Le , par Harmonie Peynot - RGPD
Temps de lecture estimé : 5 minutes.
Cela fait plusieurs mois que j’hésite. Mais le temps est venu que je rédige, moi aussi, quelques mots sur l’une des grandes thématiques du moment : l’intelligence artificielle (IA).
L’IA, ma meilleure ennemie
Quand je pense IA, je suis tiraillée. Cette technologie me fascine tout autant qu’elle m’effraie.
C’est une avancée technologique impressionnante offrant des possibilités épatantes d’application dans de multiples domaines. Santé, transport, éducation, et j’en passe.
Avec la forte démocratisation de son utilisation par le grand public ces dernières années, j’ai parfois le sentiment que l’IA est présentée et perçue comme un “outil magique”.
« Toute technologie suffisamment avancée est indiscernable de la magie. » – Arthur C. Clarke
Cependant, l’utilisation de l’IA implique beaucoup d’éléments obscurs, voire risqués, qui me poussent à la patience et à la prudence. Précisons que ce n’est pas uniquement à cause des nombreux films de science-fiction (qui n’ont désormais plus grand chose de science-fiction) qui me viennent en tête dès que je pense à l’IA. Pas uniquement…
« La science est un outil puissant. L’usage qu’on en fait dépend de l’homme, pas de l’outil. » – Albert Einstein.
(Vous aussi vous entendez raisonner « un grand pouvoir implique de grandes responsabilités » dans votre tête ou ce n’est que moi ?)
Oui, l’IA est un grand pouvoir pour lequel nous devons toutes et tous prendre notre part de responsabilité.
Parce que l’IA, c’est aussi :
- un coût énergétique et environnemental non négligeable. Quand on ne voit pas le coût, on l’oublie. C’est l’un des écueils du numérique. Chaque demande que vous faites à une IA nécessite de l’énergie et des ressources. L’occasion d’appliquer une fois de plus le fameux « est-ce que j’en ai vraiment besoin ? »
- une consommation phénoménale de données (y compris personnelles) pour entraîner les systèmes. Comment sont entraînés les systèmes, avec quoi, par qui, comment ?
- un outil qui est très dangereux entre des mains mal intentionnées. Par exemple, les vidéos modifiées ou créées par l’IA (deep fake) sont désormais courantes et entraînent des risques accrus d’attaques ou de manipulation de la population.
- une remise en question de notre rapport à l’humain, au travail, à la prise de décision, à nos choix de société, à notre éthique.
Il y a donc encore de nombreuses inconnues en matière d’IA mais je pense qu’il est important de participer à la diffusion des ressources d’ores et déjà existantes et d’accompagner les organismes à se poser les bonnes questions sur le sujet.
L’IA vue par une DPO
L’IA fait aussi partie de mon quotidien professionnel. Je suis déléguée à la protection des données personnelles (DPO) et donc naturellement challengée sur les questions d’IA. Alors voici ma vision de l’IA en tant que DPO.
D’abord, il faut savoir que le Règlement sur l’Intelligence Artificielle (RIA) est entré en vigueur au 1er août 2024. Il catégorise les systèmes d’IA selon 4 niveaux de risques (inacceptable, élevé, limité et minimal). Les systèmes d’IA à risque inacceptable sont tout simplement interdits en Union Européenne (notation sociale, identification biométrique à distance en temps réel dans des espaces publics, etc) depuis le 2 février 2025. Ouf.
Les règles en matière d’IA vont ensuite progressivement entrer en vigueur en Europe. Nous devrions avoir la désignation des autorités compétentes dans chaque pays européen au début du mois d’août prochain.
La Commission Nationale de l’Informatique et des Libertés (CNIL) est d’ailleurs particulièrement active sur le sujet de l’IA et a d’ores et déjà créé un service dédié et publié des ressources d’information. La CNIL a annoncé que d’autres ressources sur le sujet seraient publiées par ses services dans les mois à venir pour poursuivre l’accompagnement du déploiement de l’IA dans nos vies personnelles et professionnelles.
Tout cela est très théorique.
Dans la pratique, quels premiers conseils donner à un organisme qui envisage d’utiliser l’IA ?
- Associez votre DPO à la réflexion et à vos choix, qu’ils soient techniques ou organisationnels.
- Documentez l’analyse : une analyse d’impact sur la protection des données pourra vous permettre de formaliser les différents aspects liés à l’utilisation de l’IA, les risques pesant sur les données et les personnes concernées et les mesures à prendre.
- Formalisez les règles et bonnes pratiques dans une charte connue et appliquée des équipes. Elles sauront ainsi précisément ce qu’elles peuvent ou non faire avec l’IA. Par exemple : Que puis-je mettre comme information dans mon prompt ? Comment vérifier les données produites par l’IA ? Comment identifier et réduire les biais pouvant entraîner des discriminations ?
- Sensibilisez régulièrement les équipes amenées à utiliser l’IA pour maintenir leurs connaissances et leur vigilance.
- Testez. Il ne faut pas hésiter à réaliser des tests à échelle réduite, sur un nombre d’utilisateurs éclairés restreint avant de généraliser une utilisation de l’IA pour une finalité définie.
- Se remettre en question. Le domaine de l’IA évolue très rapidement. L’organisation autour de son déploiement et son utilisation le doit également. Il est donc important de régulièrement les réviser et de rester à l’écoute des ressources produites par les autorités en la matière.
En résumé, comme pour tout nouveau projet impliquant des données personnelles, les maîtres mots restent le dialogue, l’étude des différents enjeux et la documentation.