La “protection de la vie privée” suffit-elle face au déferlement de l'IA/AI?
Mars 2024
Face à l'extension prodigieusement envahissante et prodigieusement rapide d'applications d'Intelligence artificielle (IA), on peut se demander si les encadrements sociétaux (et “légaux”) déjà en place pour la “protection de la vie privée” (RGPD = Règlement Général sur la Protection des Données), sont adéquats et suffisants. C'est ce que se demande le Professeur Yves Poullet (Université de Namur) dans un article très technique et touffu (qui a certainement contribué à la mise en place récente par l'Europe, sous la direction de Thierry Breton, du nouveau règlement européen sur ces sujets datant du 9 Décembre 2023).
Yves Poullet, L'intelligence artificielle et le RGPD, Cahiers du CRIDS, 2021
La régulation de l'Intelligence Artificielle et de son utilisation dans nos sociétés (et sur toute la planète) semble être, aujourd'hui, un des biais “sanitaire” majeur pour préserver l'humain en sa spécificité: les outils et moyens de son “intelligence”!
Deux petites observations “pré-liminaires”
1. À propos de Thierry Breton, l'actuel Commissaire Européen en charge de ces dossiers: sait-on qu'avant de devenir PDG de Bull-ATOS et Cie, il avait écrit un roman intitulé Vatican-III (Robert Laffon, 1985): les deux principales puissances mondiales luttent l'une contre l'autre au moyen de la maîtrise de “super-ordinateurs” dont les ressources culturelles sont appuyées, pour le communisme, sur l'Islam (gestion par une séduisante Fatma!)… et, pour l'”occident”, sur le Catholicisme (gestion par un “beau” Jésuite!)! Mais c'est le Japon qui tire les marrons du feu en fournissant les matériels et logiciels!!
2. RGPD: On peut s'étonner que l'Auteur ne redonne pas, comme pour les autres acronymes, le sens de RGPD = Règlement Général sur la Protection des Données (en anglais: General Data Protection Regulation = GDPR), promulgué le 27 Avril 2016 et d'application au 25 Mai 2018 – voir: EUR-Lex la directive 95/46/CE de 99 Articles!! [et voir cependant la Note 115 du texte de Yves Poullet]! Aujourd'hui, pour une gestion exhaustive et critique du RGPD, il faut avoir sous la main le guide de Jacques Folon, RGPD, Traitement des données personnelles dans les organisations, 2023, Préface de Didier Reynders, corporate copyright, 324 pages, Bruxelles Mai 2023, ISBN 978-2-87435-323-9.
L'article d'Yves Poullet
L'article d'Yves Poullet est excellemment documenté et de première main. Il est la voix d'un pionnier du Droit dans le domaine de l'informatique depuis les années 1980ss!
Sur le scandale de Cambridge-Analytica qui a biaisé les votes de millions d'américains qui ont voté en faveur de Donald Trump en 2016, il faudrait ajouter la référence au livre de Christopher Wylie, Mindfuck, Le complot Cambridge Analytica pour s'emparer de nos cerveaux, Grasset, 2019 (février 2020).
Je n'ai pu vérifier le poids des apports d'Yves Poullet dans le texte de la Législation sur l'Intelligence Artificielle objet d'un accord intervenu entre le Parlement et le Conseil Européens le 9 décembre 2023, texte qui doit être voté formellement par les deux instances pour entrer en vigueur et que valideront prochainement la Commission européenne du Marché intérieur et celle des Libertés Civiles. Ces votes ont fait la grande joie de toute l'équipe du Commissaire européen en charge: Thierry Breton!
Yves Poullet justifie tous ces efforts de la façon suivante
Les capacités offertes dès maintenant par l'IA justifient l'interrogation de nos sociétés sur les limites à imposer aux concepteurs et exploitants publics et privés de systèmes d'intelligence artificielle au nom de valeurs éthiques essentielles et universelles que sont la dignité, l'autonomie et la justice sociale.
Au regard de ces préoccupations, les dispositions du RGPD sont-elles adéquates? […] nous sommes persuadés que… le RGPD n'offre pas toujours le bon angle d'attaque aux problèmes que soulève l'intelligence artificielle.
Le “faux amis” débusqué
Tout en disant clairement que “Les algorithmes exécutent, ils ne pensent pas” (p.5), la note n°20 sur le malentendu linguistique de base entre l'anglais et le français à propos de l'expression “intelligence artificielle” ne semble pas suffisamment claire, même si elle évoque les Services Secrets de Sa Majesté!
Digression personnelle sur le sujet, car les “mots” “informent” (au sens aristotélicien) les esprits!
Témoins cette petite investigation sémantique dans des outils de référence bien antérieurs aux usages plus récents… mais qui se trouvent à la base culturelle de ceux qui utilisent aujourd'hui cette expression d'Intelligence Artificielle tant dans le monde anglo-saxon où se trouvent les principaux promoteurs et diffuseurs que dans les autres zones culturelles de tradition globalement plis “latine”:
1. Kethridge Dictionary of the French and English Languages (First Edition: March 1936; Eleventh Impression: January 1948): “Intelligence, f. = intelligence, intellect; understanding; knowledge; correspondence; (pl.) dealings --- Intelligence, n. = intelligence, entendement, nouvelles, chronique, courrier --- department, = service des renseignements, statistique militaire”
2. The Concise Oxford Dictionary of Current English (First Edition: 1911; Eighth Edition: 1990): Intelligence, n. = 1A the intellect; the understanding… 2A the collection of information, esp. of military or political value 2B people employed to this 2C (archaic): information, news”.
3. Harrap's Shorter Dictionary
Englih-French/French-English, Edinburgh, 7th Edition, 2004:
Intelligence N1
= (mental capacity) intelligence, f.; (mind) esprit… 2 Mil.Pol. (information)
renseignements; Mil. Pol. i. officer: officier de renseignements… service:
service de renseignements.
(N.B. dans la partie Français-Anglais le
dictionnaire n'évoque même pas l'aspect “renseignement militaire ou politique”
sauf à le deviner sous l'expression “avoir des intelligences avec l'ennemi = to
have secret dealings with the enemy”. Mais, on trouve un sens n°4: i.
artificielle = artificial intelligence).
La puissance de l'IA
Il faut garder à l'esprit ce malentendu verbal, car il commande déjà la focalisation originelle des législations étudiées ou en cours de mise au point, à travers une première étape visant la “protection de données” …et pas d'abord de “personnes” (= sujets du droit)!
Or la puissance des IA est déjà énorme comme le souligne Yves Poullet (N.4, p. 8)
Forte de la puissance de calcul et des informations avec lesquelles cette puissance travaille, l'IA a permis de développer des applications comme celles de la compréhension de la parole, la traduction instantanée, la reconnaissance faciale. Elle a permis la génération de robots… La constitution de mégadonnées et leur traitement… avec des capteurs ou des implants autour de nous et dans le corps humain, etc. […] en d'autres termes, la puissance de calcul de la machine, sa capacité à corréler de manière “surhumaine” les infinies données recueillies, son incontestabilité vu l'opacité de son fonctionnement confèrent à la machine la vertu d'un Deus ex Machina.
Devant une apparente objectivité créée par une décision proposée par une machine, on peu craindre une “déshumanisation” et le risque que des responsables se désinvestissent de leur fonction de décideurs ou se déresponsabilisent en prenant comme alibi les vertus de soi-disant neutralité de la machine… ce qui est d'ailleurs immédiatement mis en question du fait des “biais algorithmiques” qui ont été dénoncés (racisme, sexisme, etc).
Et tous ces risques sont
amplifiés quand il s'agit d'impacts sur des groupes sociaux ou citoyens où
l'anonymisation peut faire croire à une neutralité ou attribuer aléatoirement à
des individus des caractéristiques qu'ils n'ont pas du tout!
D'autant que
cela peut aujourd'hui se faire sans nécessairement lier les éléments à une
identité civile (ou le contraire). La personne devrait pouvoir refuser qu'on la
sorte de cette façon de son anonymat. De même, en affaire, des systèmes de
“ranking” automatisés peuvent déprécier des entreprises sans possibilité de
démythification des avis donnés par une machine! Ceci demande une extension
d'un RGPD à la protection des associations et des personnes morales également!
Viser les “responsables” de mise à disposition d'outils d'IA
Quant aux responsables dans la gestion d'outils d'IA, ils doivent être mieux définis
le responsable du traitement en définit les modalités et les moyens de traitement (il peut être unique ou “conjoint”); le sous-traitant agit dans le cadre de tâches confiées par le responsable, et, enfin le destinataire “personne physique ou morale, …ou tout autre organisme qui reçoit communication de données à caractère personnel…
Au-delà d'une connaissance de la “finalité” d'un traitement (qui peut évoluer en fonction d'apports nouveaux proposés par le deep learning – accumulation et interprétation de nouvelles données – et est donc difficile à surveiller), ne faudrait-il pas obliger les opérateurs à toujours signaler explicitement qu'une information est donnée par un robot. Et, les services utilisant l'IA, ne devraient-ils pas être réglementés de la même façon que les opérateurs de “réseaux” (sociaux ou autres)?
Pour une évaluation éthique ou “sanitaire” es applications d'IA?
Devant la complexité extrême de tout ce domaine,
l'Union Européenne s'oriente (et Yves Poullet encourage la chose) vers la création d'un organe multidisciplinaire d'évaluation éthique des systèmes d'IA. Le rôle de cette Autorité européenne pluridisciplinaire indépendante d'évaluation des risques liés à l'intelligence artificielle serait de coordonner les activités des autorités nationales créées en la matière afin d'unifier les règles et critères d'examen des système d'IA
Pour justifier les compétences d'un tel organe, certains auteurs s'appuient sur le précédent de l'industrie pharmaceutique. Le risque que représente la mise sur le marché de médicaments dangereux pour la santé a justifié la mise sur pied d'une procédure contrôlée d'expérimentation avant l'autorisation de mise en circulation du médicament sur le marché. Dans ce contrôle et cette accréditation, l'administration ou l'agence en charge de la sécurité et de la santé publique joue un rôle important. Le même principe pourrait de même jouer pour l'exploitation de systèmes algorithmiques présentant de hauts risques. Il s'agirait de tester le fonctionnement de tels algorithmes et de contrôler l'absence de biais ou d'erreurs, la relative transparence et la sécurité du système
Cette comparaison avec le domaine sanitaire semble tout à fait pertinente car il s'agit également pour l'IA d'une question de “santé publique”… même si, dans le cas de l'IA, il s'agit du cas de la “santé publique mentale” des citoyens ou utilisateurs. Pour exemple, on comprendrait très bien que le nouveau “casque de réalité augmentée” proposé par Google, ne soit accepté sur un marché déterminé qu'après un examen comme celui qui est suggéré ci-dessus!!
Il appert qu'en ce domaine, les règles actuelles mises en œuvre par l'Administration française en cas où il faut justifier des motivations d'une décision à l'endroit d'un individu telles qu'obtenues par un système expert. Dans l'article 22 du RGPD français on décrit les informations qui sont dues à un citoyen qui s'interroge sur une décision prise à son égard:
L'administration communique à la personne faisant l'obje d'une décision individuelle précise sur le fondement d'un traitement algorithmique, à la demande de celle-ci, sous une forme intelligible et sous réserve de ne pas porter atteinte à des secrets protégés par la loi, les informations suivantes:
1° le degré et le mode de contribution du traitement algorithmique à la prise de décision;
2° les données traitées et leurs sources;
3° les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l'intéressé;
4° les opérations effectuées par le traitement.
Le responsable public doit par ailleurs s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.
Pour une mise en œuvre européenne rapide et “intelligente”
En Conclusion l'Auteur fait une série de
recommandations aux décideurs européens après avoir confirmé son constat qu'une
simple extension du RGPD est insuffisante vu que cette norme est orientée
“données” alors que les problèmes posés par l'IA concernent les relations de
personnes à personnes et leur fonctionnement “social”!
Voici comment il
conclut
L'intelligence artificielle est sans doute l'innovation la plus radicale de transformation de nos sociétés: elle envahit nos vies et modèle nos décisions tant d'entreprise, de citoyens que d'autorités publiques. Cette innovation est largement positive mais également représente un risque pour chacun d'entre nous d'être épié, manipulé et réduit à nos données. Face à l'enjeu que représente l'IA pour notre futur, l'UE a récemment affirmé la nécessité d'une troisième voie, entre celles chinoises et américaines, en souhaitant que les outils d'IA soient dignes de confiance. Dans cette optique, la réaffirmation des libertés individuelles, et en particulier la mise en valeur du RGPD au service de ces valeurs est au cœur de la politique européenne. Le propos de l'ouvrage s'inscrit dans ce contexte. Le RGPD est-il l'outil adapté pour répondre aux défis de l'IA? La Commission européenne s'interroge. Il s'agit d'analyser les défis que l'IA pose au Règlement européen et de montrer les diverses lacunes mais également les mérites de l'outil réglementaire européen. La dimension collective des risques engendrés par l'IA, l'absence de transparence des systèmes de machine learning, les difficultés de leur évaluation, … autant de questions soulevées et auxquelles nous devons avoir le courage de répondre de manière innovante, proportionnée et adéquate, si notre société et chacun de nous souhaitons retrouver maîtrise de ce qui, en définitive, constitue un artifice de notre intelligence humaine, ainsi digne de confiance (“Towards a trustworthy AI”).
En Conclusion
On
peut se demander si la seule mise en place de Règlements et de Structures de
contrôle au sens juridique et traditionnel des choses seront suffisants pour
répondre aux défis généralisés d'application des systèmes d'IA destinés à tous
les rouages de nos sociétés?
Ne faudra-t-il pas que se crée un pôle de
gouvernance développant ses propres outils d'Intelligence Artificielle?