La CNIL propose un plan de régulation de l'IA

Le plan propose de créer un nouveau service au sein de la CNIL dédié à la compréhension, à l'audit et à la régulation de la technologie, en particulier des plateformes d'IA dites générative.

La Commission nationale de l'informatique et des libertés (« CNIL ») a publié un plan d'action proposant un cadre de régulation de l'intelligence artificielle (« IA »). Ce plan propose de créer un nouveau service de l’intelligence artificielle au sein de la CNIL dédié à la compréhension, à l'audit et à la régulation de la technologie, en particulier des plateformes d'IA dites générative telles que ChatGPT, en France et en Europe.

Quelles sont les principales caractéristiques du plan de la CNIL ?

Les principales caractéristiques du plan d’action de la CNIL reposent sur les quatre volets suivants :

  • Appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes ;
  • Permettre et encadrer le développement d’IA respectueuses de la vie privée ;
  • Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe ;
  • Auditer et contrôler les systèmes d’IA et protéger les personnes.

La rapidité et l'innovation avec lesquelles les systèmes d'IA sont développés soulèvent constamment de nouvelles questions, la protection des données étant l'une des préoccupations majeures pour la conception et l’utilisation de ces outils. Par conséquent, la compréhension du fonctionnement des systèmes d'IA et de leur impact sur les personnes permettra à la CNIL de déterminer comment garantir aux utilisateurs le respect de leur vie privée, l'équité et la transparence. Parmi les autres priorités figurent la protection des données publiquement accessibles, les informations transmises par les utilisateurs via l'IA, la protection contre les préjugés et la discrimination, ainsi que les questions relatives aux enjeux de sécurité sans précédent soulevés par l'IA.

En effet, un des problèmes des systèmes d'IA tels que ChatGPT, est qu'ils peuvent fournir des réponses biaisées ou fausses aux questions qui leur sont posées. ChatGPT fonctionne en apprenant du comportement de l'utilisateur et en établissant des liens entre les mots et les invites. À la différence de Google, lorsque vous posez une question à ChatGPT, vous ne pouvez pas voir la source de l'information et décider par vous-même si celle-ci est fiable ou non. Le chatbot se contente de vous donner une réponse qui peut être inexacte, voire discriminatoire. Le nouveau plan d'action de la CNIL propose de se prémunir contre ce type de risque.

En outre, la CNIL supervisera et encouragera le développement d'une IA éthique en mettant l'accent sur les droits des utilisateurs et la manière dont leur accès, leur droit d'opposition ou la rectification des données sont gérés. La CNIL prévoit d'aider les entreprises qui utilisent l'IA en fournissant des conseils et en produisant de la documentation pour soutenir les organismes. L'autorité de régulation des données s'efforce également de synchroniser ses efforts avec ceux d'autres autorités, telles que l'UE, afin de protéger le public au moyen de contrôles et d'audits relatifs aux systèmes d'IA.

L'UE a déjà proposé une nouvelle loi sur l'intelligence artificielle visant à promouvoir la confiance et la transparence dans les technologies et à donner aux développeurs et aux utilisateurs des exigences claires à respecter. Il s'agit d'une étape positive vers la réglementation de l'IA, qui ira de pair avec les projets de la CNIL.

Comment le plan de la CNIL protégera-t-il le droit à la vie privée des personnes ?

Le plan d'action de la CNIL consiste tout d'abord à comprendre le fonctionnement des modèles d'IA et leur impact sur la vie privée et les droits d'auteur, ainsi que la durée de conservation des données. Par exemple, les modèles d'IA générative tels que ChatGPT et DALL-E sont capables de produire du texte ou des images à partir d'invites grâce au grand volume de données sur lequel ils ont été alimentés, ou entraînés.

La CNIL espère qu'en comprenant le fonctionnement des modèles d'IA, elle sera en mesure de créer des contrôles et des garanties pour soutenir des normes respectueuses de la vie privée. Le régulateur effectuera des audits, examinera les plaintes et mesurera la conformité grâce à ce nouveau cadre juridique.

Les principaux acteurs du secteur de l'IA devront démontrer qu'ils ont procédé à des analyses d'impact de la protection des données et mis en œuvre des mesures adéquates pour s'assurer que les utilisateurs sont informés de l'utilisation qui est faite de leurs données.

Quel sera l'impact de la réglementation sur les entreprises ?

Le principal impact du nouveau plan d'action de la CNIL sur les entreprises qui travaillent dans le domaine de l'IA ou qui utilisent l'IA pour soutenir leurs pratiques commerciales sera de devoir adhérer à de nouvelles réglementations et d'assurer la conformité avec les lois sur les données. La plupart des entreprises en Europe doivent déjà se conformer aux règles du RGPD et l'IA n'est que la nouvelle frontière du secteur technologique.

Toutefois, comme les systèmes d'IA sont beaucoup plus complexes et que les règles évoluent constamment pour répondre aux nouvelles menaces, les entreprises devront faire preuve d'agilité pour réagir aux changements. Les entreprises devront éventuellement créer des services de l'IA ou embaucher des spécialistes techniques et juridiques dans ce domaine afin de s'assurer qu'elles ne tombent pas sous le coup de la réglementation.

D'autre part, des organisations telles que la CNIL et l'UE sont conscientes que nous apprenons tous ensemble comment l'IA affecte nos vies et comment nous pouvons protéger nos données personnelles en toute sécurité. La clé est de trouver un équilibre entre la réglementation de l'IA et le fait de ne pas empêcher la croissance et l'innovation que l'IA peut nous aider à atteindre. À ce titre, les organismes de réglementation sont disposés à fournir aux entreprises la formation et les conseils dont elles ont besoin pour soutenir la réglementation de l'IA, étant donné qu'il est dans l'intérêt de toutes les parties concernées de protéger les droits au respect de la vie privée.