“Si elle n’est pas contrôlée, l’intelligence artificielle (IA) générative et les autres technologies d’IA pourraient sérieusement porter atteinte à la confidentialité et aux autres droits fondamentaux” . A un jour d’intervalle de la clôture de la 45ème édition de la Global Privacy Assembly (GPA), l’OCDE publiait un article sur les défis posés par l’intelligence artificielle et la place grandissante qu’elle occupait dans le monde.
L’IA générative se démarque en utilisant des algorithmes capables de générer et créer du contenu aux formats divers (texte, image, vidéo etc.) en s’appuyant sur des volumes importants de données appelées “bibliothèque de savoir”. Ces bibliothèques sont souvent alimentées par du data scraping (collecte de données publiques) ou par des databrokers monétisant des fichiers comportant des données personnelles.
Des exemples de coopération interétatique ont émergé pour répondre aux préoccupations communes sur la protection de la vie privée et des droits fondamentaux des individus.
Dans ce mouvement s’inscrit la résolution de la GPA du 20 octobre 2023 sur les systèmes d’IA générative, une rencontre co-sponsorisée par le Maroc, nommée en 2021 hôte de cette assemblée pour deux ans.
Face au développement de l’IA générative, la GPA s’adresse aux acteurs de la mise en service de ces technologies et les responsabilise dans sa résolution construite autour de 9 axes de conformité.
- Une base légale pour un traitement licite
Rappel de l’obligation d’identifier une base légale pour chaque étape du traitement des données (collecte, tests, apprentissage, interactions avec les utilisateurs, etc.). - Une finalité identifiée et un usage limité
Une finalité appropriée, raisonnable et légitime doit être identifiée en amont. Les moyens déployés par l’IA devront être proportionnés à la finalité. - Principe de minimisation des données
Les données traitées doivent répondre strictement aux nécessités de la finalité poursuivie afin de réduire les risques. - Fiabilité des données
L’Assemblée évoque les “hallucinations”, situations où le contenu généré par l’IA est faux ou incomplet, et la nécessité de recours à des politiques de gouvernance de données pour en réduire l’occurrence et le risque. - Transparence
Les développeurs, fournisseurs et utilisateurs de ces technologies génératives doivent s’inscrire dans une démarche transparente vis-à-vis des personnes. Cela signifie notamment pour les fournisseurs d’informer leurs clients par une documentation précise sur les risques que comportent ces solutions. - Sécurité
La confidentialité et la sécurité doivent être embarquées dès la phase de conception de la solution par la mise en place de mesure techniques, organisationnelles et logiques adéquates. - Privacy by design and default
La GPA recommande aux acteurs du secteur de conduire une analyse d’impact sur la protection des données (AIPD) tout au long de la durée de vie de la solution afin d’adapter les mesures de protection au regard de l’évolution du risque. - Droits des personnes
L’information des personnes concernées sur le traitement de leurs données personnelles est obligatoire. La possibilité d’exercice de leurs droits devra également être garantie. - Accountability – Reddition de compte
Les acteurs devront être en mesure de démontrer leur conformité aux règles nationales et supranationales en tenant à disposition des autorités de contrôle compétentes la documentation technique exhaustive nécessaire.
La Global Privacy Assembly appelle ses membres à reprendre la substance de cette résolution dans un cadre national contraignant. Si certains Etats se sont dotés de lois encadrant l’utilisation de l’IA, le législateur peine à suivre le rythme d’une technologie conquérante.
Dans un monde global et plus dynamique que jamais, il est déterminant pour les acteurs de coopérer ensemble pour l’adoption d’un premier cadre commun sur les nouvelles technologies. Celui-ci comporterait des principes et bonnes pratiques, sur le modèle des codes de conduite, qui pourront se traduire de manière plus détaillée au niveau national.
Enfin, notons que l’IA générative repose sur un système qui éduque l’outil pour assister l’utilisateur dans un domaine spécifique. L’apprentissage exploite des bibliothèques de savoir et d’événements gigantesques. C’est seulement une fois l’outil suffisamment expert du domaine de sa spécialité qu’il est mis en service. Il continuera d’apprendre et de produire, générer, en assistant l’utilisateur. L’outil exploite les données sur lesquelles l’humain a choisi et décidé de l’entraîner. Il est donc déterminant d’encadrer la décision prise par l’humain avant même de se pencher sur les aspects techniques de la solution. Une approche par les risques sera plus respectueuse des droits fondamentaux des individus.
Par Adila SAKHRAJI, Chief Compliance Officer & Data Protection Officer.