À la suite du projet de règlement concernant l’intelligence artificielle publié par la Commission Européenne, la CNIL s’est déclarée compétente pour agir comme autorité de contrôle nationale de l’intelligence artificielle. Camille Raclet, counsel, Advant Altana nous livre dans cet article une analyse du plan d’action qui sera mené par l’autorité dans son rôle de régulatrice de l’intelligence artificielle.
Parmi les diverses dispositions du projet de Règlement « établissant des règles harmonisées concernant l’intelligence artificielle »[1]publié par la Commission Européenne, figure celle portant sur la désignation par chaque État membre d’une autorité de contrôle nationale.
Selon ce projet, cette autorité nationale serait « chargée de contrôler l’application et la mise en œuvre du règlement », mais aussi de coordonner les activités du pays concerné, d’être un « point de contact unique pour la Commission et de représenter l’État membre au sein du Comité européen de l’intelligence artificielle. ».
Très rapidement après la publication du projet de Règlement, la CNIL et ses équivalentes européennes ont adopté un avis[2] par lequel elles indiquent être selon elles les plus à même d’être désignées et pour agir comme étant ces autorités de contrôle national de l’intelligence artificielle.
Au travers de cette prise de position, la CNIL et ses homologues indiquent notamment que dès lors qu’elles sont déjà en charge de l’application du RGPD et ont une grande connaissance pratique et théorique de la législation applicable à la protection des données, elles pourraient mettre à profit leur expérience afin notamment de mettre en place une gouvernance la plus harmonisée possible (entre les États membres et entre les textes eux-mêmes).
Plus d’un an après, le Conseil d’État s’est saisi de la question et au terme d’une grande étude[3] sur l’usage de l’intelligence artificielle dans le cadre des services publics, préconisait « une transformation profonde de la CNIL en autorité de contrôle nationale responsable de la régulation des systèmes d’IA, notamment publics […] ».
Cela ne semble plus être qu’une question de temps : la CNIL deviendrait donc autorité régulatrice nationale à un double titre : quant à l’usage des systèmes d’intelligence artificielle et quant à la protection des données personnelles.
Quelles sont les actions menées par la CNIL dans cette perspective et à quoi faut-il s’attendre dans les prochains mois à ce sujet ?
La CNIL a créé en son sein un « Service de l’intelligence artificielle »
En janvier de cette année, la CNIL a d’abord constitué un service dédié à l’intelligence artificielle, afin d’abord d’appréhender au mieux les questions suscitées par ces systèmes notamment en matière de protection des données, et pour préparer l’entrée en vigueur du Règlement sur l’intelligence artificielle.
Consciente de la nature certes juridique, mais également particulièrement technique des questions posées par l’usage des systèmes d’intelligence artificielle, la CNIL a annoncé que son « Service de l’intelligence artificielle », ou SIA, serait composé de juristes et également d’ingénieurs spécialisés.
Le SIA devrait donc permettre à la Commission de maitriser ces sujets sous tous les angles, et interviendra dans la production de référentiels, instructions de demandes d’avis du gouvernement, et devrait être, selon le communiqué annonçant la création de ce service « support dans l’instruction de plaintes et l’adoption de mesures correctrices en cas de manquements liés à l’utilisation d’un système d’IA ».
La CNIL a publié son plan d’action pour la deuxième partie de l’année 2023
Il y a quelques semaines, la CNIL annonçait son plan d’action « pour un déploiement de systèmes d’IA respectueux de la vie privée des individus », avec un focus particulier sur les intelligences artificielles génératives (c’est-à-dire capables de générer du contenu, qu’il s’agisse de textes, images, ou autres, sur la base d’instructions d’un utilisateur).
Le Service de l’intelligence artificielle nouvellement créé devrait être au centre de la mise en œuvre de ce plan d’action, articulé autour de quatre axes.
Le premier consiste en un travail d’analyse du « fonctionnement des systèmes d’IA et leurs impacts pour les personnes », en particulier des techniques de collecte des données et d’informations des personnes concernées.
L’objet du second volet est de permettre aux différents acteurs ayant recours aux systèmes d’intelligence artificielle de disposer de référentiels et de cadres, leur permettant de les guider dans leur usage et de réduire l’incertitude juridique qui existe aujourd’hui.
À l’issue de cette phase de travail, la CNIL devrait être en mesure de publier différentes recommandations concrètes, notamment en ce qui concerne les systèmes d’IA générative, tels que ChatGPT.
Dans le cadre du troisième axe de ce plan d’action, la CNIL entend échanger et accompagner différents acteurs agissant dans le domaine de l’intelligence artificielle, au travers de consultations, appels à projets et programmes d’accompagnements.
La Commission souhaite encourager le dialogue entre ses équipes et les acteurs économiques et de recherches qui ont pour projet de développer des systèmes d’IA dans le respect des règles de protection des données personnelles.
Enfin, le 4ème volet de ce programme est particulièrement important, puisqu’il est relatif à l’audit et au contrôle des systèmes d’intelligence artificielle mis en place.
En effet, sans attendre l’entrée en vigueur du projet de règlement, la CNIL peut d’ores et déjà contrôler les différents usages et traitements de données personnelles qui sont mis en place et qui impliquent l’usage de systèmes d’IA.
La CNIL annonce même qu’elle focalisera en particulier ses contrôles en 2023 sur :
- l’usage de la vidéosurveillance « augmentée » et le respect de la position de la CNIL sur le sujet
- l’usage de l’intelligence artificielle pour la lutte contre la fraude
- l’instruction des plaintes reçues relatives à l’entraînement et à l’utilisation des IA génératives (en particulier contre OpenAI, qui opère ChatGPT).
Les prochains mois s’annoncent donc riches en actualités concernant la régulation des systèmes d’intelligence artificielle et le rôle de la CNIL sera central, en particulier en ce qui concerne la protection des données personnelles, mais pas seulement.
Camille Raclet, counsel, Advant Altana
____________________
[1] Proposition de Règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, publié le 21.4.2021
[2]Joint Opinion5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act), 18 June 2021
[3]Intelligence artificielle et action publique : construire la confiance, servir la performance – 30 aout 2022 https://www.conseil-etat.fr/actualites/s-engager-dans-l-intelligence-artificielle-pour-un-meilleur-service-public