Archives par mot-clé : Intelligence artificielle

Acteurs de l’IA, la Cnil vous adresse ses premières recommandations : à vous de jouer !

Publié le par

La Commission nationale de l’informatique et des libertés (Cnil) a publié le 8 avril 2024 sept premières fiches « pour un usage de l’IA respectueux des données personnelles ». D’autres sont à venir. Ces règles du jeu, complexes, sont les bienvenues pour être en phase avec le RGPD et l’AI Act.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

L’intelligence artificielle (IA) conduit à questionner de manière plus exigeante et approfondie la protection des données personnelles. Les principes fondateurs du RGPD (1) doivent non seulement être pleinement rappelés et appliqués, mais ils doivent même l’être de manière plus dynamique et exigeante. Un exemple : des données qui auraient précédemment pu être considérées pseudonymisées ou même anonymisées, pourront faire l’objet de calculs et de recoupements massifs, qui pourraient aboutir à identifier à nouveau les personnes, grâce à l’utilisation de l’IA.

Sept premières fiches pratiques
L’entraînement des IA appelle des données personnelles comme l’image et la voix des personnes, d’une quantité sidérale sans précédent. Il appartient aux entreprises et organisations nationales et internationales de procéder à la mise en conformité avec l’AI Act, lequel a été adopté 13 mars 2024 par le Parlement européen (2). Parallèlement et le même jour en France, la commission de l’IA – installée depuis septembre 2023 auprès du Premier ministre – a remis au président de la République son rapport (3) qui recommande notamment un assouplissement des contraintes liées à l’utilisation, par l’IA, de données personnelles. Cette commission IA appelle à « transformer notre approche de la donnée personnelle pour protéger tout en facilitant l’innovation au service de nos besoins ».

Le 8 avril 2024, c’était au tour de la Cnil de publier des fiches pratiques consacrées à la phase de développement des systèmes d’IA. L’autorité administrative indépendante accompagne les acteurs de l’IA depuis deux ans déjà, comme elle ne manque pas de le rappeler dans son dernier rapport annuel (4), à travers notamment la création d’un service dédié, la publication de ressources et webinaires, ainsi que l’établissement d’une feuille de route articulée autour de quatre piliers : appréhender, guider, fédérer et accompagner, auditer. Ces recommandations font suite à la consultation publique entreprise en octobre 2023, laquelle a réuni une quarantaine de contributions d’acteurs divers (5). Afin de présenter ces fiches pratiques (6), un webinaire a été organisé par la Cnil le 23 avril dernier. L’occasion pour celle-ci d’apporter ses derniers éclairages. Concernant le périmètre d’application, il convient premièrement de préciser que ces fiches pratiques n’ont vocation à s’intéresser qu’à la phase de développement de systèmes d’IA (conception de base de données, entraînement, apprentissage) impliquant un traitement de données personnelles pour les cas d’usage pour lesquels le RGPD est applicable (7). Celles-ci n’ont donc pas vocation à régir la phase dite de « déploiement » d’un système d’IA. Retenant la même définition des « systèmes d’IA » que l’AI Act, sont notamment concernés par ces recommandations : les systèmes fondés sur l’apprentissage automatique, ceux fondés sur la logique et les connaissances (moteurs d’inférence, bases de connaissance, systèmes experts, …), ou encore les systèmes hybrides.
Afin d’aider les professionnels dans leur mise en conformité, la Cnil a défini, à travers sept fiches de recommandations, les bonnes pratiques à respecter sans que celles-ci soient toutefois contraignantes. Ces recommandations tiennent compte des dispositions de l’AI Act et ont vocation à les compléter. La Cnil profite de ces lignes directrices pour rappeler les principes fondamentaux (licéité, transparence, minimisation, exactitude, limitation de conservation des données, …) et obligations majeures découlant du RGPD inhérentes à tout traitement, en les précisant et les adaptant au mieux à l’objet traité : les systèmes d’IA.
Si les recommandations qui suivent concernent majoritairement les responsables de traitement, les sous-traitants ne sont pas délaissés, repartant également avec leur lot de bonnes pratiques. Peuvent à ce titre être cités : un respect strict des instructions du responsable de traitement, la conclusion d’un contrat de sous-traitance conforme à la réglementation en matière de données personnelles ou encore, l’obligation de s’assurer de la sécurité des données sous-traitées (8).

Apports majeurs des recommandations
Prenez soin de définir une finalité déterminée, explicite et légitime pour le traitement projeté. Deux situations sont clairement distinguées par la Cnil, selon que l’usage opérationnel en phase de déploiement du système d’IA est d’ores et déjà identifié, ou non, dès la phase de développement. Dans la première hypothèse, il est considéré que la finalité en phase de développement suivra celle poursuivie en phase de déploiement. De sorte que si celle-ci est suffisamment déterminée, explicite et légitime, alors la finalité en phase de développement le sera également. Dans la seconde hypothèse, et notamment en présence de systèmes d’IA à usage général, la Cnil insiste sur la nécessité de prévoir une finalité « conforme et détaillée ». Elle livre des exemples de finalités qu’elle considère, ou non conformes, précisant à ce titre que le simple « développement d’une IA générative » n’est pas une finalité conforme car jugée trop large et imprécise.

Finalité conforme et responsabilités précises
La méthode à suivre est alors révélée : une finalité ne sera conforme que si elle se réfère « cumulativement au“type” du système développé et aux fonctionnalités et capacités techniquement envisageables » (9). Le secteur de la recherche n’est bien sûr pas oublié. Une tolérance dans le degré de précision de l’objectif ou encore dans la spécification des finalités est évoquée, sans laisser de côté les éventuelles dérogations ou aménagements applicables.
Déterminez votre rôle et vos responsabilités : suis-je responsable de traitement, sous-traitant, ou encore responsableconjoint ? Le développement d’un système d’IA peut nécessiter l’intervention de plusieurs acteurs. Dès lors, identifier son rôle au sens du RGPD peut être parfois délicat et les éclairages de la Cnil sur la question sont les bienvenus. Pour rappel, le responsable de traitement est « la personne […] qui, seul ou conjointement détermine les objectifs et moyens du traitement » (10). Cette qualité emporte son lot d’obligations et de responsabilités, d’où la nécessité de la déterminer avec précision. Les acteurs pourront se référer à la fiche donnant des exemples d’analyse permettant d’identifier son rôle au cas par cas (11).
Effectuez un traitement licite et respectueux des principes fondamentaux. Un rappel des principes à respecter pour tout traitement ne mange pas de pain mais épargne bien des soucis en cas de contrôle. La Cnil s’attarde notamment sur l’obligation de choisir, parmi celles prévues par le RGPD, la base légale la plus adéquate au traitement projeté. Pour le développement de systèmes d’IA, elle explore cinq bases légales envisageables (12) : le consentement, l’intérêt légitime, l’obligation légale, la mission d’intérêt public ou encore le contrat. En cas de réutilisation de données, des vérifications seront à mener et, là encore, les recommandations de la Cnil différent selon l’hypothèse rencontrée et notamment en fonction de la source desdites données (données publiquement accessibles ou collectées par des tiers, …). A titre d’exemple, pour une réutilisation de données collectées par le fournisseur lui-même pour une finalité initiale différente, la Cnil impose, sous certaines conditions, un « test de comptabilité » (13) permettant de s’assurer que la finalité poursuivie est compatible avec la finalité initiale, et rappelle les obligations de fonder son traitement ultérieur sur une base légale valable sans oublier la nécessité d’informer les personnes concernées. Par ailleurs, la Cnil révèle les cas possibles de réutilisation de données collectées par des tiers, ainsi que les obligations qui incombent au tiers et ainsi qu’au réutilisateur de ces données.
Respectez les principes fondamentaux. Le gendarme des données insiste également sur la nécessité de respecter les principes fondamentaux. Ce respect doit s’imposer à tout stade du développement d’un système d’IA, dès sa conception « privacy by design » (14), mais également lors de la collecte et de la gestion des données (15). La Cnil s’attarde particulièrement sur le principe de minimisation, lequel impose de ne traiter que les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » (16) déterminées. Si la Cnil s’attache à soutenir que le respect de ce principe « n’empêche pas l’utilisation de larges bases de données » (17) et notamment de données publiquement accessibles (18), il implique nécessairement pour un responsable de traitement de repenser l’entraînement et la conception de ses systèmes d’IA en se posant concrètement les questions suivantes : « Les données utilisées et/ou collectées sont-elles vraiment utiles au développement du système souhaité ? Ma sélection est-elle pertinente ? Pourrais-je mettre en place une méthode à suivre plus respectueuse des droits et libertés des personnes concernées ? Si oui, par quels moyens techniques ? ».
A titre de bonnes pratiques, la Cnil recommande d’ailleurs d’associer au développement du projet un comité éthique et de mener une étude pilote afin de s’assurer de la pertinence de ses choix en matière de conception d’un système d’IA (19). Par ailleurs et conformément au principe de limitation des données de conservation (20), les durées de conservation des données utilisées seront à déterminer préalablement au développement du système d’IA. La Cnil appelle, à ce titre, à consulter son guide pratique sur les durées de conservation (21). Ces durées devront faire l’objet de suivi, de sorte que les données qui ne seront plus nécessaires devront être supprimées. Le respect de ce principe ne s’oppose pas à ce que, sous certaines conditions, des données soient conservées pour des durées plus longues, notamment à des fins de maintenance ou d’amélioration du produit.

Analyse d’impact (AIPD) nécessaire
Enfin, réalisez une analyse d’impact quand c’est nécessaire. L’analyse d’impact sur la protection des données (AIPD) permet d’évaluer et de recenser les risques d’un traitement en vue d’établir un plan d’action permettant de les réduire. Cette analyse AIPD (22) est, selon les cas, obligatoire ou bien fortement recommandée. A la lumière de la doctrine de la Cnil et de l’AI Act, les entreprises et organisations doivent à présent mettre en place leur mise en conformité, avec des points très réguliers. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de
la propriété intellectuelle, des médias et des technologies.

L’ambition de Perplexity de vouloir détrôner le moteur de recherche Google laisse… perplexe

Publié le par

La start-up Perplexity AI, cofondée en août 2022 et dirigée par Aravind Srinivas, a lancé un moteur conversationnel intelligent présenté comme « une alternative aux moteurs de recherche traditionnels » – autrement dit à Google qui domine largement le marché mondial.

Selon nos informations auprès de Statcounter, Google domine toujours de manière écrasante le marché mondial des moteurs de recherche avec – sur le mois de mars 2024 – 91,38 % de part de marché (1) avec près de 80 milliards de visites ce mois-là selon Similarweb, suivi de très très loin par Bing (Microsoft) qui peine à faire mieux que 3,35 % avec près de 1,3 milliard de visite sur le mois, ou encore par Yahoo avec seulement 1,1 % mais sans que l’on sache précisément le nombre de visite correspondant à son moteur par rapport à son portail média. Autant dire que la filiale d’Alphabet est en situation de quasi-monopole.

« Chat-search », à la fois moteur et robot
C’est à cette position dominante dans le search que de nouveaux entrants rêvent de s’attaquer en tentant de profiter de l’effet de levier technologique de l’intelligence artificielle en général et de l’IA générative en particulier. L’Indo-américain Aravind Srinivas (photo de gauche) et le Biélorusse Denis Yarats (photo de droite) travaillant aux Etats-Unis, tous les deux cofondateurs en août 2022 de la start-up californienne Perplexity AI, ont entrepris de faire entrer la recherche en ligne dans la nouvelle ère de ce qu’ils appellent l’« AI-native search ». Leur moteur conversationnel, qui a dépassé en mars 2024 les 56 millions de visites, est présenté comme un « couteau suisse » de la recherche en ligne.

La « bulle IA » déjà multimilliardaire va-t-elle éclater comme son ancêtre la « bulle Internet » ?

Publié le par

Mars 2000 et mars 2024. Près d’un quart de siècle sépare ses deux dates. La première marque l’éclatement de la « bulle Internet » ; la seconde est celle de l’état de la « bulle IA » aujourd’hui. Les perspectives de chiffre d’affaires de l’intelligence artificielle suscitent frénésie. Mais à risque.

Euphorie, exubérance, spéculation, effervescence, irrationalité ou encore inconscience : toutes les conditions financières et comportementales sont aujourd’hui réunies pour que l’agitation planétaire autour des intelligences artificielles génératives fasse gonfler encore plus la « bulle IA » actuelle. Les géants du numérique et les start-up/licornes technologiques qui la composent au niveau mondial cumulent à elles seules dans ce domaine une valorisation totale – capitalistique et/ou boursière – qui se chiffre en trilliards d’euros, soit des milliers de milliards d’euros.

Pas « si » la bulle IA va éclater, mais « quand »
Et la licorne OpenAI – valorisée 80 milliards de dollars selon le New York Times daté du 16 février 2024 (1) – n’est que la partie émergée de l’iceberg du marché planétaire de l’intelligence artificielle. Présidée par son cofondateur Sam Altman (photo), elle s’est propulsée à la première place mondiale des IA génératives en lançant le 30 novembre 2022 – il y a seulement quatorze mois ! – ChatGPT. Et le chiffre d’affaires de la société californienne a bondi, grâce aussi à son autre IA générative à succès Dall·E, pour atteindre sur l’année 2023 la barre des 2 milliards de dollars de chiffre d’affaires, d’après cette fois le Financial Times du 9 février dernier (2). Du jamais vu, aussi bien en termes de valorisation que de revenu, pour une jeune pousse créée en 2015 sous forme de laboratoire de recherche en IA, à but non lucratif, et assortie depuis 2020 d’une entité commerciale.

Le Bureau européen de l’IA forme son bataillon

Publié le par

En fait. Le 27 mars à midi est la date limite pour se porter candidat à l’une des offres d’emploi du « Bureau de l’IA » (AI Office) créé au sein de la Commission européenne par l’AI Act dont la version finale sera soumise le 22 avril au vote du Parlement européen. Sont recrutés des techniciens et des administratifs.

En clair. « Postulez dès maintenant en tant que spécialiste technologique ou assistant administratif pour une occasion unique de façonner une IA digne de confiance. […] Le Bureau européen de l’IA jouera un rôle-clé dans la mise en œuvre du règlement sur l’intelligence artificielle – en particulier pour l’IA générale [ou AGI pour Artificial General Intelligence, aux capacités humaines, ndlr] – en favorisant le développement et l’utilisation d’une IA fiable, et la coopération internationale. […] La date limite de manifestation d’intérêt est le 27 mars 2024 à 12h00 CET », indique la Commission européenne (1).
Avant même l’adoption définitivement de l’AI Act (2) par le Parlement européen, prévue en séance plénière le 22 avril (pour entrer en vigueur l’été prochain), la DG Connect, alias DG Cnect (3), embauche déjà pour son Bureau de l’IA nouvellement créé. Les entretiens auront lieu à la fin du printemps et les prises de fonction à partir de l’automne 2024. Sont recherchés : chercheurs scientifiques, informaticiens, ingénieurs logiciels, data scientists ou encore spécialistes matériels, avec « une expérience technique avérée en IA » (marchine learning, deep learning, éthique et vie privée, cybersécurité, …).

Le Monde en France, El País en Espagne, Die Welt en Allemagne : OpenAI séduit la presse au cas par cas

Publié le par

OpenAI a réussi à convaincre de grands titres de presse en Europe – Le Monde, El País et Die Welt – et, aux Etats-Unis, l’agence de presse AP et l’American Journalism Project pour que son IA générative ChatGPT soit plus au fait de l’actualité dans des langues différentes. Le New York Times, lui, a préféré un procès.

Le directeur des opérations d’OpenAI, Brad Lightcap (photo), n’est pas peu fier d’avoir décroché des accords pluriannuels avec les grands quotidiens européens Le Monde en France, El País en Espagne et Die Welt en Allemagne. « En partenariat avec Le Monde et Prisa Media [éditeur d’El País], notre objectif est de permettre aux utilisateurs de ChatGPT du monde entier de se connecter à l’actualité de façon interactive et pertinente », s’est-il félicité le 13 mars dernier lors de l’annonce des deux accords noués pour plusieurs années avec respectivement le groupe français Le Monde pour son quotidien éponyme et le groupe espagnol Prisa Media pour son quotidien El País, de même que pour son quotidien économique et financier Cinco Días et son site d’actualités El Huffpost (1). Trois mois auparavant, ce même Brad Lightcap annonçait un premier partenariat avec le groupe allemand Axel Springer pour son quotidien Die Welt, et son tabloïd Bild, ainsi que pour ses sites d’information Politico (édition européenne) et Business Insider (économie et finances). « Ce partenariat avec Axel Springer aidera à offrir aux gens de nouvelles façons d’accéder à du contenu de qualité, en temps réel, grâce à nos outils d’IA. Nous sommes profondément engagés à nous assurer que les éditeurs et les créateurs du monde entier bénéficient de la technologie avancée de l’IA et de nouveaux modèles de revenus », avait alors assuré le directeur des opérations d’OpenAI (2).

ChatGPT, polyglotte et informé : merci la presse
Ces « partenariats mondiaux d’information » permettent à ChatGPT d’européaniser un peu plus ses capacités d’informer en mettant à contribution trois premiers quotidiens du Vieux Continent, de trois langues différentes (français, espagnol et allemand). Et ce, après avoir largement entraîné en anglais ses grands modèles de langage « Generative Pre-trained Transformer » (GPT, GPT-2, GPT-3 et l’actuel GPT-4, en attendant GPT-5 en cours de développement). Avant les groupes européens Le Monde, Prisa Media et Axel Springer, OpenAI avait conclu aux Etats-Unis deux partenariats signés en juillets 2023 avec respectivement l’agence de presse américaine Associated Press (AP) et l’association de soutien à l’information locale American Journalism Project (AJP).

Sur fond de plainte du New York Times
« Nous sommes impatients d’apprendre d’AP [et de savoir] comment nos modèles d’IA peuvent avoir un impact positif sur l’industrie de l’information. L’accès à ses archives de textes factuels de haute qualité, aideront à améliorer les capacités et l’utilité des systèmes d’OpenAI », avait alors dit Brad Lightcap, lors de l’annonce le 13 juillet 2023 du partenariat avec l’agence de presse américaine (3). Depuis près d’une décennie, AP utilise la technologie de l’IA pour automatiser certaines tâches routinières et libérer les journalistes pour faire des reportages plus fouillés. Elle va même jusqu’à publier des dépêches automatisées prévisualisant et récapitulant certains événements sportifs, élargissant ainsi son offre de contenu.