RGPD : six ans après son entrée en vigueur, enseignements et défis présentés par l'IA concernant la sécurité des identités
Alors que le RGPD a soufflé, le 25 mai 2024, sa sixième bougie, l'IA tient une position de plus en plus centrale dans les préoccupations des entreprises, des gouvernements et des utilisateurs.
Selon Statista, le secteur de l’Intelligence Artificielle (IA) devrait afficher un taux de croissance annuel (CAGR 2024-2030) de 28,44 %, avec un volume de marché de 23,88 milliards de dollars d'ici à 2030. En France, le marché devrait atteindre 5,32 milliards de dollars en 2024. Alors que le Règlement Général sur la Protection des Données (RGPD) a soufflé, le 25 mai 2024, sa sixième bougie, l’IA tient une position de plus en plus centrale dans les préoccupations des entreprises, des gouvernements et des utilisateurs. En effet, avec la montée de l’IA, le devenir des données personnelles et des identités est de plus en plus préoccupant, notamment en matière de légalité, de transparence, d’exactitude des données ou encore de clarté des droits des utilisateurs sur leurs données et leurs identités. Alors que les questions de régulation de cette technologie sont au cœur de tous les débats ces dernières années, la CNIL a récemment publié ses recommandations concernant l’application du RGPD dans le cadre du développement des systèmes d’intelligence artificielle (IA) et créé un service dédié à l'IA en janvier 2023.
Si de plus en plus de mesures sont mises en place pour cadrer et réguler l’utilisation croissante de l’IA, la plupart des pays sont encore en train de faire évoluer leurs cadres légaux à mesure que les innovations et les nouvelles utilisations de l’IA émergent. Ainsi, selon le dernier rapport « AI Index Report 2024 » publié par l’Université de Stanford, la France a passé 3 projets de loi sur l’IA en 2023 et 7 lois depuis 2016. Alors que les cyberattaques battent leur plein depuis le début de l’année, il est important d’accompagner le recours aux outils d’IA de manière sécurisée à la fois pour les données et pour les identités des utilisateurs.
Un cadre juridique renforcé : l’« AI Act »
La Commission Européenne estime que « la législation sur l’IA garantit que les Européens peuvent faire confiance à ce que l’IA a à offrir. Alors que la plupart des systèmes d’IA présentent un risque limité voire nul et peuvent contribuer à résoudre de nombreux défis sociétaux, certains systèmes d’IA créent des risques auxquels nous devons faire face pour éviter des résultats indésirables. »
Si, comme en témoignent les analyses de l’Université de Stanford, les pays du monde entier œuvrent en faveur d’une IA plus sécurisée, chaque pays l’aborde selon ses propres règles et son propre prisme. Par exemple, les Etats-Unis et l’Europe ayant une approche différente de la gestion des données personnelles, à l’instar du Patriot Act de 2001, il y a fort à parier que la régulation de l’IA sera soumise aux mêmes conditions et connaîtra des variations selon les pays et leurs réglementations locales. C’est d’ailleurs déjà le cas, ce qui génère de nombreux débats sur l’harmonisation de sa régulation.
C’est dans ce contexte que la commission Européenne, soucieuse de préserver la sécurité de ses ressortissants, a proposé, plus tôt cette année, une série de règles visant à renforcer l’usage sécuritaire de cette technologie qui fascine autant qu’elle divise. La Commission propose ainsi de se concentrer spécifiquement sur les risques créés par les applications d’IA, d’interdire les pratiques d’IA qui présentent des risques inacceptables, et d’établir une liste des demandes considérées comme « à haut risque ». Elle enjoint, par ailleurs, à fixer des exigences claires pour les systèmes d’IA destinés aux applications à haut risque, à définir des obligations spécifiques pour les équipes en charge des déploiements ainsi que les fournisseurs d’applications d’IA à haut risque.
En outre, l’IA Act exige une évaluation de la conformité avant la mise en service ou la mise sur le marché d’un système d’IA donné, l’établissement de mesures d’exécution suite à la mise sur le marché d’un système d’IA donné et le déploiement d’une structure de gouvernance aux niveaux européen et national.
Sécuriser l’IA dès la conception
A date, l’IA conserve encore une grande part de mystère et il est pratiquement impossible de savoir ce qui a déterminé les actions ou décisions d’un système d’IA ; en découlent alors des difficultés à évaluer les potentiels biais ou intentions malveillantes susceptibles de se cacher derrière leur utilisation.
Il y a quelques années, les conversations étaient centrées sur les objets connectés dont les premiers ne disposaient pas de configuration de sécurité par défaut, créant des points de vulnérabilités importants pour les utilisateurs. Quelques années plus tard, la problématique revient avec l’IA – conçue par des humains et donc potentiellement biaisée comme ces derniers. In fine, comme l’a partagé Satya Nadella, le PDG de Microsoft « L’IA peut être utilisée à des fins malveillantes, comme la manipulation de l’opinion publique ou le cyberterrorisme. » A l’image de l’humain, tout dépendra de ce que l’on en fait et définir des paramètres de sécurité renforcés dès la conception, contribuera aux usages vertueux. Par exemple, si le développeur bloque l’accès de l’IA aux potentielles informations dangereuses comme celles liées à la fabrication de drogues, à des actes de guerre ou encore de terrorisme, l’humain qui l’utilisera ensuite, sera moins susceptible de perpétrer des actes malveillants grâce à elle – sous couvert que ce soit un néophyte.
Enseignements durables du RGPD relatifs à la sécurité des données
Selon notre dernier rapport, les entreprises sont de plus en plus inquiétées par les impacts négatifs de l’IA. En effet, il ressort que 50 % des entreprises françaises interrogées s’attendent à des malwares basés sur l’IA au cours des 12 prochains mois, elles ressortent comme les plus inquiètes derrière le Royaume-Uni (53 %). Les fuites de données liées à des modèles d’IA compromis (45 %), les attaques de phishing générées par l’IA (43 %), ou encore les deepfakes (32 %) constituent les points d’inquiétudes soulevés et auxquelles les entreprises doivent accorder davantage d’attention au cours des prochains mois. Si Rome ne s’est pas construite en un jour, les préceptes du RGPD peuvent aider dans la manière d’aborder ces inquiétudes inhérentes à l’IA.
En effet, les individus sont désormais plus conscients de leurs droits en matière de confidentialité et sont plus enclins à demander des comptes aux organisations qui traitent leurs données personnelles. Les entreprises ont également dû intensifier leurs efforts pour garantir la conformité, ce qui a conduit à une meilleure protection des données pour les utilisateurs.
De plus, le RGPD a placé la responsabilité de la protection des données directement entre les mains des entreprises et des organisations. Les entreprises doivent désormais mettre en œuvre des mesures de sécurité appropriées, informer les utilisateurs de la manière dont leurs données sont utilisées et obtenir leur consentement explicite pour le traitement des données. Cela a incité les entreprises à adopter des politiques de confidentialité plus transparentes et à investir dans des mesures de sécurité robustes pour éviter les violations de données.
Nous avons également pu constater une évolution des pratiques de collecte et de traitement des données. En effet, une des leçons clés du RGPD est que la collecte et le traitement des données doivent être proportionnels et limités à ce qui est nécessaire, à des fins spécifiques. Les entreprises ont dû revoir leurs pratiques de collecte de données pour s'assurer qu'elles ne recueillent que les informations essentielles et qu'elles les utilisent de manière éthique et légale. Cela a conduit à une meilleure protection de la vie privée des utilisateurs, qui s’applique plus que jamais à la protection des identités.
Faire face aux nouveaux défis
Tandis que 93 % des entreprises ont été victimes d’au moins deux compromissions d’identité durant l’année passée, six ans après la création du RGPD, la protection des données reste un processus continu qui nécessite une adaptation constante aux nouveaux défis et aux évolutions technologiques. Bien que cette initiative ait révolutionné la façon dont les entreprises et les organisations traitent les données personnelles depuis son entrée en vigueur en mai 2018, le but est désormais d’instaurer une meilleure appréhension des problématiques autour de ces innovations technologiques et de renforcer les bonnes pratiques de sécurité. D’autant plus que celles-ci trouvent leur application dans de nombreux domaines, tels que la recherche, la santé, le service public ou encore la sécurité ce qui exige une surveillance de plus en plus stricte.
Les entreprises doivent rester vigilantes et continuer d’investir dans des pratiques de protection des données robustes afin de garantir la confiance des utilisateurs et la conformité réglementaire.
Le RGPD a été une étape importante dans la protection de la vie privée des individus et dans la responsabilisation des entreprises en matière de traitement des données. Six ans après son entrée en vigueur, il reste un modèle pour les réglementations sur la protection des données en Europe et continue d'inspirer des efforts visant à renforcer la confidentialité et la sécurité des données à l'échelle mondiale tout en s’adaptant aux innovations technologiques telles que l’IA et ses déclinaisons dont la sécurité s’appuie largement sur les exigences du règlement européen.