Intelligence artificielle : avis du CEPD sur le Livre blanc de la Commission

Le 19 février dernier, la Commission européenne avait publié son livre blanc « Intelligence artificielle. Une approche européenne axée sur l’excellence et la confiance », dont nous avions rapporté les principaux axes (v. Dalloz actualité, 28 févr. 2020), et qui présentait les orientations générales en matière de régulation de l’intelligence artificielle (IA). Elle avait fait le choix de retenir une approche fondée sur les risques, dont la méthodologie consiste à déterminer le haut risque en fonction du secteur et de l’utilisation dans lesquels est déployée l’IA. Partant, un certain nombre d’exigences réglementaires devaient y être appliquées.

Nonobstant cette régulation appliquée à un domaine estimé « à haut risque », la Commission rappelait qu’en tout état de cause, la protection des données à caractère personnel – incluant le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD), la directive (UE) 2016/680 du 27 avril 2016 et le règlement (UE) 2018/1725 du 23 octobre 2018 – trouvait toujours à s’appliquer le cas échéant. C’est dans ce contexte que le contrôleur européen de la protection des données (CEPD) a rendu un avis, le 29 juin 2020, destiné à clarifier et à développer cet aspect. Relevons que le CEPD tient compte des premiers résultats de la consultation publique à laquelle a été soumis le livre blanc.

Le CEPD regrette en premier lieu l’absence de définition claire et unifiée de l’IA ; difficulté effectivement redondante dans les différentes propositions des institutions européennes (v. Dalloz actualité, 5 févr. 2020, obs. C. Crichton). Des critères de qualification sont ainsi proposés : un modèle de prise de décision, un algorithme traduisant ce modèle en langage informatique, des données utilisées en entrée et un environnement d’utilisation déterminé (pt 10 : « a decision-making model, an algorithm that translates this model into computable code, the data this code uses as an input and the environment surrounding its use »).

De la même manière, le CEPD regrette la vision selon laquelle l’intelligence artificielle serait une technologie « essentielle » en relevant que toute technologie constitue au mieux un outil et qu’elle n’est pas nécessairement appropriée à toutes les situations (pt 11). Plus généralement, le CEPD avertit des risques d’une promotion aveugle de l’IA dont le niveau de maturité n’est pas nécessairement démontré (pt 12) et qui peuvent dans certains cas porter atteinte aux droits et libertés fondamentaux (pt 13).

Concernant le cadre juridique proposé par la Commission, le CEPD approuve globalement l’approche retenue, retenant les mêmes points d’attentions que sont notamment la minimisation des risques en matière de protection des personnes, de sécurité et de responsabilité, la transparence, la traçabilité, l’intervention humaine et les biais (pts 14-22). Quelques éléments sont cependant développés.

Principe de précaution et approche fondée sur les risques (pts 23-39). – Les critères de qualification d’utilisation d’IA à haut risque retenus par la Commission paraissent pour le CEPD trop restrictifs du fait de leur caractère cumulatif, qui ne prendrait pas en compte certaines atteintes aux droits et libertés fondamentaux des personnes. Pour rappel, le haut risque est apprécié selon la Commission en fonction du secteur et de l’utilisation de l’IA en elle-même. Selon le CEPD, cette appréciation doit refléter des conceptions sociétales plus larges, comme l’impact sur le processus démocratique, et en conséquence prendre en compte une gamme plus large de dommages. Aucune illustration n’est cependant fournie, hormis le risque de prise de décision arbitraire liée à un jeu de données biaisé. Afin de remédier à ces difficultés, est proposé de calquer à l’IA le régime de l’analyse d’impact relative à la protection des données (AIPD) précisé par les lignes directrices WP 248 de l’ancien G29. Car, expose le CEPD, les critères retenus par la Commission paraissent superflus en matière de protection de données personnelles dont le régime possède déjà son approche fondée sur les risques (ex. RGPD, art. 32 sur la sécurité et 35 sur l’AIPD). Plus largement, le CEPD émet une proposition à contre-courant de l’approche retenue par la Commission : interdire toute utilisation d’IA à haut risque, et réglementer l’intégralité des autres utilisations, qui selon lui génèrent nécessairement des risques, ce afin de respecter le principe de précaution.

Analyse d’impact relative à la protection des données (pts 40-45). – Allant dans la continuité de sa précédente pensée, le CEPD propose de rendre l’AIPD obligatoire pour toute utilisation d’IA lorsqu’elle implique un traitement de données personnelles et imagine une méthodologie spécifiquement applicable à l’IA (v. spéc. pt 44, p. 16).

Accountability du responsable de traitement (pts 46-52). – Une question demeure lorsqu’il s’agit d’IA : comment minimiser voire résoudre les difficultés liées à son opacité ? Le manque de moyens des autorités de contrôle et l’impossible explicabilité pour certaines IA sont notamment soulevés par le CEPD, qui suggère de rendre les tests et audits transparents et rappelle que c’est au responsable de traitement de rapporter la preuve de sa conformité au RGPD.

Exigences réglementaires (pts 53-55). – Les obligations applicables aux utilisations d’IA à haut risque proposées par la Commission et reproduites ci-après sont validées par le CEPD : données d’entraînement ; conservation des dossiers et des données ; fourniture d’information ; robustesse et précision ; contrôle humain ; exigences spécifiques pour l’identification biométrique à distance. Cependant, le CEPD recommande que l’exigence de robustesse et de précision, consistant à rendre l’IA la plus sécurisée et fiable possible, devrait s’étendre à toutes les applications au lieu de se limiter à celles à haut risque. Il précise également que la fourniture d’informations devrait varier en fonction du contexte.

Contrôle et gouvernance (pts 56-61). – Le chantier proposé par la Commission risque selon le CEPD de mener à un chevauchement des exigences de conformité entre le régime propre à l’IA et celui afférent aux données à caractère personnel. De même, afin d’éviter un chevauchement de compétences, une clarification des autorités compétentes impliquées est nécessaire.

Outre ces éléments généraux, le CEPD s’interroge sur certaines autres questions spécifiques dont l’identification biométrique à distance qui doit, selon le CEPD, faire l’objet d’un débat démocratique sur sa nécessité, sa proportionnalité et la sauvegarde des droits et intérêts des personnes concernées.