ALS - Magazine 7 - Avril 2020

ALSMag / 9 ASPECTS JURIDIQUES LIÉS AUX DONNÉES Une grande partie des développements actuels de l’IA repose sur une utilisation raisonnée de bases de données de plus en plus grandes (les fameux Big Data !) principalement pour l’apprentissage de systèmes statistiques ou neuronaux. Ces données, de nature très diverse, présentent donc un enjeu économique, juridique et sociétal. Protection des données personnelles Le premier enjeu est la protection des données personnelles manipulées : données génétiques, données biométriques, données concernant des infractions, des condamnations pénales et des mesures de sûreté ainsi que toutes données sur l’origine raciale ou ethnique, les opinions politiques, l’appartenance syndicale, etc. L’Europe dispose du dispositif le plus avancé au monde. S’inspirant directement de la loi française InformatiqueetLibertés (1978), l’UnionEuropéenne a introduit en 2018 le règlement général de l’UE sur la protection des données personnelles (RGPD) qui est une référence en matière de protection des données à caractère personnel [12] . Il renforce et unifie la protection des données pour les indi- vidus au sein de l’Union Européenne. Son but est de permettre aux entreprises européennes de développer leurs activités numériques dans un contexte juridique égalitaire et compétitif. Comme c’est un règlement, il ne nécessite aucune trans- position juridique dans les États membres. Les entreprises européennes deviennent respon- sablesdesdonnéesàcaractèrepersonnelqu’elles collectent et de leurs usages, en respectant les principes suivants : f loyauté et transparence : ce qui est traité doit correspondre à ce qui a été expliqué à la personne concernée, f minimisation des données : les données recueillies sur un sujet doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées », f portabilité des données (comme c’est déjà le cas pour le téléphone), f droit d’accès et modification accordé à chacun pour les données le concernant, f finalité : les données sont utilisées à des fins spécifiques ayant justifié la collecte. Dans notre vie quotidienne (maison, loisirs, santé, transport, etc.), nous sommes entourés d’objets connectés dont le nombre ne fera que croître. Ces objets omniprésents seront capables de mener des traitements de plus en plus intelligents. En tant que tels, ils relèvent du RGPD. Leur utilisation soulève notamment la question des risques de défaillance et de la recherche des responsabilités. Comme il n’existe pas de droit spécial des objets connectés, le droit civil a alors vocation à s’appliquer à ces objets. Le RGPD vise trois objectifs : f renforcer les droits des personnes, f responsabiliser les acteurs traitant des données, f crédibiliser la régulation (notamment par le biais d’amendes). Des initiatives analogues au RGPD apparaissent dans le monde, notamment au Japon, au Moyen- Orient ou encore en Californie (le CCPA, California Consumer Privacy Act , est entré en vigueur en janvier 2020). Le RGPD a déjà conduit à des amendes impor- tantes infligées à des entreprises. La justice américaine est également active. Le respect de la vie privée et la protection des données person- nelles sont ainsi devenus des sujets d’actualité, notamment après les scandales liés à des opérateurs comme Google, Twitter, Alibaba ou Facebook (piratage de données personnelles, croisement de fichiers de clients, etc.). Une tendance existe cependant pour permettre aux forces de l’ordre d’accéder à des données personnelles pour la lutte contre la criminalité et le terrorisme. Ainsi, aux USA, le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) , loi fédérale adoptée en 2018, fait l’objet de critiques car elle ouvre aux forces de l’ordre américaines un large accès aux données personnelles d’un individu sans que celui-ci en soit informé. Anonymisation des données Pour les développeurs de systèmes d’IA, la protection des données personnelles pose un problème pratique : celui de l’anonymisation des données collectées. Ce processus consiste à traiter ces données afin d’empêcher l’identifi- cation des personnes concernées. Un compromis est à trouver pour préserver l’anonymat, sans mettre en cause la pertinence du contenu. Des algorithmes plus ou moins efficaces ont été développés pour cela (notamment les données de santé, cf. ci-dessous). Propriété des données vs accès public aux données Se pose ensuite la question de la propriété des données et de l’ouverture de leur accès. Il s’agit d’atteindre un équilibre entre, d’une part, la protection et la valorisation de cette nouvelle richesse et, d’autre part, son accès libre (open data) , favorisant l’innovation. En France, la loi pour une République numérique a décidé de l’ouverture des données publiques, sans intervenir sur d’autres types de données. Cette loi, sans concerner spécifiquement l’IA, impose en parti- culier une exigence de transparence aux adminis- trations quant aux traitements algorithmiques servant à prendre des décisions concernant les citoyens. Transparence des algorithmes et éthique Le RGPD donne également à une personne le droit de demander l’explication et la justification d’une décision la concernant. Si les décisions en question sont des décisions de la justice ou de la police, on comprend que la transparence des systèmes d’IA est indispensable. Or il est actuel- lement très difficile d’expliquer comment un réseau neuronal profond parvient à une décision. Cela pose donc problème, et est l’une des raisons justifiant l’étude de modèles d’IA capables d’expliquer leurs résultats, un domaine de recherche en plein développement. Plus largement, le Canada et la France ont fait une déclaration commune pour promouvoir une vision de l’IA centrée sur l’humain et axée sur le respect des droits de la personne, l’inclusion, la diversité, l’innovation et la croissance économique. Sur le même plan, Microsoft, Google, IBM, Amazon et Apple ont créé le Partnership on AI dont le but est de « faire avancer la compréhension du public sur l’intelligence artificielle et de définir les meilleures pratiques sur les défis et les opportu- nités dans ce domaine ». L’Europe joue un grand rôle sur le plan de l’éthique. Outre le RGPD, l’UE a mis en place le AI HLEG (High Level Group on Artificial Intelligence) qui a publié un premier document sur les lignes directrices pour une IA de confiance (Trustworthy AI) , utile et au service de l’être l’humain. L’affaire Cambridge Analytica a clairement confirmé qu’il est difficile d’empêcher une organi- sation de faire illégalement du profit avec des données qu’elle a collectées. Devant ce constat, Tim Berners-Lee, père du World Wide Web , a lancé en 2018 l’initiative mondiale #ForTheWeb pour un « Internet éthique au service de l’Humain » de façon à assainir le Web et notamment clarifier la collecte et l’utilisation des données. ALS MAG