RGPD et IA : quels enjeux ?

Depuis l'avènement de l'Intelligence Artificielle (IA), les entreprises et les organisations ont adopté cette technologie à un rythme effréné dans le but d’améliorer leurs opérations, d’innover et d’offrir des services plus personnalisés. Cependant, cette expansion de l'IA soulève des préoccupations majeures en matière de protection des données personnelles. En effet, l'utilisation de l'IA pose des défis significatifs, car elle implique souvent la collecte, le traitement et l'analyse de vastes quantités de données personnelles. Dans ce contexte, comment appréhender la conformité au RGPD et l’utilisation de l’IA ?  Entre défiance technologique et naïveté enthousiaste, quels sont les réels enjeux de protection des données face à l’IA ?

Le RGPD établit un ensemble de principes fondamentaux visant à protéger les données personnelles des individus. Pour rappel, le RGPD encadre le fait que toute utilisation de données personnelles soit réalisée de manière licite, loyale et transparente vis-à-vis des personnes concernées. Cela signifie que les individus doivent être clairement informés sur la manière dont leurs données sont utilisées et donner leur consentement lorsque celui-ci est nécessaire. De plus, le règlement dispose que les données personnelles doivent être collectées pour des finalités spécifiques et légitimes, et ne pas être utilisées à d'autres fins que celles initialement prévues. Le RGPD souligne également l'importance de maintenir l'exactitude des données, de les actualiser régulièrement et de les protéger contre tout accès, perte ou destruction non autorisés. Enfin, le règlement impose des exigences strictes en matière de sécurité des données, demandant que les données personnelles soient sécurisées contre tout accès non autorisé, perte ou destruction accidentelle, à travers la mise en œuvre de mesures techniques et organisationnelles appropriées. Concernant l'IA, bien qu'un modèle d'IA ne soit pas en soi une donnée personnelle, sa création implique le traitement de données personnelles et doit, par conséquent, respecter les principes susmentionnés notamment.

L'IA implique souvent la manipulation de grandes quantités de données pour entraîner des modèles et prendre des décisions de manière autonome. Cela soulève d’importantes préoccupations en matière de sécurité, notamment en ce qui concerne la protection contre les attaques visant à manipuler les modèles d'IA (attaques adversaires), la confidentialité des données utilisées pour l'entraînement des modèles, ainsi que la robustesse et la fiabilité des systèmes d'IA dans des environnements dynamiques et potentiellement hostiles. Nous pouvons répertorier 3 types d’attaques principales :

• Attaques par manipulation : Ces attaques visent à tromper les systèmes d'IA après leur phase de production, une fois l'apprentissage terminé. Les attaquants insèrent intentionnellement des données d'entrée spécifiquement altérées dans le système afin d'obtenir une sortie différente de celle attendue. Cette manipulation vise à détourner le comportement de l'application à leur avantage.

• Attaques par infection : Ces attaques surviennent pendant la phase d'apprentissage, également appelée l'entraînement, du modèle. Par exemple, l'incident de Tay en 2016 illustre ces types d'attaques.

• Attaques par exfiltration : Ces attaques sont celles qui nous préoccupent ici puisqu’elles menacent la confidentialité des données. 

Il est donc intéressant de tordre le cou au mythe qui voudrait que les systèmes d’IA soient des espions en puissance. Si le risque de perte de confidentialité des données est à considérer, il n’est hélas pas la source de risque la plus dangereuse. Pour garantir la sécurité et la fiabilité dans la conception et l’apprentissage de systèmes d'IA, la CNIL recommande la mise en place de plusieurs mesures dont notamment :

• Former une équipe de développement aux compétences variées, incluant l'analyse et l'ingénierie des données, l'interface utilisateur, le contrôle qualité et l'administration des infrastructures informatiques. Assurer leur formation en matière de sécurité et les sensibiliser aux vulnérabilités spécifiques à l'IA.

• Instaurer une procédure obligatoire pour le développement et l'intégration continus, reposant sur des tests complets et solides, des accès soumis à des autorisations et à une authentification adaptée aux profils. Cela inclut notamment des mesures pour encadrer les modifications apportées au code de production.

• Vérifier la qualité des données et des annotations, détecter les biais potentiels et garantir la fiabilité des sources de données pour éviter toute manipulation par des tiers, comme l'empoisonnement des données.

• Limiter l'accès et l'utilisation des bases de données aux seules personnes autorisées, en utilisant des données fictives ou synthétiques lorsque nécessaire, notamment pour les tests de sécurité, l'intégration et les audits.

• Élaborer une documentation complète destinée aux développeurs et utilisateurs du système, couvrant la conception du système, son fonctionnement tout au long de son cycle de vie, ses performances, les analyses de biais, les conditions et limitations d'utilisation, ainsi que les équipements matériels nécessaires.

Les éléments juridiques et techniques présentés ci-dessus sont quelques balises nous permettant de naviguer dans le paysage complexe de la protection des données personnelles à l'ère de l'IA, en veillant à ce que les avancées technologiques soient mises au service du respect des droits fondamentaux des individus.

Nous notons cependant que si l’IA nous ouvre des opportunités sans fin, il appartient aux utilisateurs de décider des finalités de son utilisation et ainsi d’en fixer les limites. Les défis majeurs posés par d’importantes questions éthiques obligent à adapter et faire évoluer les réglementations. L’IA Act adopté par le Parlement européen le 13 mars 2024 est un premier pas dans cette direction. Cette régulation de l’IA a plusieurs objectifs :

• Comprendre le fonctionnement des systèmes d'IA et évaluer leurs impacts sur les individus en étudiant et classifiant les systèmes en fonction de leur niveau de risque.

• Encadrer le développement d'IA respectueuses des données personnelles et assurer les audits et contrôles indispensables à la protection des droits des personnes physiques.

• Unifier les acteurs innovants de l'écosystème IA en France et en Europe.

L’histoire de la régulation de l’IA s’écrit sous nos yeux et déterminera probablement les bouleversements technologiques majeurs de notre siècle. Comme l’a dit Pierre de Teillahrd au siècle dernier : « il n'y a que l'homme pour protéger l'homme de la machine ».