Un « service IA » à la Cnil : quelles sont ses priorités ?

Cnil service IA intelligence artificielle

Un « service de l’intelligence artificielle » voit le jour au sein de la Cnil. Où en sont les travaux de la commission sur ce sujet ?

Peut-on traiter l’IA de manière transversale avec une équipe de cinq personnes ? C’est en tout cas l’objectif – et l’effectif initial – du « service de l’intelligence artificielle » dont la Cnil vient d’annoncer la création.

La constitution de ce service fait écho à un rapport que le Conseil d’État avait rendu en août 2022. Il y recommandait, entre autres, une « transformation profonde de la [commission] en autorité de contrôle nationale responsable de la régulation des systèmes d’IA ».

Un des « documents fondateurs » de la réflexion de la Cnil sur l’intelligence artificielle date de 2017. Le sujet : les enjeux éthiques et juridiques. Y sont distingués deux grands principes :

– Loyauté
Tout algorithme, qu’il traite ou non des données personnelles, doit être loyal envers ses utilisateurs. Non pas seulement en tant que consommateurs, mais également en tant que citoyens.

– Vigilance / réflexivité
Nécessité d’une forme de questionnement régulier en réponse à plusieurs éléments. En particulier la nature imprévisible des IA, inhérente à l’apprentissage automatique. Mais aussi le caractère compartimenté des chaînes algorithmiques dans lesquelles elles s’insèrent.

Ce même document liste six recommandations opérationnelles. Parmi elles, constituer une plate-forme nationale d’audit des algorithmes. En la matière, le LINC (laboratoire d’innovation de la Cnil) a récemment apporté une pierre à l’édifice. En l’occurrence, une série d’articles publiée en septembre 2022. Il y est question d’Algaudit, une expérimentation mise en place à partir des travaux de thèse de Clément Henin pour l’INSA Lyon.

L’intéressé a développé, dans ce cadre, deux outils. D’un côté, IBEX (Interactive Black-box EXplanation), système d’explication en boîte noire. De l’autre, Algocate, système de « justification » qui tente de convaincre que la décision d’un algorithme est bonne.

2022, « année IA » à la Cnil

2022 aura été, pour le LINC, une année particulièrement riche en publications sur l’IA. Dernièrement, un triptyque sur les algorithmes dans le domaine du streaming a fait suite à un PoC d’assistant vocal* respectueux de la vie privée.

Au printemps, on avait eu droit à un point sur la gestion de la crise sanitaire. Et surtout à un dossier sur la sécurité des systèmes d’IA. En trois volets. Premièrement, une taxonomie des attaques ; avec, parmi les références, la matrice ATLAS (Adversarial Threat Landscape for Artificial Intelligence Systems) de MITRE. Deuxièmement, une réflexion d’ensemble. Troisième, des « gestes qui sauvent ».

Entre-temps, la Cnil publiait sa position sur le déploiement, dans les espaces publics, de caméras « augmentées ». C’est-à-dire associées à des logiciels de traitement automatisé d’images. Parmi ses conclusions :

– La loi n’autorise pas l’usage de telles caméras par la puissance publique pour la détection d’infractions.

– Les usages touchant à la comptabilisation et à l’analyse de fréquentation sont « admissibles ». Mais comme les personnes concernées ne peuvent exercer leurs droits RGPD, ces usages doivent être autorisés par les pouvoirs publics.

– Lorsqu’on utilise ces caméras pour produire des statistiques constituées de données anonymes et n’ayant pas de vocation immédiatement opérationnelle, le déploiement peut se faire sans encadrement spécifique. « Ce serait, par exemple, le cas d’un dispositif permettant de calculer l’affluence dans le métro pour afficher aux voyageurs les rames les moins remplies vers lesquelles se diriger », explique la Cnil. Difficile de ne pas y voir un lien avec l’aval que la commission avait donné à la RATP en 2021 pour une expérimentation du genre sur la ligne 14 du métro de Paris. Elle n’avait alors pas donné suite à nos demandes de précisions techniques.

Cette position n’englobe pas la reconnaissance faciale, objet d’une opinion distincte émise en 2019.

2023 : focus sur les données d’entraînement

Le « service de l’intelligence artificielle » a, sur sa feuille de route, des travaux concernant les bases de données d’apprentissage (= données d’entraînement des modèles d’IA).

Là aussi, la Cnil ne part pas de rien. Elle donne des éléments dans une série de fiches pratiques pour le grand public (présentation des enjeux de l’IA ; glossaire ; sélection de livres, de films et de ressources en ligne), les professionnels (conformité RGPD ; guide d’autoévaluation) et les spécialistes (apprentissage fédéré, sécurité des systèmes d’IA…).

Il va s’agir d’assortir des outils à ce corpus. Le périmètre de réflexion exclut la phase de prod. Il inclut la collecte de données, le développement et l’amélioration de systèmes d’IA. Les travaux seront menés en lien avec le groupe de travail Cnil sur l’ouverture et le partage des données.

* On consultera aussi le livre blanc de la Cnil sur les assistants vocaux (septembre 2020). Y figurent par exemple des conseils aux organismes qui souhaitent déployer ces technologies dans des lieux partagés.

Photo d’illustration © ktsdesign – Adobe Stock