L’autorité française en charge de la protection de la vie privée a publié ce mardi 16 mai son plan d’action pour mettre au pas les développeurs d’intelligence artificielle générative. L’autorité choisit une voie moins frontale que son homologue italienne, qui avait interdit ChatGPT en Italie pendant plusieurs semaines.
Au lendemain des déclarations d’Emmanuel Macron sur l’intelligence artificielle qui appelait à « essayer de comprendre (l’IA), d’en être », avant de « penser le cadre et les instances », voici le volet régulation. L’autorité en charge du respect de nos données personnelles, la Commission nationale de l’informatique et des libertés (CNIL), a publié ce mardi 16 mai son plan d’action en matière d’IA sur son site. Son objectif est de « contribuer au développement de systèmes d’IA respectueux de la vie privée ». Depuis le lancement de ChatGPT et de ses concurrents, l’IA générative, une technologie qui permet de générer du texte, des images ou du code informatique, soulève de nombreuses questions quant à la protection de la vie privée.
Réutilisations de données couvertes par le droit d’auteur sans autorisation ou confidentielles, « hallucinations » qui font dire à un chatbot conversationnel qu’un professeur est impliqué dans une affaire de harcèlement, alors que c’est faux, absence de transparence… Ce type de technologie aurait bien du mal à respecter la législation européenne protégeant la vie privée et les données personnelles, dont le règlement européen sur les données personnelles, le RGPD. La CNIL décrit donc son plan d’action pour rendre ces systèmes d’IA conformes à ce corpus de règles. Comment compte-t-elle s’y prendre ? En quatre temps : comprendre les systèmes d’IA, clarifier les règles, accompagner les entreprises, et enfin auditer et contrôler.
Une approche moins frontale que la Garante italienne
La CNIL n’adopte donc pas la même approche plutôt offensive de son homologue italienne, qui avait choisi de taper du poing sur la table. ChatGPT, le robot conversationnel aux 200 millions d’utilisateurs, avait été inaccessible dans le pays pendant plusieurs semaines en mars, en raison du non-respect du RGPD. OpenAI, la société à l’origine de ChatGPT, avait finalement accepté quelques concessions, à la suite de quoi le chatbot avait été de nouveau autorisé dans le pays, début mai. Dans l’Hexagone, il n’y aura pas visiblement de blocage préventif, comme cela a été le cas en Italie. La CNIL opte, dans son plan d’action, pour une approche moins frontale, en conformité avec la position du ministre délégué chargé de la Transition numérique et des Télécommunications, Jean-Noël Barrot, à savoir : encadrer plutôt que bloquer.
L’autorité débute son plan d’action en rappelant que l’IA est un sujet sur lequel elle travaille depuis plusieurs années. Celle qui est en charge de la protection de nos données n’a pas découvert l’IA avec ChatGPT, explique Marie-Laure Denis, la présidente de la structure, à nos confrères des Échos, ce mardi 16 mai.
De futures recommandations à venir cet été ?
L’autorité souhaite d’abord comprendre comment cette technologie fonctionne, avant de clarifier de nombreux dossiers problématiques, qui feront l’objet de futures « recommandations concrètes ». Parmi ces points à éclaircir : comment les données que les utilisateurs transmettent aux chats conversationnels, sont-elles réutilisées par l’agent conversationnel ? Des informations confidentielles avaient par exemple été révélées lors de « discussions » avec le chatbot. Elles s’étaient ensuite retrouvées dans la « machine » avant d’être répétées par le robot conversationnel – ce qui avait fait dire à Samsung que ses employés devaient cesser d’utiliser cet outil pour éviter toute fuite de données sensibles.
À lire aussi : ChatGPT : Samsung menace de licencier les employés qui utilisent l’IA
Elle compte aussi s’attaquer à la difficile question des données d’entraînement dont certaines ont été utilisées sans le consentement de leurs auteurs – comme notamment, des œuvres protégées par du copyright. Les biais de l’IA, le droit de rectification et d’opposition feront aussi partie de ce champ de réflexion. Le régulateur annonce qu’il publiera des guides et des recommandations à ce sujet dans l’été – textes qui devraient provenir d’un nouveau service dédié à 100% à l’intelligence artificielle, ainsi que du laboratoire d’innovation numérique de la CNIL (LINC).
Ces différents travaux permettront de « développer des IA respectueuses des données personnelles », souligne l’autorité. Ils permettront aussi de se préparer au futur règlement européen sur l’intelligence artificielle, qui devrait être voté au Parlement européen au mois de juin.
L’accompagnement et le conseil des entreprises de l’IA en France
Un autre volet dédié aux acteurs de l’IA en France est décrit par la CNIL. Cette année, un accompagnement renforcé a notamment été mis en place pour les entreprises françaises considérées comme à risque. Parmi elles, Contentsquare (qui développe une solution de suivi du parcours utilisateur en ligne avec de l’IA) et Hugging Face (une plateforme collaborative sur l’IA), qui bénéficieront de ce programme pendant six mois.
L’audit et le contrôle
Enfin, reste le volet répressif – la partie audit des systèmes et contrôle visant à protéger les personnes. La Cnil précise avoir été saisie de plusieurs plaintes à l’encontre de la société OpenAI, la start-up qui a lancé ChatGPT. Une procédure de contrôle a également été ouverte. L’autorité rappelle aussi qu’une task force a été créée au sein de l’organisme représentatif des 27 CNIL de l’Union européenne, afin de parler de la même voix face aux géants du secteur. Toutes ces mesures suffiront-elles à faire plier ces nouveaux acteurs clé de la tech ?
Source :
Communiqué de la CNIL du 16 mai 2023