OSBL et intelligence artificielle : quelles règlementations et bonnes pratiques mettre en œuvre ?
Publié le 23.07.2024
Décryptage de l'IA Act, la première législation générale au monde sur l’IA, mais également analyse des recommandations de la CNIL sur la protection des données personnelles et l'éthique pour enfin conclure avec un focus sur l'IA pour le secteur de la générosité.
Ces dernières années, la multiplication des services et applications utilisant la technologie de l’intelligence artificielle (IA) s’est intensifiée. Afin de répondre aux nombreuses questions que cette technologie soulève, notamment en termes de conformité et d’éthique, les autorités françaises et européennes se sont saisies du sujet, donnant lieu à des recommandations sur le développement et l’usage de l’IA. Faisons le point sur les dernières publications notamment celle de l’IA Act au Journal Officiel de l’Union européenne (JOUE) le 12 juillet 2024.
L’IA Act : une règlementation européenne fondée sur les risques
Publié au JOUE le 12 juillet 2024, le règlement européen sur l’intelligence artificielle, ou IA Act[1], est la première législation générale au monde sur l’IA.
L’IA Act vise à encadrer la conception, le développement, la mise sur le marché et l’utilisation des systèmes d’IA à usage professionnel (à l’exclusion de l’usage privé). Ce texte est conçu en fonction de la gravité des risques que présentent les systèmes d’IA sur la santé, la sécurité ou les droits fondamentaux des personnes. Quatre niveaux de risques sont ainsi prévus par le règlement : risque inacceptable, haut risque, risque spécifique en matière de transparence et risque minimal.
Par ailleurs, l’IA Act encadre une nouvelle catégorie de modèles dits à usage général. Il s’agit en pratique des modèles qui ne peuvent être classés dans les catégories de risques visées ci-dessus au regard du grand nombre de tâches qu’ils regroupent. L’intelligence artificielle générative[2], ou IAG, appartient à cette catégorie pour laquelle le règlement européen prévoit plusieurs niveaux d’obligation, allant de mesures de transparence et de documentation minimales à une évaluation approfondie et la mise en place de mesures d’atténuation des risques systémiques que certains de ces modèles pourraient comporter.
Le règlement européen sur l’intelligence artificielle entrera en vigueur le 1er août prochain. Ses mesures entreront progressivement en application, selon le calendrier suivant :
- 2 février 2025 : interdiction en Europe des systèmes d’IA présentant des risques inacceptables, tels que la notation sociale, l’exploitation de la vulnérabilité des personnes, ou encore la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement ;
- 2 août 2025 : application des règles pour les modèles d’IA à usage général et nomination des autorités compétentes au niveau des États membres ;
- 2 août 2026 : toutes les dispositions du règlement sur l’IA deviennent applicables, en particulier l’application des règles relatives aux systèmes d’IA à haut risque listés à l’annexe III du règlement, à l’instar des systèmes d’IA dans les domaines de la biométrie et de ceux utilisés dans le recrutement. A cette date, les autorités des États membres devront également avoir mis en œuvre au moins un bac à sable réglementaire[3].
- 2 août 2027: application des règles relatives aux systèmes d’IA à haut risque de l’annexe I du règlement (jouets, équipements radio, dispositifs médicaux, sécurité de l’aviation civile, etc.).
Par ailleurs, l’entrée en application de l’IA Act s’appuiera sur dix « normes harmonisées » au niveau européen, en cours de rédaction par le Comité européen de normalisation en électronique et en électrotechnique. Ces normes ont vocation à définir précisément les exigences applicables aux systèmes d’IA concernés par l’IA Act.
Pour en savoir plus : voir les questions/réponses de la CNIL et de la Commission européenne
IA et protection des données personnelles : les recommandations de la CNIL
Sur la question de la protection des données personnelles, l’IA Act et le Règlement général sur la protection des données[4] (RGPD) sont complémentaires :
- le RGPD s’applique à tous les traitements de données personnelles, qu’ils interviennent lors de la phase de développement ou lors de la phase d’utilisation (ou déploiement) d’un système d’IA ;
- l’IA Act fixe des exigences spécifiques et complémentaires au RGPD sur certains points bien définis.
La CNIL a publié en avril dernier ses premières recommandations et bonnes pratiques liées au développement des systèmes d’intelligence artificielle qui impliquent le traitement de données à caractère personnel.
Avec ces recommandations, la CNIL pose un cadre afin d’aider les professionnels, qu’ils aient un profil technique ou juridique, à concilier innovation et respect des droits des personnes pour le développement innovant et responsable de leurs systèmes d’IA.
La CNIL répond notamment aux interrogations portant sur l’application des principes de finalité, de minimisation et de durée de conservation pour le développement des systèmes d’IA. Plus précisément, les points abordés dans ces premières recommandations ont vocation à accompagner les professionnels à :
- Déterminer le régime juridique applicable: il existe en effet des régimes juridiques différents en fonction des traitements envisagés ;
- Définir une finalité déterminée, explicite et légitime à chaque traitement en tenant compte des spécificités du développement des systèmes d’IA ;
- Déterminer la qualification juridique des acteurs (fournisseur, importateur, distributeur et utilisateurs) ;
- Définir une base légale afin de s’assurer de la licéité de chaque traitement envisagé ;
- Effectuer des tests et vérifications en cas de réutilisation des données ;
- Réaliser une analyse d’impact si nécessaire ;
- Tenir compte de la protection des données dès les choix de conception du système ;
- Tenir compte de la protection des données dans la collecte et la gestion des données.
L’objectif de la CNIL est d’apporter des réponses concrètes, illustrées d’exemples, aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA.
Si ces recommandations concernent uniquement la phase de développement de systèmes d’IA (conception, constitution de la base de données, apprentissage et intégration), et non celle de déploiement, les organisations utilisatrices de système d’IA peuvent s’appuyer sur ces fiches pratiques afin de s’assurer que leurs cocontractants respectent bien les recommandations de la CNIL.
A noter que dans la continuité de ces travaux, la CNIL a publié le 10 juin 2024 une nouvelle série de recommandations, soumise à consultation publique jusqu’au 1er octobre 2024. Ces recommandations portent sur les thématiques suivantes :
- Base légale de l’intérêt légitime et développement de systèmes d’IA
- Intérêt légitime : focus sur la diffusion des modèles en source ouverte (open source)
- Intérêt légitime : focus sur le moissonnage (web scraping)
- Informer les personnes concernées
- Respecter et faciliter l’exercice des droits des personnes concernées
- Annoter les données
- Garantir la sécurité du développement d’un système d’IA
La CNIL complétera cette deuxième série de recommandations par d’autres publications sur l’IA tout au long de l’année 2024.
Focus sur l’éthique de l’IA : la CNIL partage ses travaux et réflexions
En avril 2024, dans le cadre de sa mission éthique, la CNIL publiait son cahier air2023 « IA et libre-arbitre : sommes-nous des moutons numériques ? ». Ce document reprend les contributions apportées lors de l’évènement Air2023 dédié à l’influence de l’intelligence artificielle sur nos choix.
Ce cahier, qui s’adresse aussi bien au grand public qu’aux professionnels mettant en place des solutions innovantes, chercheurs et pouvoirs publics, s’interroge sur les trois grandes questions suivantes :
- L’IA au quotidien : comment faire pour que l’intelligence artificielle soit au service de nos vies ?
- L’art de l’artifice : comment mettre l’IA au service de la créativité ?
- L’IA et les mutations au travail : comment l’IA peut-elle être mise au service du marché de l’emploi, des entreprises et des travailleurs ?
L’IA dans le secteur de la générosité : des opportunités mais une utilisation à encadrer
L’IA peut représenter des opportunités pour les organisations sans but lucratif (OSBL) et ce, quelle que soit leur taille. Ces organisations peuvent par exemple s’appuyer sur l’IA pour gagner en productivité et en efficacité (automatisation de tâches répétitives, travail de rédaction, création de visuels ou de vidéos pour des campagnes de sensibilisation ou de prospection, analyse des données et aide à la prise de décision…).
Il faut cependant garder à l’esprit que l’utilisation de l’IA, source d’économie et de temps, présente des risques et des limites et qu’un contrôle est à ce titre toujours nécessaire.
Il appartient aux OSBL de comprendre les enjeux et problématiques liées à l’utilisation de l’IA et de se saisir des règlementations et recommandations susvisées.
Par ailleurs, au-delà de la question des données personnelles, il est important pour les organisations de protéger la confidentialité de leurs données stratégiques et sensibles. A cette fin, il convient par exemple de s’assurer que de telles données ne soient pas partagées avec une IAG qui les utiliseraient à des fins d’entrainement.
Enfin, l’IA soulève également des questions éthiques et environnementales.
S’agissant de l’IAG, la CNIL recommande aux organisations de prévoir dans leurs procédures ou politiques internes des règles relatives :
- au choix des outils et la contractualisation,
- à la formation des utilisateurs salariés et bénévoles,
- à l’établissement d’une charte d’usage en interne qui précise les usages interdits et encadre, le cas échéant, les activités autorisées,
- à la vérification des résultats produits par l’IAG pour contrôler les éventuels biais, tels que la stéréotypisation des représentations, et hallucinations (réponse fausse ou trompeuse qui est présentée comme un fait certain).
Pour résumer, il est préconisé de s’interroger sur l’utilisation qui est faite de l’IA au sein de sa propre structure et, le cas échéant, d’encadrer cette utilisation, étant entendu qu’il appartient à chaque organisation de définir ses propres règles en la matière (éthique, transparence…).
Anouk MARCHALAND Juriste |
Pour suivre les actualités juridiques et fiscales du secteur, rendez-vous ici et abonnez-vous à notre newsletter ici.
[1] RÈGLEMENT (UE) 2024/1689 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) no 300/2008, (UE) no 167/2013, (UE) no 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle)
[2] Une intelligence artificielle générative est un système capable de créer du texte, des images ou d’autres contenus (musique, vidéo, voix, etc.) à partir d’une instruction d’un utilisateur humain. Ces systèmes peuvent produire des nouveaux contenus à partir de données d’entraînement.
[3] Un bac à sable règlementaire est défini par le règlement comme un cadre contrôlé mis en place par une autorité compétente qui offre aux fournisseurs ou fournisseurs potentiels de systèmes d’IA la possibilité de développer, d’entraîner, de valider et de tester, lorsqu’il y a lieu en conditions réelles, un système d’IA innovant, selon un « plan du bac à sable » (adopté conjointement entre le fournisseur et l’autorité compétente), pour une durée limitée sous surveillance réglementaire.
[4] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE