La CNIL travaille de longue date sur les questions d’intelligence artificielle. En effet, l’IA repose d’abord et avant tout sur des données. L’algorithme est instruit par des données, son utilisation en génère et, potentiellement, il peut capter celles des utilisateurs. La CNIL a donc un rôle de régulation.
Le plan d’action publié par la CNIL s’articule en 4 axes :
- Appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes :
Les nouvelles techniques IA posent question sur les problématiques de protection des données, notamment concernant la loyauté, la transparence et la protection des données accessibles sur le web. La collecte, le traitement et la réutilisation des données des utilisateurs ainsi que les conséquences sur leurs droits sont des priorités pour le service d'IA et le laboratoire d'innovation numérique de la CNIL. Il en va de même pour les enjeux de sécurité.
- Permettre et encadrer le développement d’IA respectueuses des données personnelles :
La CNIL répond ici à l'incertitude entourant l'application du RGPD à l'IA. Elle propose des ressources et des lignes directrices (par exemple via un projet de guide sur le partage et la réutilisation des données, y compris les données accessibles sur Internet utilisées pour l'apprentissage de l'IA). Elle poursuit également ses travaux sur la conception des systèmes d'IA, la constitution des bases de données et la gestion des droits des personnes. Elle mène par ailleurs des réflexions éthiques sur l'utilisation, le partage et la certification des modèles d'apprentissage automatique, ainsi que sur la prévention des biais et discriminations.
- Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe :
La CNIL propose un accompagnement à travers trois initiatives : un "bac à sable" pour les projets d'IA dans les domaines de la santé et de l'éducation, un programme spécifique pour les fournisseurs de vidéosurveillance "augmentée" en préparation des Jeux olympiques et paralympiques de 2024 et un programme d'accompagnement renforcé pour aider les entreprises innovantes à se conformer au RGPD. La CNIL encourage également le dialogue avec les équipes de recherche et les entreprises développant des systèmes d'IA afin de garantir la conformité aux règles de protection des données personnelles.
- Auditer et contrôler les systèmes d’IA et protéger les personnes :
La CNIL souhaite contrôler le respect de la position, publiée en 2022 et portant sur la vidéosurveillance dite "augmentée", par les acteurs publics et privés. Elle étudiera également l'utilisation de l'IA dans la lutte contre les fraudes « au regard des enjeux liés à l’usage de tels algorithmes ». Par ailleurs, elle instruira les plaintes qu’elle a reçu à propos des IA génératives, visant en particulier OpenAI (créateur de ChatGPT). À cet effet, elle a d’ailleurs ouvert une procédure de contrôle. Un groupe de travail européen a également été créé pour coordonner les actions des autorités européennes à ce sujet. La CNIL sera vigilante pour s'assurer que les acteurs traitant des données personnelles pour développer, entraîner ou utiliser des systèmes d'IA ont réalisé une analyse d'impact sur la protection des données, pris des mesures d'information des personnes et prévu des mesures pour permettre l'exercice des droits des individus dans ce contexte spécifique.
Ce plan d’action s’inscrit dans un contexte où une régulation européenne, plus connue sous le nom d’ « IA Act », vient de recevoir le premier feu vert du parlement. Le DMA (Digital Markets Act), destiné à encadrer les activités économiques des plus grandes plateformes numériques, vient par ailleurs d’entrer en application. Par ces dispositions, la CNIL s’apprête donc à jouer un rôle fondamental dans ces premières tentatives de régulation des systèmes d’intelligence artificielle à l’échelle internationale.