Data et IA en Europe : existe-t-il une réelle stratégie ?
La sur-réglementation émergente tend à complexifier l'innovation par l'IA dans l'UE, plaçant celle-ci dans une position d'infériorité technologique au niveau mondial. Voici pourquoi la coordination internationale est la meilleure option.
Notre constat
L’importance de la vie privée est reconnue à l’échelle mondiale, cependant il n'existe toujours pas de définition internationalement établie de ce qu'elle est réellement.
En 1948, les membres des Nations unies ont adopté la Déclaration universelle des droits de l'Homme, dont l'article 12 énonce le droit à la vie privée : "Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes." La notion de correspondance pourrait ici faire référence aux échanges que l’on peut avoir aujourd’hui par email ou par d’autres applications.
Les pays ont donc été libres d'interpréter cette norme comme ils l'entendent. Les consommateurs, soucieux du respect de leur vie privée au vu des dérives concernant l’usage de leurs données personnelles, ont cependant fortement incité les États à fournir de nouveaux cadres juridiques. Ainsi au cours des dernières années la législation à travers le monde s’est accélérée sur le sujet, avec notamment l’arrivée de textes majeurs :
- Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur en mai 2018, a pour but de protéger la vie privée des citoyens européens en s'appuyant sur le principe de Privacy by Design. Celui-ci implique d’intégrer le concept de protection des données à caractère personnel dès la conception des projets.
- La directive de l'UE sur les cookies, adoptée en 2011, est une adaptation de la directive e-privacy de l'Union européenne (UE). Elle stipule que les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement. Cette directive s'applique à tous les pays de l'UE, ainsi qu'aux sites Web appartenant à des entreprises européennes et aux sites internationaux qui s'adressent aux citoyens de l'UE.
- Le Privacy shield, adopté en 2016, constitue un cadre destiné à réglementer les échanges transatlantiques de données à caractère personnel à des fins commerciales entre l'UE et les États-Unis. La Cour Européenne de Justice l’a cependant déclaré invalide le 16 juillet 2020 (nous suivrons cela de près !).
- Le Cloud Act, promulgué en mars 2018, permet aux instances de justice américaines d’obtenir des opérateurs télécoms et des fournisseurs de services de cloud computing les données relatives aux communications électroniques stockées sur leurs serveurs, qu'ils soient situés aux États-Unis ou dans des pays étrangers.
- Le California Consumer Privacy Act, loi votée en 2018 est destinée à renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de Californie, aux États-Unis.
- La loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) dont la “Privacy rule” est entrée en vigueur en 2003 aux États-Unis. Celle-ci établit des normes nationales pour protéger les dossiers médicaux et autres informations personnelles sur la santé des personnes et s'applique aux plans de santé, aux centres d'échange de soins de santé et aux prestataires de soins de santé qui effectuent certaines transactions de soins de santé par voie électronique.
- La loi sur la cybersécurité de Chine, implémentée en 2017, ainsi que la spécification sur la sécurité des informations personnelles de 2018, sont entrées en vigueur pour renforcer la protection des données, la localisation des données et la cybersécurité dans l'intérêt de la sécurité nationale.
Pour approfondir les législations par pays, nous vous recommandons cet outil très utile sur le site de la CNIL qui cartographie de manière mondiale les différents niveaux de protection des données.
Quel que soit le pays concerné, des autorités de contrôle existent afin d’accompagner, de vérifier leur application et éventuellement sanctionner les entreprises. Ce cadre légal permet de limiter et juguler la course folle vers les données. Les entreprises se tournent alors progressivement vers des data brokers pour acheter des données et améliorer ainsi leur connaissance client et leurs services. Ces sociétés de data brokerage collectent des données utilisateurs en masse (nom, adresse, informations de santé, salaire, crédits, achats, religion…), souvent à l’insu des individus concernés. Les data brokers se livrent aujourd’hui à un exercice de funambule, jouant avec la légalité et justifiant leur existence par une utilité économique (aide au développement de nouveaux services) et une utilité publique (sécurité et défense).
La perception différenciée de la donnée selon les cultures est frappante.
Par exemple, les principales sociétés de data brokerage sont américaines et elles considèrent la donnée comme un bien marchand, loin du rapport éthique qu’entretiennent les pays européens. Les États-Unis continuent par ailleurs de mettre l'accent sur les droits des États dans leur gouvernance, et préconisent une approche bottom-up concernant la confidentialité des données. Cette approche se répercute sur les possibilités d’usages de l’intelligence artificielle (IA). Ainsi les États-Unis encouragent l'innovation par l'IA, et recommandent une approche non interventionniste de la réglementation de l'IA plutôt qu'une approche juridique fondée sur des valeurs morales.
En résumé, aux États-Unis la protection des données personnelles et de la confidentialité est minimaliste et permet à l'IA de maximiser la rentabilité et l'efficacité des entreprises.
La Chine quant à elle a initié plus récemment sa réglementation sur la protection des données. Mais la Chine a un objectif double : forcer les entreprises à protéger les données personnelles tout en permettant au gouvernement d’accéder à ces données. Il n'existe en effet toujours pas de protection significative de la vie privée contre les intrusions gouvernementales. En conséquence l'IA chinoise est optimisée pour maximiser l'emprise du gouvernement sur la population et préserver le pouvoir.
La vision plus stricte de l’UE sur le sujet de protection des données et notamment la proposition de Digital Markets Act de la Commission Européenne est perçue à un niveau international comme protectionniste. Ce projet de législation vise en effet à limiter la position dominante des grandes entreprises technologiques américaines et chinoises. Globalement, l’UE semble donner la priorité à la réglementation sur l'innovation.
En conséquence, le contexte international au regard de la protection et de l’utilisation des données personnelles est très inégal. Il n’y a pas de cohérence et de cadre mondial.
Les limites pour l’UE
Le RGPD est le texte le plus strict dans le monde en termes de niveau de protection des données qu’il impose. Ce texte est cependant flou, et laisse la place à l’interprétation. Nombreux sont les cabinets d’avocats qui se sont emparés du sujet pour y trouver des contournements et permettre aux entreprises de collecter les données sous couvert d’un intérêt légitime. Cela se ressent côté utilisateurs : selon l'enquête RSA Data Security & Privacy Survey 2019, 45% des personnes interrogées ont déclaré que leurs informations personnelles avaient été compromises au moins une fois au cours des cinq dernières années. Les dépôts de plaintes auprès de la CNIL sont possibles et ont augmenté de 62,5% depuis la mise en place du RGPD. Ces procédures administratives sont néanmoins complexes et donnent peu de visibilité sur le délai de prise en charge.
En 2020 la CNIL a réalisé 247 contrôles, un chiffre qui paraît bien faible au regard des 2 700 000 entreprises françaises existantes. Les entreprises tentent cependant de rattraper leur retard et de se mettre en conformité en augmentant fortement leurs budgets sur ces sujets.
Le cadre législatif européen a tout de même l’avantage de fournir des principes et une orientation aux organisations pour qu'elles protègent les données personnelles et adoptent de ce fait une démarche responsable et éthique. Les organisations disposent ainsi d'un ensemble de critères à évaluer et à mettre en œuvre, le cas échéant.
Les principes de protection des données exercent cependant des tensions sur les possibilités en matière d’IA, comme la limitation de la finalité et la minimisation des données. L’entraînement des algorithmes s’en trouve impacté car il nécessite de larges volumes de données.
En complément la Commission Européenne a très récemment proposé une réglementation pour une IA de confiance avec une approche basée sur des niveaux de risque des applications, bien qu’elle ne puisse pas limiter l'utilisation par les gouvernements de technologies d'IA nuisibles (excepté pour l'utilisation de la surveillance par les États).
Dans un tel contexte réglementaire innover devient challengeant, le législateur est constamment en réaction face aux innovations sur les sujets data et IA puisqu’il ne peut pas tout anticiper. Des interactions plus fréquentes avec des professionnels du secteur seraient néanmoins pertinentes afin d’éviter de faire passer du jour au lendemain une entreprise innovante à une entreprise hors la loi.
Cette sur-réglementation émergente tend ainsi à complexifier l’innovation par l’IA dans l’UE, plaçant celle-ci dans une position d'infériorité technologique au niveau mondial.
La France et l’Allemagne souhaitent donc revenir dans la course et proposent de créer une infrastructure européenne des données, nommée Gaïa-X, dont les premiers services cloud sont attendus pour septembre 2021. Gaïa-X est une association qui vise à fournir un catalogue de services cloud sécurisé et digne de confiance, permettant à la fois le portage d'applications et le partage de données d'un fournisseur à l'autre.
Le consortium constitué est certes indépendant mais inclut des membres non européens tels que Alibaba Cloud, Amazon Web services, Google Cloud et Microsoft Azure.
Si l'idée de la souveraineté européenne dans les domaines technologiques est ici un vœu pieux, dans les faits les éditeurs de logiciels et fabricants de matériel européens sont absents du projet, et les financements publics bénéficient à des acteurs extra-européens.
Plus récemment le gouvernement français a annoncé la décision de créer un label de confiance pour les entreprises du numérique spécialisées dans le stockage des données. Ce label “cloud de confiance” sera délivré par l'Anssi (Agence nationale de la sécurité des systèmes d'information) et a pour but de garantir la souveraineté des données stockées. Cependant les entreprises non françaises pourront également recevoir ce label, à condition de respecter certaines règles telle que la localisation des données en Europe, et la commercialisation de leurs offres via des “fournisseurs de cloud français”. Les membres non européens de Gaïa-X devront notamment recevoir ce label pour proposer leurs services.
Ainsi Gaïa-X garantira bel et bien la souveraineté des données mais ne permettra pas d’augmenter le savoir-faire technologique et les compétences européennes.
Ces initiatives mettent en évidence la difficulté de l’Europe à trouver sa place à un niveau mondial, entre un protectionnisme non souhaitable et une sur-réglementation générant un labyrinthe administratif pour les entreprises.
Demain : un nouvel écosystème, de nouveaux acteurs
La proposition de Data governance act (DGA) par la Commission européenne pourrait rebattre les cartes de l’écosystème et favoriser l’émergence de nouveaux acteurs.
Voyons d’abord les 3 piliers de cette proposition :
- Rendre disponibles pour la réutilisation les données protégées détenues par le secteur public
- Renforcer la confiance dans le partage des données en encadrant la réutilisation des données via un intermédiaire de partage des données neutre et transparent
- Créer une certification d’organisation “data altruistes” qui fournissent volontairement des données d’intérêt général (susceptibles d’aider la recherche par exemple)
Les autorités de contrôle ont aujourd’hui besoin de “relais”, afin d’étendre leur périmètre d’intervention et d’accélérer la sensibilisation de toutes les couches de l’écosystème. Ces organismes privés certifiés par les autorités de contrôle pourraient donc prendre la forme d’intermédiaire de partage des données, tel que décrit dans le pilier n°2 ci-dessus.
Quel rôle pour l’intermédiaire de partage de données ?
L’intermédiaire de partage de données doit être un tiers de confiance qui met en relation les producteurs et les consommateurs de données. Il reste encore à renforcer la confiance dans ces intermédiaires pour rassurer les entreprises sur leur neutralité et leurs capacités techniques à gérer les transferts de manière privée et sécurisée.
Le DGA prévoit donc d’obliger les prestataires de service de partage de données à se déclarer, de créer des conditions obligatoires de fourniture des services (transparence, interopérabilité…) et de contrôler le respect des dispositions.
Demain ces intermédiaires faciliteront le partage privé et sécurisé des données entre les acteurs, leur permettant ainsi d’étendre leur patrimoine de données disponible.
Ces tiers de confiance pourraient également avoir pour vocation de tracer les échanges, protéger les données échangées et fournir ainsi des preuves de conformité en cas de contrôle. La donnée sera alors un produit circulaire pour les entreprises, leur permettant de collaborer à des projets communs.
Des pots communs d’apprentissage et de travail sur les données pourront être mis à disposition par les intermédiaires. Ces espaces permettront le travail collaboratif sur des algorithmes partagés entre plusieurs acteurs.
Est-ce pour autant suffisant pour recréer un lien de confiance avec les utilisateurs ? Il n’y a pas de preuve ou label au niveau des entreprises qui permettrait de rassurer les utilisateurs.
Une réponse possible, ces intermédiaires de partage pourraient décerner des labels IA de confiance, fondés notamment sur les exigences du règlement à venir de la Commission européenne.
A l’instar des labels bios, on pourrait imaginer un panel d’organismes certifiés délivrant des labels selon certains critères spécifiques (éthique, interprétabilité, etc) contrôlés tous les ans par exemple.
Une autre idée est qu'en plus de respecter les normes de transparence, les algorithmes d'IA pourraient être soumis à des essais, semblables à ceux exigés pour les nouveaux médicaments, avant d'être approuvés pour un usage public.
Nous sommes convaincus que le modèle de demain s’articule autour d’une gestion circulaire et vertueuse de la donnée basée sur de multiples acteurs privés de confiance permettant les interconnexions entre les entreprises.
Vers une coordination internationale ?
L’accélération de la réglementation européenne semble avoir déclenché une remise en question à l’échelle mondiale, notamment pour la Chine et les États-Unis. Il y a en effet une évolution de leurs réglementations sur la protection des données personnelles, qui s’inspirent en partie des principes du RGPD.
Concernant l’IA, les frameworks et réglementations à venir seront intimement liés à la protection des données personnelles, déterminant ainsi les usages possibles. Aujourd’hui chacun légifère et les réglementations sont souvent contradictoires d’un pays à l’autre, et non interopérables. Au risque de voir à terme une fragmentation et isolation des réseaux et des accès aux services internet.
Ce qui est spécifique à chaque pays et même à chaque entreprise, c’est la notion d’éthique. Les entreprises ont pris le pli de rédiger des chartes éthiques afin de décrire leurs directives en matière d'IA, selon leur propre système de valeurs. Cette dimension doit rester un choix local et ne peut pas être coordonnée de manière internationale.
Mais il serait pertinent d’avoir un framework international de protection des données et d’IA basé sur une définition universelle de la vie privée.
Les principes de l'OCDE vont en ce sens et proposent d’établir une norme internationale, fondée sur des valeurs communes. En mai 2019, les propositions du groupe d’experts mis en place ont abouti à ces principes qui ont été approuvés par plus de 40 pays à ce jour. Ces travaux ont émergé parallèlement aux initiatives d'autres pays visant à créer des cadres de gouvernance de l'IA.
Nous pensons qu’il est en effet essentiel d’aligner les principes et méthodes afin de renforcer le partage intelligent, sécurisé et privé des données et modèles à l’échelle internationale, dans le but de créer de la valeur et résoudre les grands défis de l’humanité (la crise du Covid a démontré cette nécessité plus que jamais !).
Les entreprises ont de toute façon besoin d’un point de vue business de données récurrentes sur les utilisateurs. Le cadre légal permet de les obliger à respecter la collecte et l’usage des données personnelles.
Quant aux transferts de données, de nouvelles règles ont émergé très récemment. Le Comité européen de la protection des données (EDPB) a publié le 18 juin 2021 ses recommandations finales concernant les transferts de données à caractère personnel vers des pays tiers afin de se conformer aux règles de l'UE en matière de protection des données, suite à l’annulation du Privacy Shield.
En somme, certains transferts de données vers des pays tiers ne pourront tout simplement pas être effectués légalement. Etant donné la société mondialisée dans laquelle nous vivons, de nombreuses entreprises auront vraiment du mal à se conformer à ces nouvelles exigences, qui ne permettent toujours pas une coordination internationale saine.
Dans le framework international que nous imaginons, l’interopérabilité et la transparence sur les transferts seraient incontournables. Les flux devraient se conformer aux grands principes internationaux établis et garantir la sécurité et la confidentialité des données échangées. Et ce, pour un monde qui innove grâce aux données, respecte et cesse de culpabiliser l’utilisateur, le remettant en position de consommateur éclairé.