IAG : analyse du rapport d’information sur les défis de l’intelligence artificielle générative en matière de protection des données personnelles et d’utilisation du contenu généré

Le rapport de l’Assemblée nationale française, enregistré le 14 février 2024, se penche sur les implications de l’intelligence artificielle générative (IAG) en termes de protection des données personnelles et de la gestion du contenu généré. Il met en lumière les défis réglementaires et éthiques posés par l’IAG, soulignant la nécessité de mettre à jour les cadres législatifs pour encadrer efficacement cette technologie émergente. J’avais eu l’occasion d’être auditionné dans ce contexte, alors il me paraît normal de « boucler la boucle » par une analyse du rapport (voir ici ma présentation sur l’IA Générative auprès de la mission IA de la Commission des Lois de l’Assemblée Nationale Française).

L’émergence spectaculaire de l’intelligence artificielle générative (IAG) dans l’espace public a suscité un vif débat sur ses implications sociétales, éthiques et juridiques. Face à cette révolution, les députés Philippe Pradal et Stéphane Rambaud ont présenté un rapport détaillant les enjeux liés à l’IAG, notamment en matière de protection des données personnelles et d’utilisation de contenu généré. Ce document propose un renforcement des prérogatives de la Commission Nationale de l’Informatique et des Libertés (CNIL) comme pivot de la régulation de ces technologies.

Définition et contexte de l’IAG retenus dans le rapport

L’intelligence artificielle générative (IAG) représente un tournant majeur dans l’évolution numérique, caractérisée par sa capacité à produire du contenu original et pertinent en se basant sur des données existantes. Cette technologie, qui englobe les textes, images, sons et vidéos, ouvre des horizons inédits en matière d’innovation, de créativité, et d’amélioration de la qualité de vie. Toutefois, elle soulève également des questions éthiques, juridiques et sociétales importantes qui nécessitent une réflexion approfondie et une régulation adaptée.

Au cœur de l’IAG, on trouve les modèles de langage, tels que ChatGPT d’OpenAI, qui ont le pouvoir de transformer notre interaction avec la technologie en rendant l’intelligence artificielle accessible à tous, sans nécessité de compétences informatiques avancées. Ces modèles fonctionnent sur des bases statistiques, prédisant les réponses les plus probables à une requête donnée, basées sur les données d’entraînement. Cette capacité de génération automatique de contenu, tout en étant impressionnante, n’est pas exempte de défis, notamment en ce qui concerne l’exactitude des informations produites et les risques de détournement de leur usage initial.

La démocratisation rapide de l’IAG a suscité un élan de curiosité, d’intérêt, mais aussi d’inquiétude parmi le public, les médias et les décideurs politiques. La principale préoccupation réside dans la protection des données personnelles et l’utilisation éthique du contenu généré. La mission d’information sur les défis de l’intelligence artificielle générative, conduite par les députés Philippe Pradal et Stéphane Rambaud, a mis en lumière ces enjeux, soulignant la nécessité d’une régulation adéquate pour encadrer le développement et l’application de ces technologies.

Motivations et préoccupations soulevées par l’IAG

Les modèles d’IAG, bien que prometteurs en termes de capacités, présentent des limites inhérentes à leur conception. La qualité et la fiabilité du contenu généré dépendent largement des données d’entraînement, ce qui peut entraîner des erreurs ou des « hallucinations » lorsque les données sont insuffisantes ou biaisées. De plus, le risque d’utilisation malveillante des IAG pour produire des contenus offensants ou dangereux nécessite une vigilance constante et des mécanismes de contrôle efficaces.

La régulation de l’IAG s’inscrit dans un contexte plus large de gestion des technologies de l’information et de la communication, où la protection des données personnelles et le respect des libertés fondamentales occupent une place prépondérante. Le règlement général sur la protection des données (RGPD) et l’AI Act en Europe constituent selon les auteurs du rapport un cadre juridique essentiel pour aborder ces questions. Toutefois, les spécificités de l’IAG exigent des approches réglementaires innovantes pour garantir une utilisation éthique et responsable de ces technologies.

Dans ce paysage complexe, la CNIL (Commission Nationale de l’Informatique et des Libertés) apparaît comme un acteur clé, possédant l’expertise nécessaire pour évaluer la conformité des modèles d’IAG au RGPD, traiter les plaintes des usagers et, si nécessaire, prononcer des sanctions. La maturité de la réflexion de la CNIL sur ces sujets est reconnue et valorisée, soulignant son rôle indispensable dans la régulation de l’IAG en France et en Europe.

Les pistes de régulation de l’IAG amenées par les rapporteurs

Les auteurs du rapport louent l’approche que l’Europe a choisie, la considérant comme appropriée et équilibrée dans son ensemble. Cependant, ils proposent des mesures supplémentaires pour améliorer les réglementations liées à l’intelligence artificielle générative (IAG). Ces mesures incluent :

• Une vérification préalable qui comprend la certification et l’identification des contenus. La méthode la plus efficace pour gérer serait de demander une certification préalable aux modèles et applications d’IA souhaitant s’introduire sur le marché européen. Bien que cette dernière option puisse être moins contraignante pour les fournisseurs, elle pourrait également s’avérer moins efficace, cette certification pourrait limiter l’accès au marché ou servir de label guidant les utilisateurs vers des IA responsables.
• Une réglementation a posteriori qui concerne la gestion des plaintes et la mise en place d’un système de punition. En fonction des signalements, cette réglementation viserait à identifier les anomalies des IAG en examinant les données utilisées pour l’entraînement des modèles, en particulier en ce qui concerne l’utilisation de données personnelles ou protégées par le droit d’auteur, et en analysant le fonctionnement des modèles ou de leurs applications pour identifier les biais ou vérifier les filtres.
• Il est nécessaire d’avoir des compétences spécialisées. Pour superviser l’IA, il est nécessaire d’avoir à la fois une expertise juridique et une compréhension technique approfondie afin de détecter les défis, de communiquer avec les acteurs du secteur et d’évaluer leurs systèmes.
• La responsabilité des acteurs de l’IAG est renforcée en clarifiant leurs obligations et en définissant les sanctions en cas de non-conformité. Le rapport propose un système de punition basé sur le RGPD, qui comprend des amendes financières et, parfois, la suspension temporaire ou définitive de l’accès aux services pour les utilisateurs qui ne respectent pas les règles. De plus, ces mesures auraient un effet sur la réputation des entreprises impliquées, les incitant à se conformer rapidement aux lois européennes.
• La sensibilisation et la formation des utilisateurs et des citoyens aux IAG à travers des programmes éducatifs, des campagnes d’information et des outils de vérification.
• En soutenant les initiatives des entreprises privées, des associations et des autorités indépendantes, l’auto-réglementation et la co-réglementation de l’IAG sont promues.
• En favorisant des normes et principes partagés avec les partenaires stratégiques de l’Union européenne, il est possible de développer une coopération internationale sur l’IAG.

Analyse critique globale du rapport

La vision présentée dans le rapport pour réguler l’intelligence artificielle générative (IAG) repose sur une approche multidimensionnelle et semble bien intentionnée. Elle cherche à équilibrer les opportunités offertes par l’IAG avec les impératifs de sécurité, de confidentialité et d’éthique. Toutefois, cette vision n’est pas sans défis et limitations :

1. Complexité de la certification préalable : La proposition de certification ex ante des modèles et applications d’IA pourrait se heurter à la diversité et à l’évolution rapide des technologies d’IAG. La mise en place d’un système de certification efficace nécessite une compréhension approfondie des technologies sous-jacentes, qui évoluent à un rythme que les cadres réglementaires traditionnels peinent souvent à suivre. Par conséquent, ce processus pourrait ralentir l’innovation ou devenir rapidement obsolète face à l’émergence de nouvelles applications d’IAG. Mon article sur l’AI Act montre la complexité qui est devant de nombreuses organisations et entreprises européennes qui vont vouloir utiliser l’IA.
2. Défis liés à la régulation a posteriori : Si le traitement des plaintes et l’application de sanctions sont essentiels pour assurer la conformité, cette approche réactive peut ne pas être suffisamment rapide pour prévenir les dommages. Les processus de plainte et d’enquête peuvent être longs, laissant le temps aux contenus problématiques de se propager et d’avoir un impact négatif. De plus, l’identification et la correction des dysfonctionnements des IAG après leur survenue ne garantissent pas la prévention des récidives.
3. Exigence de compétences élevées : La régulation efficace de l’IAG exige en effet des compétences juridiques et techniques spécialisées. Toutefois, le rapport sous-estime peut-être la difficulté de réunir une équipe possédant à la fois ces compétences et une compréhension profonde des nuances éthiques et sociétales de l’IAG. De plus, la formation continue sera cruciale pour maintenir cette expertise à jour, ce qui représente un défi logistique et financier important.
4. Impact potentiel sur l’innovation : Bien que la régulation soit nécessaire pour encadrer l’utilisation de l’IAG, il y a un risque que des réglementations trop strictes ou mal conçues entravent l’innovation. Les startups et les petites entreprises, en particulier, pourraient trouver difficile de naviguer dans un paysage réglementaire complexe, ce qui pourrait limiter la diversité et la créativité dans le domaine de l’IAG.
5. Questions de mise en œuvre au niveau international : La vision propose de développer une coopération internationale et de promouvoir des normes communes, ce qui est louable mais extrêmement difficile à réaliser en pratique. Les différences de réglementations, de priorités et de cultures juridiques entre les pays peuvent compliquer l’établissement d’un cadre global cohérent pour la régulation de l’IAG.
6. Responsabilisation et sanctions : Le rapport suggère des sanctions financières et des restrictions d’accès comme moyens de responsabilisation. Cependant, cette approche pourrait favoriser les acteurs déjà établis et financièrement robustes, capables d’absorber de telles sanctions, au détriment des nouveaux entrants ou des plus petits acteurs, exacerbant ainsi les inégalités existantes dans le secteur technologique.

Des 30 recommandations formulées

Je le répète régulièrement, et le rapport me cite clairement sur le sujet dans ce paragraphe : « En second lieu, comme l’a souligné par exemple M. Alain Goudey lors de la première audition de la mission, l’IAG est moins susceptible de supprimer des emplois que de redéfinir les compétences nécessaires pour les occuper. Le risque est moins celui de la destruction d’un emploi que celui de la perte d’employabilité des personnes qui n’auront pas été formées aux usages de l’IAG. Autrement dit, l’IAG va nécessiter de nouvelles compétences au même titre que l’arrivée de l’informatique, ce qui ouvre encore un nouveau gisement d’emplois dans le domaine de la formation. »… peu d’éléments sur ce point, hormis à destination des agents du secteur public (recommandation n°13). Mais rentrons dans le détail des recommandations de manière plus spécifique.

Les points positifs concernant les recommandations sur l’IA

Certaines recommandations pour la régulation de l’intelligence artificielle générative (IAG) offrent une vision globale qui tente d’équilibrer innovation technologique et protections nécessaires. Dans les points positifs, je peux citer :

La vision holistique : L’ensemble des recommandations présente une approche globale pour aborder les défis multiples posés par l’IAG, couvrant des aspects juridiques, éthiques, et techniques. Cela montre une compréhension profonde des enjeux multidimensionnels associés à l’IAG.

L’encouragement de l’innovation : Plusieurs recommandations visent explicitement à soutenir l’innovation, comme la promotion d’un « Airbus de l’IAG » (même si cela ne fait pas forcément sens en l’état) et le soutien financier aux chercheurs. Cela indique une volonté de ne pas étouffer le potentiel de croissance et d’avancée technologique que l’IAG représente.

L’adaptabilité et flexibilité : La proposition d’un droit souple et de mécanismes de conformité en complément des mesures contraignantes montre une reconnaissance de la rapidité d’évolution de l’IAG et de la nécessité d’une régulation adaptable.

L’approche différenciée : L’idée d’adapter les contraintes selon les utilisateurs (étatiques vs privés) et de prendre en compte l’audience des IAG avant d’assigner un niveau de risque sont des propositions nuancées qui évitent une approche « taille unique ».

Les points négatifs qui clairement posent problème dans les recommandations

Il y a ensuite de nombreux points de complexité sur certains recommandations et de sujets problématiques à mon sens. Notamment, je vois :

La complexité administrative et coût (n° 11, 15, 16, 17) : La création de nouvelles instances, le dialogue constant entre administrations, et l’internalisation des compétences en IAG peuvent entraîner une augmentation significative de la complexité administrative et des coûts. Ceci pourrait alourdir les structures existantes sans garantie de résultats probants, surtout si les compétences internes ne parviennent pas à suivre l’évolution rapide des technologies d’IAG. A nouveau, l’enjeu majeur est bien celui de l’accompagnement et de la formation ! Les besoins sont ici immenses pour tenter de réussir.

Les risques liés à l’agent conversationnel public (n° 18) : Mettre à disposition un agent conversationnel fiable d’ici 2027 repose sur une hypothèse de stabilité de la maturité technologique future de l’IAG. Ce qui ne sera pas le cas ! En fait le délai ici est beaucoup trop long pour être pertinent. Par ailleurs, ce projet pourrait souffrir de défauts de conception, de problèmes de confidentialité des données, ou devenir une source de désinformation si l’agent n’est pas capable de distinguer avec précision les informations correctes des incorrectes.

L’ambiguïté légale et responsabilité (n° 25, 26) : Les modifications proposées pour contrer la contrefaçon et clarifier l’attribution de la création à une IAG pourraient s’avérer extrêmement difficiles à appliquer. Cela pourrait créer un environnement juridique incertain, où les créateurs et utilisateurs d’IAG pourraient hésiter à innover par crainte de violations involontaires.

La détection et régulation des contenus générés par IAG (n° 28) : Le développement des capacités pour identifier les contenus générés par IAG et prévenir leur usage détourné pose des défis techniques majeurs. La surveillance accrue nécessaire pour cela pourrait aussi soulever des questions de respect de la vie privée et de liberté d’expression, notamment dans le cadre de la création artistique ou de la satire. Il est par ailleurs impossible de détecter la création de contenu par une IA (en tout cas sur le texte), et faisable d’enlever le watermarking sur une image.

La mise en œuvre et suivi impraticables : L’ensemble de ces recommandations requiert une mise en œuvre et un suivi qui peuvent s’avérer impraticables en raison de la rapidité des évolutions technologiques et des ressources limitées des administrations. La rigidité des structures proposées pourrait entraver l’adaptabilité nécessaire pour suivre le rythme de l’innovation dans le domaine de l’IAG. Un point n’est pas abordé non plus quand au manque réel de ressources humaines maîtrisant ce sujet à l’heure actuelle !

Le manque de clarté sur l’efficacité : Il n’est pas clairement démontré comment ces recommandations, particulièrement celles liées à la régulation du contenu et à l’identification des œuvres générées par IAG, seront efficaces dans la pratique. Les défis techniques et éthiques pourraient limiter leur applicabilité… et ça ce n’est pas neutre non plus !

La liste des recommandations

Les recommandations qui semblent pertinentes :

• Recommandation n° 1 : Nommer un ambassadeur à l’IAG pour suivre les discussions internationales autour de sa régulation.
• Recommandation n° 2 : Organiser un partage de connaissances et d’expérience en matière de contrôle des IA, en particulier générative, au niveau européen.
• Recommandation n° 3 : Adapter les contraintes applicables en matière de recours à l’IA selon qu’elle est utilisée par des États membres ou par des acteurs privés.
• Recommandation n° 4 : Prendre en compte l’audience des IAG et leur caractère systémique avant de leur assigner un niveau de risque, afin de ne pas pénaliser les nouveaux acteurs et d’encourager l’expérimentation et l’innovation.
• Recommandation n° 5 : Imposer le respect du RGPD et de grands principes technologiquement neutres aux services d’IAG proposés au sein de l’Union européenne.
• Recommandation n° 6 : Promouvoir un droit souple et des mécanismes de conformité (compliance) en complément de mesures contraignantes.
• Recommandation n° 7 : Laisser aux États membres de l’Union européenne une marge d’appréciation suffisante pour leur permettre de soutenir l’innovation.
• Recommandation n° 9 : Transformer la CNIL en une Haute autorité en charge de la protection des données et du contrôle de l’IAG.
• Recommandation n° 10 : Veiller à l’articulation de cette nouvelle autorité avec l’ARCOM, compétente en matière de régulation des plateformes.
• Recommandation n° 12 : Identifier dans le secteur public les tâches pouvant, à terme, être déléguées en tout ou partie à des systèmes d’IAG.
• Recommandation n° 13 : Former les agents publics aux opportunités et aux risques inhérents à l’usage des systèmes d’IAG. (oui mais ce n’est pas suffisant, il faut former tous les citoyens à ce sujet !)
• Recommandation n° 8 : Promouvoir un « Airbus de l’IAG » sur la base d’une coopération intergouvernementale entre pays européens volontaires et inciter les États membres à orienter des financements des entreprises vers l’innovation en matière d’IA.
• Recommandation n° 14 : Inciter les acheteurs publics à s’orienter vers des systèmes d’IAG de confiance labellisés.
• Recommandation n° 19 : Promouvoir l’étiquetage des contenus produits par IAG en matière de propagande électorale.
• Recommandation n° 20 : Étendre l’obligation d’information en cas d’interaction avec un système d’IAG aux agents conversationnels utilisés dans le cadre des campagnes électorales.
• Recommandation n° 21 : Mettre en place le cadre juridique adéquat pour permettre des expérimentations de systèmes d’IAG dans le domaine régalien.
• Recommandation n° 22 : Soutenir financièrement les chercheurs français dans le domaine de l’IAG, au moyen de bourses et de la mise à disposition de capacités de calcul.
• Recommandation n° 23 : Modifier l’article 132-79 du code pénal pour étendre la circonstance aggravante générale d’usage de moyens de cryptologie à l’usage d’un contenu généré par une IAG.
• Recommandation n° 24 : Pénaliser les hypertrucages (« deepfake ») réalisés sans le consentement de la personne représentée.
• Recommandation n° 27 : Adapter l’article 323-1 du code pénal pour sanctionner l’empoisonnement des données d’entraînement d’une IAG ou la modification clandestine de son algorithme.
• Recommandation n° 29 : Adapter le régime de responsabilité des IAG à leurs spécificités, notamment avec un allègement de la charge de la preuve pour limiter l’asymétrie entre utilisateurs et fournisseurs.
• Recommandation n° 30 : Réfléchir à la responsabilité des fournisseurs de service s’appuyant sur une IAG qu’ils n’ont pas conçue eux-mêmes.
• Recommandation n° 31 : Réformer le régime juridique de l’action de groupe prévue en matière de protection des données personnelles, afin d’élargir la qualité pour agir et d’étendre son champ matériel à tous les préjudices en lien avec un système d’IAG.
• Recommandation n° 32 : Spécialiser une ou plusieurs juridictions pour traiter du contentieux de l’IAG.
• Recommandation n° 33 : Confier à l’OPECST un suivi permanent des questions relatives à l’intelligence artificielle.

Celles qui me paraissent vraiment compliquées en revanche :

• Recommandation n° 11 : Promouvoir le rôle d’accompagnateur du régulateur en matière d’IAG.
• Recommandation n° 15 : Prévoir une stratégie pluriannuelle en matière d’IAG, comprenant un volet consacré à son usage dans les administrations.
• Recommandation n° 16 : Internaliser des compétences en matière de développement d’applications d’IAG à partir de modèles d’IAG.
• Recommandation n° 17 : Prévoir une instance permanente de dialogue entre les administrations sur l’usage des IAG.
• Recommandation n° 18 : Mettre à la disposition du public, à horizon 2027, un agent conversationnel fiable reposant sur l’IAG pour renforcer l’accès au droit et à l’information administrative.
• Recommandation n° 25 : Engager une réflexion sur le délit de contrefaçon pour pénaliser la pratique consistant à masquer, à l’aide d’une IAG, la reproduction de contenus préexistants.
• Recommandation n° 26 : Prévoir en matière de faux que constitue une altération frauduleuse de la vérité le fait de se prétendre auteur de l’écrit ou du support alors que celuici a été produit substantiellement par une IAG.
• Recommandation n° 28 : Développer les capacités des pouvoirs publics à identifier les contenus générés par l’intelligence artificielle et l’usage détourné de l’IAG.

Et pour aller plus loin, la restitution en vidéo : Commission des lois : Les défis de l’intelligence artificielle générative en matière de protection des données personnelles et d’utilisation du contenu généré – Mercredi 14 février 2024 – Vidéos de l’Assemblée nationale (assemblee-nationale.fr)