Par Denise Lebeau-Marianna, associée, et Yaël Hirsch, avocate, DLA Piper

La puissance de traitement des données qui caractérise l’IA séduit et fascine tout en étant génératrice d’inquiétudes et d’interrogations sur les risques qu’elle peut soulever. C’est tout le paradoxe de l’IA qui nécessite donc un encadrement rassurant pour en permettre le développement de manière sereine.

Si le règlement général sur la protection des données (RGPD) a vocation à relever les nouveaux défis technologiques et notamment ceux de l’IA, indissociable de l’utilisation massive de données avec l’utilisation d’algorithmes d’apprentissage profond, des questions se posent quant à la compatibilité de l’IA avec ce nouveau texte. En effet, les principes du RGPD restent applicables et trouvent toute leur place dans le contexte d’une utilisation de l’IA centrée sur l’individu (1). Pourtant les nouveaux enjeux de l’IA ne peuvent être appréhendés seulement dans une perspective individualiste car les algorithmes de l’IA peuvent comporter des biais pour produire des résultats, lesquels peuvent avoir des impacts collectifs et non seulement individuels. Ces nouveaux enjeux nécessitent donc d’autres mesures pour encadrer son utilisation (2).

1. Un encadrement de l’IA dans une perspective «individualiste»

En tant que moyen d’automatisation de tâches complexes, l’IA peut aider les entreprises à rendre leurs traitements de données personnelles usuels conformes au RGPD. Par ailleurs, dans la mesure où les algorithmes de l’IA ont recours à des traitements de données personnelles, le RGPD et la loi du 6 janvier 1978 (1) sont applicables.

1.1. L’IA, un moyen de mise en conformité de l’entreprise au RGPD

Le RGPD est un texte structurant pour les entreprises en ce qu’il instaure des règles précises pour mettre en place une gouvernance des données. Cette gouvernance repose notamment sur des processus d’identification et de classification des données pouvant être standardisées par l’IA. Sans prétendre à l’exhaustivité, nous pouvons ainsi envisager que :

- l’IA permette de dresser une cartographie précise des données personnelles en classant les données par degré de sensibilité sur la base d’une approche par les risques, conforme au RGPD. Cette automatisation permettrait de gagner en précision et en rigueur là où un recensement manuel peut s’avérer fastidieux et approximatif ;

- l’IA puisse être un outil d’accompagnement dans la mise en œuvre du principe de proportionnalité, principe clé du RGPD, en aidant l’entreprise (i) à identifier les données pouvant faire l’objet d’un processus d’anonymisation ou de pseudonymisation, (ii) à interdire ou contrôler le renseignement de champs libres dans des applications comportant de tels champs, ou encore (iii) à conduire une évaluation d’impact sur la base d’une procédure standardisée.

L’IA peut ainsi devenir un outil précieux d’accompagnement dans la mise en conformité RGPD tant dans sa mise en œuvre initiale que dans sa continuité et sa mise à jour régulière.

1.2. Le RGPD, un moyen d’encadrer les projets basés sur l’IA

Dans son document de synthèse sur les enjeux éthiques liés à la place des algorithmes dans notre vie quotidienne (2), la CNIL indique que «les algorithmes et leurs usages sont déjà encadrés par de nombreuses règles juridiques». Dans le domaine des données personnelles, la loi du 6 janvier 1978 et le RGPD prévoient ainsi des règles fondamentales pour éviter des déviations :

(i) un encadrement strict de l’utilisation des données personnelles nécessaires au fonctionnement des algorithmes. Les principes de minimisation des données, de protection de la vie privée dès la conception ou par défaut, de limitation des finalités et d’analyse d’impact pourront ainsi utilement être mis en œuvre dans le cadre de la collecte de grandes masses de données sans finalités préétablies. Il va de soi que les autres exigences, notamment les obligations de sécurité et d’information préalable restent applicables ;

(ii) une interdiction des décisions sur la seule base d’un traitement entièrement automatisé. Afin de pondérer les effets d’une décision prise par un tel programme, une intervention humaine peut venir en complément. Il s’agit d’une pratique qu’il conviendra sans doute d’améliorer pour apporter plus de garanties aux personnes concernées ;

(iii) le droit des personnes concernées d’être informées de la logique suivie par l’algorithme sur lequel repose le traitement. Ce droit induit un principe de loyauté et de transparence tant dans la détermination des critères de fonctionnement de l’algorithme que dans l’information des personnes concernées sur ce que fait l’algorithme et sur son objectif.

En outre, l’IA doit pouvoir capitaliser sur les règles strictes du RGPD en matière de transferts internationaux des données et de sécurité. Toutefois, l’IA peut également reposer sur des données non personnelles, échappant ainsi aux dispositions du RGPD. Dans une telle hypothèse, il importe de rester vigilant car les conséquences de ces traitements peuvent avoir des impacts collectifs non négligeables.

2. Encadrement de l’IA dans une perspective «collectiviste»

Le rapport de Cédric Villani (3) souligne cet impact et part du constat que l’IA ne mobilise pas systématiquement des données personnelles, laissant sans cadre juridique véritable certains traitements qui en résultent et qui pourtant peuvent avoir des effets significatifs sur les personnes concernées, à un niveau non plus individuel mais collectif. En effet, lorsque les individus interagissent avec des plateformes numériques, ils laissent des traces qui sont collectées avec pour objectif officiel la personnalisation des services ou l’optimisation des déplacements. Or la mise en œuvre de ces traitements donne lieu de manière officieuse à du profilage aboutissant, après un traitement dans une «boîte noire», à un classement produisant des effets juridiques ou économiques conformes au profil correspondant.

Il a ainsi été observé dans le cadre des applications de justice prédictive visant à produire un score de risque de récidive de détenus libérés, qu’un score élevé apparaissait (pourtant sans récidive effective observée) pour les anciens détenus afro-américains et qu’il était plus fort que pour les blancs. Cet effet pervers vient du fait que les systèmes d’IA ayant donné le plus de résultats aujourd’hui s’appuient sur des algorithmes d’apprentissage profond qui se fondent essentiellement sur la donnée d’expériences passées (ou de big data) sans recourir à des règles établies à l’avance, comme en programmation classique. La partialité de ces algorithmes crée des inégalités entre les individus qui peuvent ainsi être victimes de discriminations.

La réglementation des données personnelles essentiellement centrée sur la protection d’un individu ne permet pas d’apporter une protection suffisante contre ces dérives. En effet, ces technologies reposent sur l’analyse d’une masse importante de données visant à identifier des tendances et comportements sur des groupes d’individus et non sur les données individuelles. Ce changement de paradigme nécessite donc d’entamer une réflexion autour de nouveaux droits ou de droits existants revisités.

Le rapport de Cédric Villani préconise notamment :

(i) d’intégrer l’éthique dès la conception, le développement et la commercialisation des systèmes d’IA ;

(ii) de mettre en place une reconnaissance de «droits collectifs sur les données» qui seraient protégés par le législateur ;

(iii) de renforcer l’action de groupe déjà prévue par le RGPD, afin de permettre la réparation du préjudice établi ;

(iv) de repenser le «droit à la portabilité» «dans une perspective citoyenne en permettant aux [consommateurs] de récupérer leurs données pour les mettre à la disposition d’un acteur public ou de la recherche scientifique au profit de missions d’intérêt général». Il s’agirait alors de développer des nouvelles bases de données à l’usage d’un service public avec une finalité fondée en droit et sur le plan éthique.

La CNIL (2), quant à elle, appelle :

(i) à un renforcement de l’obligation de transparence et de loyauté nécessitant d’expliciter la finalité du traitement envisagé par l’algorithme d’IA et ses conséquences d’une manière claire et compréhensible ;

(ii) à la vigilance collective face aux impacts possibles de l’IA ; et

(iii) à une intervention sur la conception même des algorithmes pour lutter contre leur opacité par la mise en place d’outils de visualisation permettant à la personne concernée de mieux contrôler les critères qui détermineront la décision finale.

Il est également prévu de procéder à un audit régulier des algorithmes afin de contrôler leur conformité à la loi et leur loyauté. Une labellisation des algorithmes vertueux pourrait aussi être envisagée.

Enfin, les entreprises déployant des algorithmes susceptibles d’avoir des impacts significatifs, doivent penser à la mise en place d’une gouvernance, dont les composantes pourraient être un comité éthique et un déontologue, pour contrôler les projets d’IA et s’assurer de leur éthique.

L’IA étant une technologie en perpétuelle mutation, elle ne peut être régie par un régime juridique figé. Il faudra donc être attentif à son utilisation dans un environnement juridique capable de s’adapter aux caractéristiques évolutives de cette technologie.

(1). Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

(2). Comment permettre à l’homme de garder la main ? Rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle, CNIL, décembre 2017.

(3). Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne, mars 2018.