Préoccupée par l’IA, la CNIL veut accompagner plus que sanctionner
Par Bertrand Lemaire | Le | Gouvernance
Le 23 mai 2023, la CNIL (Commission Nationale Informatique et Libertés) a présenté son rapport d’activité 2022 et les tendances de ses actions, en particulier sur l’IA. Un service dédié a été d’ailleurs créé.
« Nous sommes vus comme des gendarmes qui sanctionnons et c’est très réducteur de notre action » a regretté Marie-Laure Denis, présidente de la CNIL, en présentant, le 23 mai 2023, le rapport d’activité 2022 de l’autorité administrative indépendante. De fait, la Commission Nationale Informatique et Libertés doit certes contrôler l’application des textes tels que la Loi Informatique et Libertés ou le RGPD et, le cas échéant, sanctionner les fautes. Mais son action consiste d’abord à informer et protéger les citoyens, à anticiper les évolutions technologiques et suivre les innovations, ainsi que, enfin, accompagner les entreprises comme les collectivités et administrations dans leurs usages des données personnelles, notamment via des formations, des interventions et un MOOC.
Avec un budget de moins de 24 millions d’euros, la CNIL dispose de 270 collaborateurs dont 82 % d’agents de catégorie A et 63 % de femmes. En 2022, la CNIL a traité 126 574 appels et 18 462 requêtes en ligne de la part de citoyens ayant débouché sur 12 193 plaintes dont 7959 plaintes recevables. Côté contrôles, la CNIL en a mené 345 dont 143 sur place, 43 sur pièces, 128 en ligne et 31 sur audition. Ces contrôles ont débouché sur 147 mises en demeure, 29 rappels à la Loi et 21 sanctions dont 19 amendes pour un montant cumulé de plus de 101 millions d’euros. Marie-Laure Denis a indiqué que « le défaut le plus fréquent est une mauvaise information des utilisateurs sur les emplois de leurs données personnelles ». Mais elle a relativisé le rôle des sanctions : « notre philosophie n’est pas de sanctionner pour sanctionner, l’objectif est d’obtenir la conformité réglementaire des traitements, d’où un entonnoir de la plainte à la sanction. »
L’intelligence artificielle, un focus pour l’année 2023
En général, le recouvrement des amendes, entre les mains de l’État, ne pose pas de soucis. Mais la CNIL est singulièrement agacée par l’attitude inédite de Clearview, société américaine qui collecte en masse des photos sur Internet, y compris de citoyens européens, et qui refuse tout contact avec la CNIL et toute prise en considération des injonctions et sanctions prononcées. Or cette société cherche à développer des algorithmes d’intelligence artificielle de reconnaissance faciale au bénéfice de toutes sortes d’entreprises et d’États. Les sanctions prononcées ont tout de même un rôle d’avertissement à l’égard de clients potentiels européens, avertis qu’ils ne doivent pas recourir à cette solution sous peine de sanctions.
Au delà, à l’image de son homologue italienne qui a sanctionné OpenAI pour ChatGPT, la CNIL a exprimé ses inquiétudes sur l’intelligence artificielle. Cette inquiétude s’exprime notamment à l’occasion du développement de la vidéoprotection augmentée, prévue dans la « loi Jeux Olympiques ». Comme Marie-Laure Denis l’a relevé, « nul ne nie les opportunités associées à l’IA ». Pour elle, « notre posture est d’accompagner la mise en place de l’IA afin que celle-ci procède en respectant la vie privée. » La présidente de la CNIL a également pointé : « un outil tel que ChatGPT se base sur de la mass data, dont énormément de données personnelles, sans oublier les données imprudemment apportées par les utilisateurs dialoguant dans le chat ». Pour l’heure, la CNIL n’a pas prévu de rencontrer les responsables d’OpenAI actuellement en déplacement en Europe : l’instruction du dossier reste sur pièce.
Accompagner le développement de l’IA
Depuis 2021, la CNIL gère un « bac à sable ». La première année, il était consacré au thème de la santé, sur l’éducation en 2022 et, logiquement, sur l’IA en 2023. Il s’agit, avec ce dispositif, d’accompagner juridiquement et techniquement des sociétés innovantes. Environ 50 ont été candidates en 2023. Trois ont été retenues. La première est ContentSquare, société du Next40 : celle-ci propose à ses clients un SaaS à base d’IA collectant et analysant les données des utilisateurs lors de leur parcours en ligne afin d’améliorer l’expérience utilisateur sur les sites web et les applications mobiles. Autre société accompagnée, Hugging Face propose une plate-forme communautaire et de collaboration autour de l’IA et du Machine Learning. Enfin, Lifen vise à simplifier l’accès aux données médicales par les acteurs du soin, établissements ou praticiens libéraux, en se basant sur une interopérabilité technique des logiciels, une structuration des données et une harmonisation sémantique.
De plus, un service dédié à l’IA a été récemment constitué (encore en cours de recrutement des expertises nécessaires) sous la direction de Félicien Vallet. « L’IA n’est pas un nouveau sujet pour la CNIL » a rappelé celui-ci. D’abord, il s’agit de réaliser une veille technologique, d’acculturer les autres services de la CNIL, de contribuer à la création d’une doctrine IA de la CNIL, de garantir une sécurité juridique sur les questions relatives à l’IA… Pour Félicien Vallet, « le RGPD est agnostique en termes de technologies et il faut donc adopter une doctrine IA basée sur les principes habituels de minimisation des données, de sécurité, d’auditabilité… » Il faudra aussi articuler la future directive européenne sur l’IA avec le RGPD. Ce service a également vocation à fédérer les expertises internes mais aussi des institutions partenaires ou des membres de l’écosystème. Enfin, ce service devra définir des méthodologies et modalités d’audit des systèmes d’IA.
Au delà de l’IA, les sujets habituels toujours d’actualité
La CNIL ne limite évidemment pas ses efforts à l’intelligence artificielle. En particulier, elle renforce d’année en année ses initiatives et actions pour sensibiliser la population avec un focus particulier sur la protection des enfants. Elle met ainsi en ligne des kits pédagogiques destinés à l’utilisation en classe. Elle travaille avec l’Arcom sur le sujet du contrôle d’accès aux sites pornographiques : les légitimes inquiétudes sur la protection de l’enfance ne sauraient en effet justifier un fichage des utilisateurs de ces sites.
Enfin, autre sujet essentiel en ce moment, la souveraineté des données sensibles, qu’elles soient ou non personnelles. Des travaux ont lieu impliquant notamment la CNIL et les ministères financiers pour mieux définir le concept même de donnée sensible et mieux réglementer le stockage de celles-ci. Peut-être le recours à des hébergements SecNumCloud deviendra-t-il obligatoire pour ces données. Enfin, la CNIL est en attente des évolutions européennes tant en termes de directives et règlements que dans les conséquences des arrêts Schrems.