l’IA soit digne de confiance. » Margrethe Vestager, commissaire européenne, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique

L’IA doit donc mettre en place certaines actions pour se conformer à la réglementation européenne. AIPD, Privacy-by-design, Ethics-by-design, Transparence et Consentement. Autant de sujets qui ne sont pas simples à mettre en place. Tellement peu simples, que certains y voient la mort de l’ambition d’une IA européenne. Cette vision pessimiste doit être contrebalancée par les efforts du Parlement européen dans le développement de l’IA au sein de l’Union. Le 12 février 2019, le Parlement européen publie une résolution sur les sujets de la politique industrielle européenne globale, de l’intelligence artificielle et de la robotique. On y retrouve plusieurs points intéressants (sans exhaustivité) :

  • Le point 33.  [Le Parlement] « constate qu’afin de parvenir à une meilleure acceptation de l’intelligence artificielle par la société, il doit être garanti que les systèmes utilisés sont sûrs et sécurisés »,
  • Le point 28. [Le Parlement] « invite la Commission à faire en sorte que tout cadre réglementaire à venir de l’Union en matière d’IA garantisse la protection de la vie privée et la confidentialité des communications, la protection des données à caractère personnel, notamment les principes de licéité, loyauté et transparence, de protection des données dès la conception et par défaut, de limitation des finalités, de limitation de la conservation, d’exactitude et de minimisation des données, conformément à la législation de l’Union en matière de protection des données, ainsi que la sécurité, y compris des personnes, et les autres droits fondamentaux, tels que le droit à la liberté d’expression et d’information »
  • Enfin et surtout, le point 38. [Le Parlement] « rappelle que la disponibilité de données de haute qualité et significatives est essentielle pour la compétitivité réelle du secteur de l’IA et demande aux pouvoirs publics de veiller à la production, au partage et à la gouvernance des données en faisant des données publiques un bien commun tout en protégeant la vie privée et les données sensibles».

Le 21 avril 2021, la Commission européenne s’est vue proposer une nouvelle réglementation de l’IA. Ce règlement a pour but de répondre aux inquiétudes relevées par la résolution de 2019 (point ci-dessus). La nouvelle réglementation de l’IA vise donc à renforcer la confiance du citoyen dans l’IA en fournissant un socle réglementaire et en suivant une approche fondée sur les risques.

Une demande de cadrage qui n’est pas seulement européenne

Le sujet de l’Intelligence Artificielle n’est pas laissé de côté par la CNIL. Elle a déjà pris en compte cette nouvelle technologie et propose plusieurs pistes de travail. En décembre 2017, elle avait déjà publié la synthèse d’un débat public qu’elle avait animé : COMMENT PERMETTRE À L’HOMME DE GARDER LA MAIN ? Les enjeux éthiques des algorithmes et de l’intelligence artificielle. Dans ce dossier sont présentés la notion d’éthique et les prémices de la réglementation sur les données personnelles qui entrera en vigueur six mois plus tard. Il est important de préciser que de nombreuses entreprises spécialisées dans l’IA voient une réglementation de ce marché comme bénéfique, en particulier dans la gestion de leur image publique. Bénéfique aussi pour fixer des limites à son utilisation à des fins politiques comme ce fut le cas avec Cambridge Analytica. Il y a donc une volonté de régulation de l’IA : le « Partnership on AI » cherche depuis 2016 à gérer les conditions d’une autorégulation. On y retrouve des Leaders de l’IA mondiale comme Apple, Amazon, Facebook ou encore Google et Microsoft.

L’IA, un outil pour aider la conformité

Le RGPD peut être vu comme un frein au bon développement de l’intelligence Artificielle en Europe. Mais l’IA peut être un outil d’aide à la conformité RGPD. Il ne s’agit donc pas de les opposer mais de les conjuguer.

En effet, l’IA avec une capacité et une vitesse de traitement exceptionnelles, peut être utilisée comme un outil de surveillance des anomalies. On peut penser particulièrement aux zones de commentaires libres, source de problèmes potentiels. L’IA, si elle est conçue pour cette tâche, peut tout à fait analyser les commentaires et en retirer directement les informations relevant des données personnelles (nom, prénom, mail, adresse, …) ou encore de données sensibles ou injurieuses. On peut aussi aborder l’IA comme moyen de sécurisation. Une détection rapide d’une fuite de donnée permet d’éviter sa propagation sur le web, de lancer des alertes automatiquement et faciliter ainsi la réaction des décideurs. Une autre vision possible de l’utilité de l’IA pour l’aide à la conformité RGPD est la réponse automatique à une demande d’exercice des droits, souvent énergivore et qui doit être prise en compte dans un délais imparti (art12.3 : Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande.). Les entreprises qui traitent de très nombreuses données voient dans l’IA un outil de cartographie de leurs données personnelles enregistrées dans leurs bases de données et c’est un atout indiscutable. Pensons particulièrement à la capacité de classification des données de manière instantanée et efficace. Contrairement à un traitement manuel des données, l’IA est non seulement rapide mais empêche aussi les erreurs humaines pouvant entrainer des plaintes auprès de la CNIL, et un contrôle en conséquence. Une amende qui, en découlerait, peut atteindre les 20 millions d’euros ou 4% du chiffre d’affaires.

Conclusion

Ainsi, le RGPD a voulu commencer une régulation du traitement des données personnelles, impactant durablement le développement de l’Intelligence Artificielle. Au premier regard, on peut y voir la fin d’une ambition de développement de cette technologie en Europe, empêchant la collecte importante de données et traitant automatiquement ces données dans une opacité souvent critiquée. En y regardant de plus près, le RGPD permet de redonner confiance dans l’IA, en renforçant la sécurisation des données et donc la sécurité du citoyen. Enfin, en abordant le sujet d’une tout autre façon, on peut voir l’IA comme un outil utile à la conformité, et non plus comme une cible.

 

Bibliographie :

Intelligence artificielle et RGPD peuvent-ils cohabiter ?

Comment permettre à l’Homme de garder la main ?

Une politique industrielle européenne globale sur l’intelligence artificielle et la robotique

Quel RGPD pour l’IA ?

Sans respect du RGPD, pas d’IA pour le Service Desk

CONFORMITÉ AU RGPD : COMMENT L’IA PEUT VOUS AIDER ?

Le RGPD et l’IA

Coordinated Plan on Artificial Intelligence 2021 Review

De nouvelles règles et actions en faveur de l’excellence et de la confiance dans l’intelligence artificielle

 

Ouvrages :

Le RGPD face aux défis de l’intelligence artificielle

COMMENT PERMETTRE À L’HOMME DE GARDER LA MAIN ?

La forme des choix

Louis ALLAVENA

Consultant in Business Intelligence