Ouverture de négociations pour une nouvelle Convention sur l'intelligence artificielle
Dans une opinion en date du 13 octobre 2022, le Comité européen de la protection des données (CEPD) a indiqué l’ouverture prochaine de négociations au sein du Conseil de l’Europe pour une Convention européenne sur l’Intelligence artificielle (IA), droits de l’homme, démocratie et État de droit.
Pour le CEPD, il s’agit d’une excellente opportunité de compléter et d'enrichir le règlement de la Commission Européenne sur l’Intelligence artificielle, tout en renforçant les droits fondamentaux des individus et en particulier le droit à la vie privée et le droit à la protection des données personnelles.
Il s’agit par ailleurs de proposer le premier outil sur l’intelligence artificielle, qui soit légalement contraignant à un niveau international et conforme aux standards et valeurs européennes.
C’est pourquoi, cette Convention devra être élaborée dans un souci de cohérence avec les instruments européens existants en matière de protection des données personnelles.
Des enjeux complexes et une réponse forte, adaptée aux risques identifiés
En pratique, le CEPD souligne que les systèmes utilisant l’IA ne doivent en aucun cas poser un risque pour l’individu quant à l’utilisation de ses données personnelles.
Très concrètement, la Commission européenne a souhaité préciser les usages interdits afin de construire une IA éthique et de confiance au sein de l'union européenne (UE).
Ainsi, compte tenu des risques extrêmement élevés posés par l'identification biométrique à distance des personnes dans les espaces publics (reconnaissance des visages, de la démarche, des empreintes digitales, de la voix, etc.), les autorités de protection des données européennes proposent que soient retirées les exceptions à l’interdiction générale.
L’avis recommande également une interdiction des systèmes biométriques utilisés aux fins de classer les individus dans des groupes basés sur l'ethnicité supposée, le sexe, l'orientation politique ou sexuelle, ou d'autres motifs pour lesquels la discrimination est interdite en vertu de l'article 21 de la Charte des droits fondamentaux de l’Union européenne.
L'utilisation de systèmes d'IA pour déduire les émotions d'une personne physique est par ailleurs considérée comme hautement indésirable et devrait également être soumise à une interdiction de principe (sauf cas très spécifiques, tels que certains objectifs de santé).
Enfin, les systèmes utilisés pour la notation sociale (« social scoring ») doivent être systématiquement interdits.
La compréhension fine du fonctionnement des systèmes d’IA devient ainsi un enjeu essentiel pour les régulateurs du numérique.
C’est pourquoi le projet de règlement sur l’IA de la Commission européenne prévoit que les systèmes d’IA à « haut risque » devront faire l’objet d’audits, qui conduiront à un « marquage CE » attestant de leur conformité (certifiés par un organisme notifié ou par contrôle interne).
Ces audits devront assurer, en amont de la mise en place des systèmes d’IA, que leurs caractéristiques sont conformes avec les exigences inscrites dans la réglementation.
Dans ce contexte, le CEPD a par ailleurs indiqué que la future Convention devrait inclure un ensemble minimal de garanties procédurales pour protéger les individus des risques liés à l’utilisation de systèmes basés sur l’IA.
La CNIL comme autorité de contrôle des systèmes utilisant l'IA
La question s’est alors posée de définir une autorité de contrôle capable de jouer un rôle d’autorité de coordination et de supervision.
En France, c’est la Cnil qui remplira ce rôle. Le Conseil d’État a proposé cette approche dès l’été 2022, dans le cadre de la future règlementation sur l’IA. Il a, à ce titre, souligné « la très forte adhérence entre la régulation des systèmes d'IA [à venir] et celle des données, en particulier des données à caractère personnel ».
Amenée à se transformer en profondeur pour face à ce nouveau défi que représente le contrôle des systèmes d’AI, la CNIL se doit d’anticiper ses futures prérogatives tout en tout en renforçant ses capacités à supporter l’essor des traitements de données personnelles fondés sur l’IA dans les prochaines années.
Par conséquent, afin de solidifier ses capacités de contrôle pour s’adapter aux nouvelles pratiques, la CNIL s’intéresse déjà aux outils d’audit des systèmes d’IA.
Dans une quasi logique de privacy by design, la CNIL articulerait dès lors une application optimale des futurs instruments européens sur l’IA et la constitution d’un écosystème européen de l’intelligence artificielle favorable à l’innovation.