Intelligence artificielle : l’avis de la CNIL et de ses homologues sur le futur règlement européen

La CNIL et ses homologues européens se félicitent de la proposition de la Commission européenne visant à établir des règles harmonisées en matière d'intelligence artificielle afin de préserver les libertés individuelles. Si celle-ci est susceptible d’évoluer encore fortement, au gré des amendements du texte effectués par le Parlement ou le Conseil européen, les autorités de protections européennes ont jugé indispensable de prendre position à travers la publication d’un avis.

En particulier, la CNIL relève 4 points fondamentaux :

La nécessité de tracer des lignes rouges aux futurs usages de l’IA

Les autorités de protection des données ont salué la volonté de la Commission européenne de préciser les usages interdits afin de construire une IA éthique et de confiance au sein de l’UE. Dans leur avis du 18 juin, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données indiquent toutefois la nécessité d’élargir le champ des systèmes d’IA interdits et de clarifier leur définition, les garde-fous envisagés dans la proposition de règlement n’étant pas considérés satisfaisants.

Ainsi, compte tenu des risques extrêmement élevés posés par l'identification biométrique à distance des personnes dans les espaces publics (reconnaissance des visages, de la démarche, des empreintes digitales, de la voix, etc.), les autorités de protection des données européennes proposent que soient retirées les exceptions à l’interdiction générale. L’avis recommande également une interdiction des systèmes biométriques utilisés aux fins de classer les individus dans des groupes basés sur l'ethnicité supposée, le sexe, l'orientation politique ou sexuelle, ou d'autres motifs pour lesquels la discrimination est interdite en vertu de l'article 21 de la Charte des droits fondamentaux de l’Union européenne. L'utilisation de systèmes d'IA pour déduire les émotions d'une personne physique est par ailleurs considérée comme hautement indésirable et devrait également être soumise à une interdiction de principe (sauf cas très spécifiques, tels que certains objectifs de santé). Enfin, les systèmes utilisés pour la notation sociale (« social scoring ») doivent être systématiquement interdits.

Si cet avis est consultatif et ne constitue pas une déclinaison du cadre juridique en vigueur, il doit cependant être mis en perspective avec plusieurs prises de position publiques de la CNIL appelant à  la tenue d’un débat démocratique sur les nouveaux usages vidéo en septembre 2018, concernant la reconnaissance faciale en novembre 2019  et appelant à la vigilance sur l’utilisation des caméras dites « intelligentes » et des caméras thermiques en juin 2020 dans le cadre de l’épidémie de COVID-19.

La CNIL considère ainsi qu’une clarification du cadre, précisant ce qui est permis et ce qui est interdit, est au bénéfice des citoyens mais également des professionnels. Elle permettrait à ces derniers de savoir si les produits qu’ils pourraient proposés sont autorisés ou non, sans divergences d’interprétation selon les secteurs ou les États membres.

Le défi de l’articulation avec le RGPD

Les autorités de protection des données ont apprécié l'approche retenue par la Commission européenne basée sur les risques. Celle-ci doit permettre de ne focaliser l’effort de régulation que sur un volume limité de systèmes d’IA dit « à haut risque » pour les droits fondamentaux.

La CNIL et ses homologues ont par ailleurs relevé que ces systèmes seraient dans une écrasante majorité des cas appelés à exploiter des données personnelles, impliquant donc un enjeu majeur d’articulation du règlement sur l'intelligence artificielle avec le RGPD et la directive « Police-Justice ». Les autorités de protection des données européennes ont ainsi indiqué dans leur avis que la classification d'un système d'IA comme « à haut risque » ne signifiait pas que son utilisation était autorisée et pouvait être déployé dans tous les cas. En effet, le respect des obligations légales découlant de la législation de l'Union - y compris en matière de protection des données personnelles – doit être une condition préalable à l'entrée sur le marché européen en tant que produit portant le marquage CE.

L’importance d’une gouvernance harmonisée

Dans leur avis, la CNIL et ses homologues demandent que la gouvernance du « Comité européen de l'intelligence artificielle » (CEIA) soit précisée, à la fois pour garantir son indépendance mais également pour renforcer ses pouvoirs et lui permettre ainsi d’exercer un véritable contrôle, notamment lors de la mise en œuvre de systèmes d’IA à l’échelle européenne.

Par ailleurs, comme ses homologues, la CNIL considère que les autorités de protection des données devraient être désignées comme autorités de contrôle national de l’intelligence artificielle. Elle estime notamment qu’une telle désignation faciliterait la bonne application du futur règlement sur l’IA et la constitution d’un écosystème européen de l’intelligence artificielle favorable à l’innovation :

• En application du RGPD et de la directive « Police-Justice », la CNIL régule déjà des systèmes d’IA impliquant des données personnelles, afin de garantir la protection des droits fondamentaux et plus particulièrement le droit à la protection des données. Dans la pratique, la CNIL est donc régulièrement amenée à échanger avec les fournisseurs de solutions d’IA et à évaluer des systèmes de ce type.
• La mise en œuvre d’une proposition de règlement de l’ambition de celle de la Commission européenne nécessite d’avoir un régulateur compétent et expérimenté.
• L’approche réglementaire retenue devrait veiller à offrir un cadre cohérent et un interlocuteur clairement identifié pour les professionnels, minimisant ainsi l’insécurité juridique et la complexité administrative. Pour cela, il convient d’éviter de multiplier les autorités de contrôle ou de coordonner des mises en œuvre différentes dans chaque État membre et, au contraire viser à garantir une interprétation cohérente des dispositions relatives aux algorithmes dans l'ensemble de l'UE.
• La proposition de règlement de la Commission européenne investit le Contrôleur européen de la protection des données du pouvoir d’autorité compétente pour ce qui relève des systèmes d’IA mis en œuvre par les institutions et agences européennes. Un tel choix, indique clairement l’intérêt de se reposer sur un régulateur existant pour la mise en œuvre du règlement et en particulier sur les autorités de protection des données étant donné le fort recouvrement avec les prérogatives de celles-ci. 

Un accompagnement de l’innovation indispensable

En dehors des cas interdits, la proposition de règlement doit permettre de soutenir l’innovation et la conception de systèmes d’IA conformes aux valeurs et aux principes européens. L’avis des autorités de protection des données relève qu’il appartiendra au régulateur de savoir combiner les exigences de protection et une compréhension avancée des enjeux technologiques des fournisseurs de solution afin de proposer une vision équilibrée de la régulation.

La proposition de règlement prévoit que ces mesures de soutien – et en particulier les bacs à sable réglementaires – soient mises en œuvre par les autorités nationales compétentes. En France, la CNIL a déjà pour mission d’accompagner les professionnels, et notamment les acteurs les plus innovants, vers la conformité. Une compétence qui s’avérera nécessaire pour le futur régulateur de l’IA.