Création d’un service de l’intelligence artificielle à la CNIL et lancement des travaux sur les bases de données d’apprentissage

23 janvier 2023

La CNIL crée un service de l’intelligence artificielle pour renforcer son expertise sur ces systèmes et sa compréhension des risques pour la vie privée tout en préparant l’entrée en application du règlement européen sur l’IA. Par ailleurs, elle proposera des premières recommandations sur le sujet des bases de données d’apprentissage dans les prochaines semaines.

Création d’un service de l’intelligence artificielle (SIA)

Le service de l’intelligence artificielle (SIA) créé au sein de la CNIL réunira 5 personnes. Composé de juristes et d’ingénieurs spécialisés, ce service sera rattaché à la direction des technologies et de l’innovation de la CNIL dont le directeur, Bertrand PAILHES, était précédemment coordonnateur national pour la stratégie d'intelligence artificielle au sein de la Direction interministérielle du numérique et du SI de l'Etat (DINSIC).

Le service de l’intelligence artificielle aura pour principales missions de :

  • faciliter au sein de la CNIL la compréhension du fonctionnement des systèmes d’IA, mais aussi pour les professionnels et les particuliers ;
  • consolider l’expertise de la CNIL dans la connaissance et la prévention des risques pour la vie privée liées à la mise en œuvre de ces systèmes ;
  • préparer l’entrée en application du règlement européen sur l’IA (en cours de discussion au niveau européen) ;
  • développer les relations avec les acteurs de l’écosystème.

Un rôle transversal au sein de la CNIL

Dans le cadre de ses missions, le SIA collaborera étroitement avec la direction en charge de l’accompagnement juridique, pilotée par Thomas DAUTIEU, notamment dans la production de « droit souple » (référentiels, recommandations, etc.) et l’instruction des demandes d’avis adressées par le gouvernement. Cette direction pourra aussi solliciter le SIA pour conseiller les acteurs publics ou privés sur des projets impliquant le recours à des systèmes d’IA d’une complexité particulière.

Plus généralement, en raison de sa composition pluridisciplinaire et de sa nature transversale, ce nouveau service a vocation à travailler avec toutes les directions de la CNIL.

Le SIA apportera également un support dans l’instruction de plaintes et l’adoption de mesures correctrices en cas de manquements liés à l’utilisation d’un système d’IA.

Il sera chargé de l’expertise technique de dossiers relatifs à l’intelligence artificielle comportant des aspects spécifiques à cette technologie. Il contribuera aux travaux du Comité européen de la protection des données (CEPD) et conduira également des projets d’expérimentation en lien avec le LINC.

Cette évolution de la CNIL fait notamment écho à une étude du Conseil d’État publiée le 30 août 2022 sur l’usage de l’intelligence artificielle dans les administrations. Le Conseil d’État préconise de renforcer les moyens de la CNIL et de faire évoluer son rôle pour qu'elle devienne également une des autorités nationales de contrôle responsables de la régulation des systèmes d’IA. Il met aussi en avant l’importance pour la CNIL de jouer un rôle d’autorité de coordination et de supervision, en fonction des dispositions du futur règlement européen, et ainsi d’assurer le maillage d’un vaste réseau d’institutions publiques allant des autorités de surveillance de marché aux régulateurs sectoriels.

Dès à présent et sans attendre l’évolution du cadre juridique, la création de ce service vient répondre à un enjeu de société dont l’importance augmente chaque jour et s’inscrit dans la continuité de travaux relatifs à l’intelligence artificielle initiés de longue date par la CNIL.

La réponse à un enjeu de société

L’intelligence artificielle connaît des avancées technologiques spectaculaires, permettant d'assister l’humain dans de très nombreuses tâches. Dans le secteur privé, elle est vue comme un facteur d’optimisation des performances et de la rentabilité, tandis que son utilisation dans les administrations pourrait permettre d’améliorer la qualité du service public rendu à l’usager.

L’usage de cette technologie concerne ainsi tous les acteurs, quels que soient leurs domaines d’activité ou leur taille. Par ricochet, toute personne y est forcément directement ou indirectement confrontée à un moment ou un autre, par exemple, à l’occasion de l’utilisation d’un assistant vocal, d’un processus de sélection des candidatures à un emploi ou en matière de lutte contre la fraude fiscale.

Si les bénéfices liés à l’usage des algorithmes et de l’IA sont incontestables, il faut néanmoins souligner que leur fonctionnement repose sur le traitement d’un grand nombre de données, très souvent personnelles, et que leur mise en œuvre comporte ainsi des risques pour la vie privée.

Par ailleurs, il existe des enjeux d’information pour les utilisateurs ainsi que de compréhension du fonctionnement précis des systèmes mais également pour les responsables de traitements de données ou encore pour les régulateurs dans le cadre de leurs missions d’audit et de contrôle.

La création du service de l’IA répond à ces enjeux : organiser la transparence et la compréhension d’une technologie bien souvent perçue comme une « boîte noire » afin d’en assurer une régulation équilibrée et permettre aux organismes, aux personnes concernées, et à la CNIL de maîtriser les risques pour la vie privée.

La poursuite d’une dynamique initiée dès 2017

La CNIL travaille depuis plusieurs années sur le sujet de l’intelligence artificielle qui constitue une nouvelle génération d’algorithmes ou, au sens de loi Informatique et Libertés, de traitements de données. À ce jour, son action s’est matérialisée de trois façons :

  • l’identification des enjeux éthiques et juridiques liés à l’utilisation de l’IA,
  • l’instruction de dossiers impliquant le recours à l’IA et la production d’outils et de ressources facilitant la connaissance de cette technologie ;
  • et la maitrise des risques associés.

La création d’un service de l’IA vient ainsi structurer et consolider une dynamique initiée de longue date.

L’identification des enjeux éthiques et juridiques

En 2017, la CNIL a organisé un large débat public sur les algorithmes et l’IA qui a été complétée par une concertation citoyenne. Cette démarche a été menée en lien avec plusieurs instituts de recherches (CREOGN, CNAM, ENSC, INSA), des institutions publiques (ministères, universités et grandes écoles), des fédérations professionnelles et des entreprises. Elle a abouti à la production d’un rapport de synthèse contenant des recommandations et mettant en lumière les grands enjeux posés par l’utilisation de systèmes d’IA lorsqu’ils traitent des données personnelles (Comment permettre à l’Homme de garder la main ? Rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle).

L’instruction sur le terrain de dossiers impliquant le recours à l’IA

La CNIL a d’ores et déjà et depuis de nombreuses années l’occasion de travailler régulièrement le sujet de l’intelligence artificielle au travers de cas de mise en œuvre opérationnelle (les caméras dites « intelligentes » ou « augmentées » dans les espaces publics, le livre blanc sur les assistants vocaux ou encore les travaux relatifs au déploiement de la reconnaissance faciale qui met en œuvre des traitements d’IA). Outre des systèmes qui peuvent être utilisés dans le secteur privé, la CNIL s’est également prononcée sur des projets à propos desquels le gouvernement a requis son avis, par exemple, le projet de ciblage de la fraude et valorisation des requêtes (CFVR) qui vise à améliorer les opérations de contrôle fiscal.

La production d’outils et de ressources facilitant la connaissance de l’IA et la maîtrise des risques associés

La CNIL a publié le 5 avril 2022 un dossier qui clarifie les enjeux posés par l’intelligence artificielle et les conditions dans lesquelles déployer des systèmes d’IA respectueux des principes clés du RGPD. Les contenus publiés s’adressent au grand public et aux professionnels auxquels est notamment proposé un  guide d’auto-évaluation pour les systèmes d'intelligence artificielle . En complément, des contenus destinés à un public plus averti est disponible sur le site du Laboratoire d’innovation numérique de la CNIL (LINC).  Sont notamment décrits les nouveaux risques de sécurité que font apparaître les systèmes d’IA.

La CNIL lance dès aujourd’hui des travaux sur les bases de données d’apprentissage

Les systèmes d’IA, en particulier ceux reposant sur l’apprentissage automatique, nécessitent très souvent l’utilisation d’importants volumes de données personnelles pour l’entraînement des algorithmes. La CNIL publie un programme de travail pour accompagner les professionnels et garantir le respect des droits des personnes.

Quels sont les objectifs de ce projet ?

De nombreux organismes publics ou privés souhaitant constituer des bases de données pour l’entrainement et le développement d’IA ont fait part à la CNIL d’interrogations sur la légalité de certains usages.

Les travaux à venir ont donc pour objet de préciser la position de la CNIL sur ce point et de promouvoir des bonnes pratiques, au titre des exigences posées par le RGPD, mais aussi dans la perspective de la proposition de règlement sur l’IA actuellement débattue au niveau européen.

La fourniture d’un cadre d’analyse de la règlementation sur la protection des données personnelles et l’apport de réponses concrètes doivent permettre aux organismes de constituer ou d’utiliser des bases de données dans le respect des droits et libertés fondamentaux des personnes.

La CNIL publiera régulièrement des outils d’accompagnement sur le sujet qui viendront compléter ses premières fiches pratiques.

Quel est le périmètre ?

Le périmètre des réflexions initiées par la CNIL couvre :

  • les systèmes d’IA dont le développement ou l’amélioration nécessite la constitution d’une base de données (systèmes d’apprentissage automatique et systèmes experts) ;
  • la collecte de données auprès de tous types de sources (collecte de données auprès des personnes concernées, collecte de données auprès de data brokers, collecte de données en sources ouvertes, etc.) ;
  • les phases du développement d’un système d’IA nécessaires à sa mise en production ou à son amélioration (conception du système, prétraitement des données, entraînement, entraînement en continu, etc.). La phase de production est donc exclue de ce projet ;
  • divers usages relatifs au développement ou à l’amélioration d’un système d’IA (recherche scientifique, recherche et développement, amélioration d’un produit commercial, etc.), quelle que soit l’objectif du système d’IA en production et le régime juridique applicable au traitement (règlement général sur la protection des données, directive « Police-Justice » et loi Informatique et Libertés).

En revanche, les questions ayant trait aux modèles d’IA appris à partir des données ainsi collectées, et en particulier celles concernant leur diffusion et leur réutilisation, sont exclues de ce projet et feront l’objet de travaux séparés.

Quelles seront les publications à l’issue de ce projet ?

Les travaux de la CNIL aboutiront à l’élaboration de plusieurs publications au cours de l’année 2023 sur :

  • des outils pour accompagner la constitution et l’utilisation de bases de données : ces réflexions seront menées en lien étroit avec le groupe de travail de la CNIL sur l’ouverture et le partage des données annoncé lors de l’événement air 2021 ;
  • des fiches pratiques pour répondre aux situations les plus courantes rencontrées par les utilisateurs de base de données d’apprentissage (constitution d’un entrepôt, usage de données pseudonymisées, etc.).

Quelles sont les prochaines étapes ?

Sur la base de son expertise existante mais aussi de rencontres avec des acteurs publics et privés sur la constitution de base de données à des fins de développement ou d’amélioration d’un système d’IA, la CNIL proposera des recommandations. Elles seront soumises à une consultation publique permettant au plus grand nombre de s’exprimer sur les outils ainsi élaborés. Les contributions seront analysées à l’issue de la consultation afin d’ajuster et de préciser ses futurs outils qu’elle publiera sur cnil.fr.