AI Act : la CNIL se prépare en créant un nouveau service

Une annonce attendue de longue date

La CNIL réclamait alors d’être désignée comme autorité de contrôle national de l’IA. Constatant « la très forte adhérence entre la régulation des systèmes d’IA [à venir] et celle des données, en particulier des données à caractère personnel », le Conseil d’État préconisait, le 30 août dernier, une « transformation profonde de la CNIL » pour qu’elle puisse jouer ce rôle.

La création du service de l’intelligence artificielle (SIA) n’engendre sans doute pas une véritable transformation, mais réaffirme la position de la Commission. Le service réunira cinq personnes, des « juristes et des ingénieurs spécialisés ». Le SIA sera placé sous l’autorité de la direction des technologies et de l’innovation, incarnée par Bertrand Pailhès, ancien coordonnateur de la stratégie d’intelligence artificielle au sein de la DINSIC.

Le service d’intelligence artificielle de la CNIL devra favoriser la compréhension des systèmes d’IA en interne, mais aussi auprès du grand public et des professionnels. Il aura pour rôle de renforcer son expertise « dans la connaissance et la prévention des risques pour la vie privée, liées à la mise en œuvre de ces systèmes ». 

La CNIL prévoit que le SIA tiendra un « rôle transverse » en son sein. Il sera amené à collaborer avec la direction en charge de l’accompagnement juridique pour produire des référentiels et des recommandations à la demande du gouvernement ou afin de diffuser cette connaissance auprès des acteurs privés et publics.

Il est déjà prévu que le service d’intelligence artificielle porte assistance dans « l’instruction de plaintes et l’adoption de mesures correctrices » quand des « manquements » aux réglementations françaises et européennes concerneront l’utilisation de systèmes d’IA.

Tout comme certaines entreprises n’attendent pas l’application d’un texte de loi relatif à l’IA pour anticiper les points saillants sur lesquels les autorités pourraient les attendre au tournant, la CNIL a la volonté d’afficher publiquement son appétence en la matière.

Lors d’une table ronde de l’AI France Summit, Bertrand Pailhès affirmait que la Commission avait déjà pris des « positions de doctrine » concernant certains projets d’IA menés par des instances publiques françaises.

Le SIA devra donc développer « des relations avec les acteurs de l’écosystème » tout en préparant l’entrée en vigueur de réglementation sur l’IA (communément appelée AI Act), en cours d’élaboration au niveau européen.

AI Act : des « zones d’ombre » à lever

Pour rappel, l’AI Act vise à autoriser, à interdire et à réguler tous systèmes d’IA suivant des niveaux de risque.

Lors de la fameuse table ronde, le directeur des technologies et de l’innovation de la CNIL anticipait également l’adresse aux fournisseurs de solutions et les discussions avec les « acteurs » concernés. « La notion d’acteurs introduite par la réglementation européenne sur l’IA concerne les fournisseurs, les distributeurs, les importateurs, ou encore les utilisateurs », interprète Yann Bilissor, CTO Smart Business chez Cellenza, un cabinet de conseil IT expert des technologies Microsoft. « Les utilisateurs ne sont pas des usagers, mais des clients directs ou indirects des fournisseurs de technologie tels Microsoft, Google ou AWS ».

Or les textes actuellement disponibles présentent des « zones d’ombre », observe le CTO, qui se réfère lui-même à l’avis du cabinet d’avocats Smalt, un partenaire de Cellenza. « Nous nous appuyons sur les solutions d’un fournisseur cloud pour aider nos clients à développer des projets d’IA. Cependant, le niveau de responsabilisation entre le fournisseur et l’intégrateur n’est pas encore clairement défini dans les textes. Pour l’heure, nous pouvons être perçus comme fournisseur de services d’IA », constate Yann Bilissor.

« [...] Le niveau de responsabilisation entre le fournisseur et l’intégrateur n’est pas encore clairement défini dans les textes [de l'AI Act européen] ».

Statuer des différents niveaux de responsabilité est un enjeu crucial pour toutes les entreprises. Le projet de réglementation prévoit d’ores et déjà des amendes allant jusqu’à 30 millions d’euros ou 6 % du chiffre d’affaires global d’une entreprise, insiste le CTO.

Une autre interrogation pour Yann Bilissor concerne la compatibilité de la future réglementation européenne avec l’actuel règlement général sur la protection des données (RGPD). « Le nouveau texte demande de journaliser les données en entrée et en sortie d’un système d’intelligence artificielle », explique-t-il. « Imaginons que les données en entrée sont des photographies de visages à partir desquelles un algorithme de vision par ordinateur détecte des anomalies de peau (acnés, psoriasis, eczéma, etc.) afin de proposer un traitement adapté », expose-t-il. « En soi, l’usage semble peu sensible, mais au regard du RGPD, nous n’avons pas forcément le droit de conserver ces photos qui sont des données personnelles. Comment conserver les données en entrée sans enfreindre le RGPD ? », s’interroge-t-il.

Des « travaux » pour guider les acteurs privés et publics

C’est justement pour répondre à ce type d’organisation que la CNIL lance en parallèle de la création du SIA des travaux concernant « les bases de données d’apprentissage », plus communément appelées jeux de données d’entraînement. La Commission nationale de l’informatique et des libertés affirme avoir reçu des demandes d’éclaircissement de la part des entreprises. Elle veut « promouvoir les bonnes pratiques au titre des exigences du RGPD » et préparer le terrain au regard de la future réglementation européenne.

Ces travaux concernent l’entraînement des systèmes de machine learning et de deep learning qui nécessite la collecte de données en provenance « de tous types de sources ». La CNIL veut conseiller les acteurs privés et publics sur la constitution des jeux d’entraînement, sur les phases de développement et les usages des modèles d’IA. Elle publiera au cours de l’année 2023 des outils afin de rassembler les données et des fiches pratiques « pour répondre aux situations les plus courantes ». Toutefois, l’autorité n’a pas encore lancé de chantiers concernant la diffusion et la réutilisation des jeux de données ainsi que des modèles d’IA. Il s’agit pourtant d’un des cas d’usage les plus répandus en entreprise et dans les laboratoires de recherche. Ces questions « feront l’objet de travaux séparés », promet la CNIL.