Intelligence artificielle : le plan d’action de la Cnil

Dans la santé, comme dans d’autres domaines, la protection des données personnelles est un enjeu fondamental dans le développement de l’intelligence artificielle (IA). La Commission nationale Informatique et Libertés (Cnil) s’est saisie des enjeux de protection des données et des libertés individuelles, notamment avec la publication en 2017 de son rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle.

Les intelligences artificielles génératives

Le développement des IA s’accélère avec en particulier les intelligences artificielles génératives dans le champ textuel et de la conversation, comme GPT-3, Bloom ou Megatron NLG et les agents conversationnels (« chatbots ») dérivés (ChatGPT ou Bard), mais aussi de l’imagerie (Dall-E, Midjourney, Stable Diffusion, etc.) ou de la parole (Vall-E).

Ces modèles de fondation trouvent de nombreux cas d’application malgré une compréhension du fonctionnement, des possibilités ou des limites floue et des enjeux juridiques, éthiques et techniques qui posent débat. La Cnil publie son plan d’action sur l’intelligence artificielle pour encadrer le développement des IA génératives. La Commission a ainsi mis en place un service transversal de l’intelligence artificielle avec quatre objectifs :

Appréhender le fonctionnement des systèmes d’IA et leurs impacts sur les personnes

Les techniques innovantes posent d’abord des questions de loyauté et de transparence des traitements de données sous-jacents ainsi que de protection des données à la fois publiquement accessibles sur le Web (moissonnage, ou scraping) ou transmises par les utilisateurs via une interface de collecte, mais aussi lors de leur réutilisation ou de leur traitement par les algorithmes. L’appréhension des conséquences sur les droits des personnes concernant leurs données est également essentielle, notamment s’agissant de la protection contre les biais et les discriminations susceptibles de survenir ou des enjeux de sécurité.

Permettre et encadrer le développement d’IA respectueuses des données personnelles

L’application du RGPD à l’IA semble poser question, en particulier pour l’entraînement des IA génératives. Anticipant l’entrée en application du règlement européen sur l’IA actuellement en discussion, la Cnil propose des  fiches sur l’IA, publiées en 2022 sur cnil.fr, comprenant, entre autres, des contenus pédagogiques sur les grands principes de l’IA et un guide pour accompagner les professionnels dans leur mise en conformité, ainsi que sa position, également publiée en 2022, sur l’usage de la vidéosurveillance « augmentée » qui exploite l’IA pour le traitement automatisé d’images captées dans l’espace public.

D’autres documents suivront, dont un guide sur les règles applicables au partage et à la réutilisation de données, qui sera bientôt soumis à consultation. Des travaux sont également entamés sur la conception de systèmes d’IA et la constitution de bases de données pour l’apprentissage automatique, notamment dans la recherche scientifique pour la constitution et la réutilisation des bases de données d’entraînement. Les réflexions éthiques en cours concernent l’utilisation et le partage des modèles d’apprentissage automatique, la prévention et la correction des biais et discriminations ou encore la certification des systèmes d’IA.

Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe

Cet accompagnement passe d’abord, depuis deux ans, par des « bacs à sable » pour accompagner les projets et acteurs innovants, notamment sur la santé en 2021 (12 projets accompagnés) et sur l’éducation en 2022 (10 projets accompagnés). Des conseils adaptés à des acteurs innovants de l’IA ont été dispensés dans ces domaines.

En 2023 un nouveau programme « d’accompagnement renforcé » est lancé pour assister des entreprises innovantes, en premier lieu dans le domaine de l’IA, dans leur conformité au RGPD.

La Cnil souhaite dialoguer avec les équipes de recherche, centres de R&D et entreprises françaises développant, ou souhaitant développer, des systèmes d’IA dans une logique de conformité aux règles de protection des données personnelles.

Auditer et contrôler les systèmes d’IA et protéger les personnes

La Commission développe également des outils pour auditer les systèmes d’IA qui lui sont soumis a priori ou a posteriori. En 2023, ces audits porteront, par exemple, sur l’usage de l’intelligence artificielle pour la lutte contre la fraude, notamment à l’assurance sociale. L’attention est principalement mise sur la réalisation d’une analyse d’impact relative à la protection des données (AIPD) pour documenter les risques et détailler les mesures adoptées permettant de les diminuer, ainsi que sur les mesures destinées à l’information des personnes et à favoriser l’exercice de leurs droits dans le contexte de l’IA.

La finalité de la Cnil est d’établir des règles claires sur la protection des données personnelles des citoyens européens afin de contribuer au développement de systèmes d’IA respectueux de la vie privée dans tous les domaines.