Pour une IA de confiance

Au début de février, l’exécutif français a organisé un « Sommet pour l’action sur l’Intelligence Artificielle ». Autour de cet événement de dimension internationale, les initiatives se sont multipliées pour profiter de l’actualité. En particulier, l’ANSSI (Agence nationale de la sécurité des systèmes d’information), agence gouvernementale dépendant du secrétariat général de la Défense et de la Sécurité nationale (SGDSN), et la CNIL (Commission nationale de l’informatique et des libertés), autorité administrative indépendante, ont chacune publié un guide pour accroître le niveau de confiance dans l’intelligence artificielle (IA) dans leur domaine de compétence. Le déploiement de l’intelligence artificielle en entreprises n’est en effet pas sans entraîner des questions voire des inquiétudes, y compris sur le plan légal ou social.

La CNIL se préoccupe en premier lieu du bon usage des données personnelles. Concernant l’IA, elle distingue donc deux cas selon que l’IA est entraînée avec de telles données ou pas. Sans données personnelles, la question ne la concerne plus. Mais, dans le cas contraire, la CNIL rappelle que le RGPD s’applique de plein droit. L’autorité administrative indépendante a cependant estimé que la nature de l’IA impose une interprétation spécifique du RGPD. Le principe de finalité peut ainsi être nettement plus vague, la minimisation peut être adaptée aux besoins importants des IA, la durée de conservation des données d’entraînement peut être longue sous réserve de sécurité adaptée et la réutilisation est largement possible.

L’IA doit respecter le RGPD

Cependant, la CNIL rappelle deux principes fondamentaux dans deux avertissements. Tout d’abord, « lorsque des données personnelles servent à l’entraînement d’un modèle d’IA et sont potentiellement mémorisées par celui-ci, les personnes concernées doivent être informées. » Et, bien évidemment, les droits d’accès, de rectification, d’opposition et d’effacement des données personnelles doivent être respectés. La CNIL, consciente de la difficulté d’effacer spécifiquement les données de tel ou tel individu dans des bases de connaissance d’une IA, recommande fortement « de rendre les modèles anonymes, lorsque cela n’est pas contraire à l’objectif poursuivi. »

On pourra tiquer sur une tolérance admise par la CNIL : « Le coût, l’impossibilité ou les difficultés pratiques pourront parfois justifier un refus d’exercice des droits ; lorsque le droit doit être garanti, la CNIL prendra en compte les solutions raisonnables à la disposition du créateur du modèle et les conditions de délai pourront être aménagées ». Certes, c’est du pragmatisme, mais c’est aussi de la responsabilité des maîtres d’oeuvre d’un système IA de veiller à respecter les droits individuels. Dans le pire des cas, l’anonymisation, comme la recommande la CNIL, peut d’ailleurs être la solution. La CNIL poursuit régulièrement des consultations avec les acteurs concernés.

La cybersécurité de l’IA : approche par les risques

L’ANSSI, de son côté, s’est évidemment intéressé à la cybersécurité de l’IA et, pour cela, a mené des travaux communs avec d’autres organismes comme la CNIL, l’AMIAD et l’INRIA. L’approche par les risques est celle qui a été retenue et elle porte sur les trois piliers de l’IA : la capacité de calcul, les modèles d’IA (et leurs dépendances logicielles associées) et les données. Les risques types concernent ainsi l’empoisonnement des données ou du modèle, l’extraction des données (« reconstruction ou récupération de données confidentielles du système d’IA ou du modèle après la phase d’apprentissage ») et l’évasion (« altération des données d’entrée afin de modifier le fonctionnement attendu du système d’IA »). D’autres types d’attaques sont mentionnées comme, par exemple, la « Compromission de l’infrastructure d’hébergement et d’administration des systèmes d’IA ».

L’ANSSI recommande par conséquent d’évaluer la sécurité des systèmes d’IA, de soutenir la recherche sur cette sécurité, de respecter les bonnes pratiques générales d’hygiène numérique ainsi que de favoriser le dialogue des gouvernances cyber et IA. Le guide de l’ANSSI comporte en annexe une série de questions à se poser et une liste de références très utile.

En savoir plus

- Sur le site de l’ANSSI : « Développer la confiance dans l’IA par une approche par les risques cyber ».

- Sur le site de la CNIL : « IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable ».

- Sur le site de l’Elysée : « Sommet pour l’action sur l’Intelligence Artificielle » (sous-site dédié).