- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Société et association
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Propriété intellectuelle
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Droit international et communautaire
- > Etrangers
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- Avocat
Article
Intelligence artificielle : avis du CEPD sur le Livre blanc de la Commission
Intelligence artificielle : avis du CEPD sur le Livre blanc de la Commission
Le contrôleur européen de la protection des données livre son point de vue sur le Livre blanc relatif à l’intelligence artificielle présenté par la Commission.
par Cécile Crichtonle 17 juillet 2020
Le 19 février dernier, la Commission européenne avait publié son livre blanc « Intelligence artificielle. Une approche européenne axée sur l’excellence et la confiance », dont nous avions rapporté les principaux axes (v. Dalloz actualité, 28 févr. 2020), et qui présentait les orientations générales en matière de régulation de l’intelligence artificielle (IA). Elle avait fait le choix de retenir une approche fondée sur les risques, dont la méthodologie consiste à déterminer le haut risque en fonction du secteur et de l’utilisation dans lesquels est déployée l’IA. Partant, un certain nombre d’exigences réglementaires devaient y être appliquées.
Nonobstant cette régulation appliquée à un domaine estimé « à haut risque », la Commission rappelait qu’en tout état de cause, la protection des données à caractère personnel – incluant le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD), la directive (UE) 2016/680 du 27 avril 2016 et le règlement (UE) 2018/1725 du 23 octobre 2018 – trouvait toujours à s’appliquer le cas échéant. C’est dans ce contexte que le contrôleur européen de la protection des données (CEPD) a rendu un avis, le 29 juin 2020, destiné à clarifier et à développer cet aspect. Relevons que le CEPD tient compte des premiers résultats de la consultation publique à laquelle a été soumis le livre blanc.
Le CEPD regrette en premier lieu l’absence de définition claire et unifiée de l’IA ; difficulté effectivement redondante dans les différentes propositions des institutions européennes (v. Dalloz actualité, 5 févr. 2020, obs. C. Crichton). Des critères de qualification sont ainsi proposés : un modèle de prise de décision, un algorithme traduisant ce modèle en langage informatique, des données utilisées en entrée et un environnement d’utilisation déterminé (pt 10 : « a decision-making model, an algorithm that translates this model into computable code, the data this code uses as an input and the environment surrounding its use »).
De la même manière, le CEPD regrette la vision selon laquelle l’intelligence artificielle serait une technologie « essentielle » en relevant que toute technologie constitue au mieux un outil et qu’elle n’est pas nécessairement appropriée à toutes les situations (pt 11). Plus généralement, le CEPD avertit des risques d’une promotion aveugle de l’IA dont le niveau de maturité n’est pas nécessairement démontré (pt 12) et qui peuvent dans certains cas porter atteinte aux droits et libertés fondamentaux (pt 13).
Concernant le cadre juridique proposé par la Commission, le CEPD approuve globalement l’approche retenue, retenant les mêmes points d’attentions que sont notamment la minimisation des risques en matière de protection des personnes, de sécurité et de responsabilité, la transparence, la traçabilité, l’intervention humaine et les biais (pts 14-22). Quelques éléments sont cependant développés.
Principe de précaution et approche fondée sur les risques (pts 23-39). – Les critères de qualification d’utilisation d’IA à haut risque retenus par la Commission paraissent pour le CEPD trop restrictifs du fait de leur caractère cumulatif, qui ne prendrait pas en compte certaines atteintes aux droits et libertés fondamentaux des personnes. Pour rappel, le haut risque est apprécié selon la Commission en fonction du secteur et de l’utilisation de l’IA en elle-même. Selon le CEPD, cette appréciation doit refléter des conceptions sociétales plus larges, comme l’impact sur le processus démocratique, et en conséquence prendre en compte une gamme plus large de dommages. Aucune illustration n’est cependant fournie, hormis le risque de prise de décision arbitraire liée à un jeu de données biaisé. Afin de remédier à ces difficultés, est proposé de calquer à l’IA le régime de l’analyse d’impact relative à la protection des données (AIPD) précisé par les lignes directrices WP 248 de l’ancien G29. Car, expose le CEPD, les critères retenus par la Commission paraissent superflus en matière de protection de données personnelles dont le régime possède déjà son approche fondée sur les risques (ex. RGPD, art. 32 sur la sécurité et 35 sur l’AIPD). Plus largement, le CEPD émet une proposition à contre-courant de l’approche retenue par la Commission : interdire toute utilisation d’IA à haut risque, et réglementer l’intégralité des autres utilisations, qui selon lui génèrent nécessairement des risques, ce afin de respecter le principe de précaution.
Analyse d’impact relative à la protection des données (pts 40-45). – Allant dans la continuité de sa précédente pensée, le CEPD propose de rendre l’AIPD obligatoire pour toute utilisation d’IA lorsqu’elle implique un traitement de données personnelles et imagine une méthodologie spécifiquement applicable à l’IA (v. spéc. pt 44, p. 16).
Accountability du responsable de traitement (pts 46-52). – Une question demeure lorsqu’il s’agit d’IA : comment minimiser voire résoudre les difficultés liées à son opacité ? Le manque de moyens des autorités de contrôle et l’impossible explicabilité pour certaines IA sont notamment soulevés par le CEPD, qui suggère de rendre les tests et audits transparents et rappelle que c’est au responsable de traitement de rapporter la preuve de sa conformité au RGPD.
Exigences réglementaires (pts 53-55). – Les obligations applicables aux utilisations d’IA à haut risque proposées par la Commission et reproduites ci-après sont validées par le CEPD : données d’entraînement ; conservation des dossiers et des données ; fourniture d’information ; robustesse et précision ; contrôle humain ; exigences spécifiques pour l’identification biométrique à distance. Cependant, le CEPD recommande que l’exigence de robustesse et de précision, consistant à rendre l’IA la plus sécurisée et fiable possible, devrait s’étendre à toutes les applications au lieu de se limiter à celles à haut risque. Il précise également que la fourniture d’informations devrait varier en fonction du contexte.
Contrôle et gouvernance (pts 56-61). – Le chantier proposé par la Commission risque selon le CEPD de mener à un chevauchement des exigences de conformité entre le régime propre à l’IA et celui afférent aux données à caractère personnel. De même, afin d’éviter un chevauchement de compétences, une clarification des autorités compétentes impliquées est nécessaire.
Outre ces éléments généraux, le CEPD s’interroge sur certaines autres questions spécifiques dont l’identification biométrique à distance qui doit, selon le CEPD, faire l’objet d’un débat démocratique sur sa nécessité, sa proportionnalité et la sauvegarde des droits et intérêts des personnes concernées.
Sur le même thème
-
Panorama rapide de l’actualité « Propriété intellectuelle » des semaines du 25 mars au 15 avril 2024
-
Panorama rapide d’actualité « Technologies de l’information » de la semaine du 25 mars 2024
-
Statut d’artiste européen : la Commission se positionne enfin sur la résolution du Parlement européen
-
Règlement européen sur l’intelligence artificielle : après la discorde sur la régulation des modèles de fondation, un accord provisoire conclu
-
To be or not to be…transparent - Pour un principe matriciel de transparence dans l’environnement numérique
-
[PODCAST] Réguler l’espace numérique : oasis virtuelle ou Far West sans foi ni loi ?
-
Premier round judiciaire aux US : les IA génératives prennent l’avantage sur les artistes
-
Fin de la grève des scénaristes américains : quand l’union fait la force
-
[PODCAST] Rendre la justice grâce à l’intelligence artificielle ?
-
Images et textes générés par l’IA à l’épreuve des règles fiscales et sociales