linkedin

Articles

Un cadre européen pour l'IA qui n'est pas sans rappeler le RGPD

réglement IA

26 avril 2021

Le 21 avril la Commission a présenté une proposition de régulation pour l’intelligence artificielle (IA). Voici quelques notes extraites d'une première lecture du texte qui complète la régulation européenne de la donnée et qui s'articule à différents niveaux avec le RGPD.

L'intelligence artificielle (IA) évolue à grande vitesse et le nombre d'applications de cette technologie évolue sans cesse : de la santé à l'éducation en passant par l'agriculture, il n'y a pas de secteur où elle ne sera pas utilisée.

Si la plupart des systèmes d'IA présentent des risques minimes ou nuls pour les droits des personnes ou les intérêts publics, certaines peuvent porter une forte atteinte envers ceux-ci. Pour cette raison, certains états de l'UE ont commencé à encadrer cette technologie, au risque de créer une fragmentation légale nuisible pour le marché intérieur de l'UE.

Dans ce contexte, l'UE a multiplié les initiatives depuis 2018 (livre blanc, stratégie européenne en matière d'IA, lignes directrices pour une IA digne de confiance, consultation publique, ...) pour aboutir à la proposition de la Commission d'un cadre réglementaire pour l'IA publiée le 21 avril 2021.

"Trust is a must not a nice-to-have"

Margrethe Vestager

Margrethe Vestager, commissaire européenne en charge du numérique a présenté la proposition en ces termes : "En matière d'intelligence artificielle, la confiance n'est pas un luxe mais une nécessité absolue". La confiance est mise en avant à juste titre car son absence peut potentiellement ralentir l'adoption des technologies de l'IA par les entreprises et les particuliers.

Cette confiance serait facilitée avec un cadre légal harmonisé qui donnerait la nécessaire sécurité juridique aux entreprises qui s'embarquent dans ce type de projets, qui encadrerait le développement, l'utilisation et l'adoption de l'IA dans le marché intérieur et qui protégerait en même temps les intérêts publics et les droits des citoyens contre les risques potentiels de l'IA.

Margrethe Vestager

Pour cela, le texte propose une très nécessaire définition d'IA qui serait un programme qui peut, pour des objectifs donnés, générer des résultats comme des contenus, des prédictions, des recommandations ou des décisions qu'influencent l'environnement (physique ou numérique) avec lequel il interagit.

Cette définition a le mérité d'être techniquement agnostique et capable de s'adapter à l'évolution constante du secteur. Elle reprend aussi les principales familles d'algorithmes utilisés en machine et deep learning. Il est à noter que la définition signale la capacité de ces systèmes à agir sur son environnement, tout comme le ferait une personne et qui leur vaut l'appellation de systèmes intelligents.

Interdiction de certains types d'IA 

Les systèmes d'IA qui génèrent des risques inacceptables pour les valeurs de l'UE sont interdits. Rentrent dans cette catégorie les outils permettant la manipulation de personnes, les outils de scoring social mis en place par des organismes publics (on pense au "crédit social" chinois), les systèmes d'identification biométrique à distance en temps réel (comme la surveillance automatisée de masse).

L'utilisation des outils générant ces risques "inacceptables" est interdite sauf dans quelques rares exceptions.

Encadrement des IA à haut risque

Si un système d'IA crée des risques élevés pour la santé, la sécurité ou les droits des personnes, ils devront se conformer à une série de règles et à une analyse de conformité préalable.

La panoplie de règles proposées fournissent des garanties très élevées pour les personnes et concernent la gouvernance de la donnée, la documentation du système d'IA, le registre de toutes les actions réalisées, la supervision humaine, la transparence et l'information aux utilisateurs, ainsi que la robustesse, précision et sécurité du système.

Obligations de transparence

Lorsque une personne interagit avec un système d'IA ou que ses émotions ou caractéristiques (biométriques) sont reconnues par des procédés automatiques, elle doit être informée de cette circonstance. Cette obligation de transparence existe également dès qu'on fournit aux personnes du contenu généré par une IA et pouvant potentiellement manipuler les personnes (on peut penser par exemple aux célèbres "deep fakes").

Soutien à l'innovation

La proposition encourage les autorités des états membres à créer des "bacs à sable" permettant le test dans un environnement contrôlé et limité des nouvelles avancées.

Périmètre d'application

La proposition de régulation de l'IA est applicable aux fournisseurs qui mettent en place ce systèmes sur le territoire de l'Union indépendamment de leur siège, aux utilisateurs de ces systèmes s'ils sont situés dans l'UE et aux fournisseurs et utilisateurs si le résultat de l'IA est utilisé dans l'UE. Dans un esprit semblable au RGPD, cette régulation s'appliquerait du moment où le système d'IA risque de produire des effets sur le marché de l'UE ou sur la santé, sécurité et droits de ses citoyens. 

Exception notable, cette régulation n'est pas applicable aux systèmes d'IA militaires.

Cohérence entre la régulation de l'IA et le RGPD

Entre les renvois et références au RGPD, l'utilisation de certains mécanismes communs et les effets extraterritoriales de cette régulation, nous assistons à la mise d'une régulation "données" ambitieuse et cohérente à niveau européen. Citons par exemple :

  • La définition de donnée biométrique est reprise lettre par lettre du article 4 du RGPD ;
  • L'article 29.6 fait un renvoi direct au RGPD lorsqu'il indique que les utilisateurs de systèmes d'IA à haut risque doivent réaliser l'analyse d'impact prévue au 35 du RGPD ;
  • Les deux régulations utilisent une approche fondée sur les risques pour protéger le marché intérieur et les droits des personnes de l'UE. Obligation de fournir des informations claires à ces personnes ;
  • Ambition d'établir un leadership stratégique capable de faire tâche d'huile et d'impacter les éditeurs qui sont hors UE ;
  • Création d'une autorité européenne et d'autorités de contrôle nationales. Dans le cas de l'IA, plusieurs seront possibles par pays ;
  • Possibilité d'adopter des codes de conduite ;
  • Amendes record en cas de non respect des régulations : 6% du chiffre d'affaires mondial pour l'IA, 4% pour le RGPD ;

Que cette proposition soit approuvée ou pas elle est la bienvenue pour au moins, prendre conscience du western juridique de l'IA.

Affaire à suivre.

Source des images : ph.news.yahoo.com

 

Contrôle efficace du Covid-19 ou confidentialité ? Choisissez les deux

26 mars 2020

D’après les chiffres, la pandémie du Covid-19 semble globalement mieux gérée par les pays asiatiques. D’autant plus que certains de ces pays réussissent à limiter la propagation de la maladie sans avoir à mettre leur économie à l’arrêt.

L’une des causes qui peuvent expliquer le phénomène, sont les réflexes acquis lors l’épidémie du SARS-CoV (Syndrome respiratoire aigu sévère lié au coronavirus) en 2003. Ils ne se sont pas laissés gagner par l’étourdissement et ils ont su réagir vite et bien. De plus, leurs stocks de matériel médical étaient prêts et pleins.

Une autre clé est l’utilisation que ces pays font des données issues d’applications mobiles ou d’objets connectés tels que les caméras de surveillance. L’important maillage de données à caractère personnel généré par ces dispositifs, rend possible la mise en place du « contact-tracing » (recherche ou dépistage de contacts), une méthode de contention de maladies bien connue des épidémiologistes.

contact tracing

Couplé à des tests massifs, le contact-tracing a permis à certains de ces pays – citons la Corée du Sud et le Singapour- de ne pas confiner des millions de citoyens dans leur domicile et d’épargner leur économie. Si bien les effets du dispositif sont un succès dans ces deux pays, leur implémentation diffère et les implications sur la vie privée des citoyens aussi.

Le modèle de la Corée du Sud

La Corée du Sud réalise des tests systématiques et réguliers sur une grande partie de la population, ce qui permet de détecter rapidement les personnes qui manifestent les premiers symptômes et de les envoyer en confinement chez eux. Mais la logique du contact-tracing nécessite d’identifier les personnes ayant eu un contact avec la personne infectée. Comment font-ils ?

Byung-Chul Han, philosophe sud-coréen, expliquait il y a quelques jours dans El Pais qu’en Corée du Sud il y a des caméras de surveillance dans la rue - comme dans toutes les villes-, mais en Corée du Sud il y en a aussi dans chaque immeuble … et également dans chaque étage. Des postes de contrôle permettent vidéo à l’appui, de retracer le parcours intégral des personnes testées positives. Le gouvernement peut ainsi contrôler et isoler à toutes les personnes pouvant avoir été infectées.

Les résultats affichés démontrent l’efficacité de la méthode. Mais est-ce qu’un citoyen européen serait prêt à accepter la mise en place d’un tel dispositif ? Est-ce qu’un pays disposant d’un si vaste réseau de surveillance va-t-il résister à la tentation d’une utilisation abusive ? Rien n’est moins sûr.

La « Smart Nation » Singapour

Plus au sud, la cité-état de Singapour a mis les bouchées doubles pour mettre en place une autre forme de contact-tracing. Comme le signale cet article du New York Times, suite à un test positif les équipes médicales se donnent 2 heures pour dénicher les premiers détails sur la façon dont la personne a été infectée et avec qui elle a été en contact. Les détails des lieux où cette personne habite, travaille et se divertit sont rapidement publiés en ligne, ce qui permet aux autres citoyens de prendre leurs dispositions. Enfin, la personne infectée et ses proches sont mis en quarantaine pour limiter la propagation.

Comment fait le Singapour pour retracer le parcours des personnes infectées ? Au moins deux méthodes ont été mises en place. La première consiste à faire une photo des élèves au commencement de chaque cours, ce qui permet de savoir qui était proche de qui en cas d’infection avérée.

Mais le Singapour, a aussi créé l’application mobile TraceTogether. Il s’agit d’une application qui s’appuie sur le réseau de proximité Bluetooth dont les smartphones sont équipés. Si deux smartphones ayant TraceTogether activé se croisent à moins de 2 mètres, ils prennent note de leurs identifiants respectifs. Si une personne qu’utilise TraceTogether est testée positive, les agents gouvernementaux peuvent récupérer la liste de téléphones ayant été en contact proche avec la personne infectée et prévenir facilement et rapidement les personnes qui risquent d’avoir été contaminées.

Et en quoi cela est mieux concernant la protection de la vie privée que la vidéosurveillance massive ? On peut avancer plusieurs raisons. Les données collectées sont cryptées et inutilisables par le propriétaire du téléphone. Deuxièmement, des lois prévoient des sanctions pénales et limitent l’accès à ces données aux seuls agents en charge du dispositif. Finalement, l’application est installée de façon volontaire et le consentement éclairé des utilisateurs est collecté.

Sur le papier cette application semble inspirée par le RGPD lui-même et pourrait être importée dans les pays de l’UE. C’est d’ailleurs une possibilité réelle, car le gouvernement de Singapour a décidé le 23 mars 2020 de libérer le code source de TraceTogether.

Surveillance totalitaire ou responsabilisation individuelle

Que l’on veuille ou pas, le contrôle efficace de cette pandémie semble lié aux données issues des tests et relatives au contact-tracing. Si gouverner implique décider, quelle capacité de décision ont les gouvernements qui ne disposent pas de ces données ? Ils doivent se contenter de confiner leur citoyens et de fermer leurs frontières. Tout comme il y a 100 ou 1000 ans.

Fournir en données utiles l’État ne passe pas forcément par une surveillance totalitaire. L’exemple de TraceTogether est une bonne piste, tout autant que le partage des données disponibles à niveau international. Miriam Alia, responsable des campagnes de vaccination de Médecins Sans Frontières abonde dans ce sens et indique qu’une stratégie réussie passe par l’action coordonnée de tous les acteurs, action qui doit être pilotée par une capacité de diagnostic forte.

Sortir du cadre myope du national et miser sur une solidarité informative globale est aussi l’un des principaux points que soutient l’historien Yuval Noah Harari dans cet article du Financial Times.

Harari souligne d’ailleurs que les succès de pays comme la Corée du Sud ou le Singapour tiennent surtout à la transparence de leurs gouvernements et à la coopération volontaire d’une population bien informée.

Les instruments qu'encouragent la responsabilisation des citoyens comme TraceTogether sont une piste à explorer et à valoriser car ils ont le potentiel de contribuer à la santé collective tout en respectant notre vie privée. Cette approche est une alternative bien plus souhaitable qu’un Etat policier qui garantirait notre santé au prix de nous couper certaines libertés. Et la plupart d’entre nous sommes d’accord sur une chose : on ne veut pas être obligés à choisir entre santé et vie privée. On veut les deux.

 

Une ambitieuse stratégie européenne pour les données

UE data strategie

27 février 2020

Le 19 février la Commission Européenne a présenté son stratégie en matière de données. Le document, d’une quarantaine de pages, décrit les piliers de cette stratégie. Voici quelques-unes des actions-clés mises en avant et qui vont animer fortement le secteur européen dédié aux données :

 - Un cadre législatif pour la gouvernance des espaces européens communs des données (T4 2020)

- Une éventuelle loi sur les données (2021)

- Des investissement dans un projet à forte incidence relatif aux espaces européens des données (y compris des normes de partage des données, des meilleures pratiques, des outils) et des mécanismes de gouvernance (2 milliards €, T1 2022)

- Un marché européen des services en nuage

- Un recueil réglementaire de l’UE pour l’(auto)régulation de l’informatique en nuage (T4 2022)

- L’étude de la possibilité de renforcer le droit à la portabilité pour les personnes physiques au titre de l’article 20 du RGPD, en permettant à ces personnes de mieux contrôler qui peut accéder aux données générées par des machines et les utiliser (éventuellement dans le cadre de la loi sur les données en 2021).

- Un cadre pour mesurer les flux de données et estimer leur valeur économique au sein de l’Europe, ainsi qu’entre l’Europe et le reste du monde (T42021)

 La Commission appuiera également la mise en place des neuf espaces européens communs des données dans les domaines de l'industrie, le pacte vert, la mobilité, la santé, les finances, l'énergie, l'agriculture, l’administration publique et les compétences (éducation).

Source : https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_fr.pdf