Dernièrement, les éditeurs d'intelligence artificielle (IA) sont sous le feu des projecteurs pour leur gestion des données personnelles. Les systèmes d’IA, basés sur l’apprentissage automatique, dépendent souvent de volumes massifs de données, dont beaucoup sont des données personnelles. Le Règlement Général sur la Protection des Données (RGPD) impose des obligations strictes en matière de transparence, de licéité et de respect des droits des individus, obligations qui s’appliquent pleinement aux technologies d’IA génératives.
Le RGPD repose sur des principes fondamentaux qui s’appliquent aux systèmes d’IA traitant des données personnelles. Leur mise en œuvre dans ce contexte présente des défis spécifiques liés à la nature des technologies d’apprentissage automatique.
L’article 5(1)(a) du RGPD exige que le traitement des données soit effectué de manière transparente. Pour les systèmes d’IA, cela implique d’informer clairement les individus sur la collecte, l’utilisation et les finalités des données. Pour les IA, cette transparence est particulièrement complexe en raison de l’opacité inhérente à certains algorithmes (comme les réseaux de neurones profonds).
Il incombe aux concepteurs d’IA génératives d’expliquer clairement la manière dont les données façonnent les décisions prises par leurs modèles, mais la transparence de ces algorithmes est complexe, tant pour le fait que les algorithmes sont très sophistiqués que pour préserver les secrets industriels et la propriété intellectuelle des éditeurs d’IA.
Selon l’article 5(1)(c), seules les données nécessaires à la finalité du traitement doivent être collectées. Dans l’IA, où les modèles prospèrent sur de vastes ensembles de données, ce principe peut sembler contradictoire. Les éditeurs doivent justifier chaque donnée utilisée et envisager des alternatives comme l’apprentissage fédéré (federated learning) ou les données synthétiques pour réduire leur dépendance aux données personnelles.
L’article 6 du RGPD exige une base légale pour tout traitement, comme le consentement, l’exécution d’un contrat ou l’intérêt légitime. Pour les systèmes d’IA, obtenir un consentement explicite peut être difficile, notamment lors de collectes massives ou de réutilisation de données. L’intérêt légitime, souvent invoqué, nécessite un équilibre délicat avec les droits des individus, ce qui peut être contesté par les autorités de protection des données.
Les articles 15 à 22 du RGPD garantissent des droits tels que l’accès, la rectification, l’effacement (« droit à l’oubli ») et l’opposition. Dans l’IA, ces droits posent des défis techniques : par exemple, retirer des données d’un modèle entraîné peut nécessiter un réentraînement coûteux. Les éditeurs doivent concevoir des systèmes permettant de répondre à ces demandes et respectant ainsi une privacy by design. Néanmoins l’implémentation de cette privacy by design impliquerait une perte de revenue conséquente pour les éditeurs d’IA en plus de la difficulté technique de mise en place.
La CNIL dans ses recommandations sur les systèmes d'IA du 8 avril 2024 a émis des conseils pour accompagner les éditeurs d’IA dans leur conformité au RGPD, offrant des solutions pratiques aux défis identifiés.
Ces recommandations soulignent une approche proactive, essentielle pour éviter les sanctions.
Les récentes sanctions révèlent les risques juridiques qui pèsent sur les éditeurs d’IA et soulignent les exigences des autorités réglementaires.
Le 20 décembre 2024, l’autorité italienne de protection des données (Garante) a infligé une amende de 15 millions d’euros à OpenAI pour violations du RGPD. Les griefs incluaient le traitement de données sans base légale (article 5§2 et 6 du RGPD), le défaut de transparence (article 12 et 13 du RGPD), la production de données inexactes (hallucination de l’IA) et l’absence de notification d’une violation de données survenue en mars 2023 (article 33 du RGPD). De plus, OpenAI n’avait pas mis en place de systèmes adéquats pour protéger les mineurs de contenus inappropriés générés par son IA soit une l’absence de vérification de l’âge des utilisateurs (article 24 et 25§1 du RGPD). OpenAI a été contraint de lancer une campagne d’information en Italie pour sensibiliser les utilisateurs aux pratiques de collecte de données de ChatGPT. Notons aussi qu’en France, Mistral AI la célèbre licorne française de l’IA générative fait aussi l’objet d’une plainte devant la CNIL. Les plaignants reprochent à l’entreprise de ne pas avoir obtenu le consentement des utilisateurs pour l’entrainements de ces modèles (article 7 du RGPD) et de ne pas avoir fourni d’informations claires sur les données collectées (article 12 du RGPD).
Ces enquêtes démontrent qu’il est difficile pour les IA génératives d’absorber massivement des données en tant qu’input afin de fonctionner tout en respectant le RGPD.
Clearview AI, une entreprise américaine de reconnaissance faciale, a été sanctionnée à plusieurs reprises en Europe pour avoir collecté et traité sans base légale des données biométriques. En France, la CNIL a infligé une amende de 20 millions d’euros en 2022, suivie d’une sanction supplémentaire de 5,2 millions d’euros en 2023 pour non-conformité aux injonctions. L'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) a sanctionné Clearview AI sur le même fondement pour un montant de 30 500 000 €. Des amendes ont également été prononcées en Italie, en Grèce, aux Pays-Bas et au Royaume-Uni. Ces sanctions illustrent la sévérité avec laquelle les régulateurs européens traitent les violations impliquant des données sensibles. L’entreprise Clearview AI basé à Manhattan aux Etats Unis refuse de se conformer aux sanctions européennes et même de payer les amendes et n’a pas changé son comportement depuis s’engageant dans un bras de fer avec les régulateurs européens. L’autorité néerlandaise envisage donc de sanctionner et de tenir pour responsable les dirigeants de l’entreprises imitant la justice française pour le cas de Télégram.
En juin 2023, l’autorité suédoise de protection des données (IMY) a infligé une amende de 5 millions d’euros à Spotify pour ne pas avoir fourni des informations suffisamment détaillées en réponse aux demandes d’accès des utilisateurs. Spotify utilise l’IA pour ses recommandations musicales.
Bien que Spotify ait fourni certaines informations, celles-ci manquaient de précision sur la manière dont les données étaient utilisées par ses algorithmes de recommandation.
Les éditeurs d’IA font donc face à des risques croissants :
Pour assurer leur conformité, les acteurs de l’IA doivent :
En anticipant les risques juridiques et en adoptant une approche proactive, les éditeurs d’IA peuvent non seulement éviter des sanctions coûteuses, mais aussi renforcer la confiance des utilisateurs et leur position sur le marché.
Trouver un équilibre entre le respect indispensable des garanties imposées par le RGPD et la nécessité de performance des systèmes européens d'intelligence artificielle constitue aujourd'hui un enjeu majeur. Ce défi intervient dans un contexte géopolitique particulièrement tendu, où chaque contrainte normative à la performance peut significativement pénaliser les nations engagées dans la course à l’IA.
Lors de son adoption en avril 2016, le RGPD n’avait pas anticipé l’émergence rapide et massive des IA génératives accessibles aujourd’hui au grand public. Ces nouvelles technologies, qui traitent quotidiennement des volumes considérables de données personnelles, soulèvent désormais une question essentielle : le RGPD serait-il déjà en voie d'obsolescence face à cette innovation technologique majeure ?
Si vous êtes confrontés à ces enjeux, les avocats experts du cabinet Deprez Guignot et Associés, spécialisés en RGPD et intelligence artificielle pourront vous accompagner avec expertise.
