En conversation avec Matthias Dobbelaere-Welvaert
Le développement de l'IA repose sur la collecte et l'analyse de big data, y compris des données personnelles. Avec l'apprentissage automatique, ce processus s'accélère, ce qui rend de plus en plus difficile de maintenir une vue d'ensemble et de gérer correctement les données. L'IA est-elle compatible avec la protection des données ? Et comment les entreprises peuvent-elles utiliser l'IA de manière éthique ? Nous posons la question à l'avocat spécialisé en protection de la vie privée, Matthias Dobbelaere-Welvaert.
Bien que l'IA offre de nombreux avantages, nous constatons également une augmentation des fausses informations et des violations de la vie privée dues à cette technologie. Par exemple, la campagne présidentielle républicaine aux États-Unis a utilisé des images générées par IA. Et en Italie, ChatGPT a été interdit car il traite trop de données personnelles. La législation sur la vie privée peut-elle suivre le rythme de l'évolution technologique ?
C'est en effet une question importante. Une interdiction des applications d'IA n'est probablement pas la solution car ces applications sont inévitables. Mais c'est un jeu de panique en raison de l'absence de législation européenne. Nous attendons cela depuis des années. Tant les partisans que les opposants de la technologie veulent ce cadre car il apporte de la clarté et une base de travail.
C'est une question complexe. Il n'y a également aucune transparence sur les sources des données traitées par les machines IA. La loi sur la vie privée est rédigée de manière large et peut aborder les problèmes liés aux nouvelles technologies, mais l'application des droits à la vie privée pose problème. Car qui est responsable ?
L'IA fonctionne avec des algorithmes de plus en plus complexes, où une machine prend automatiquement des décisions. Y a-t-il une logique éthique derrière cela ? L'IA peut-elle être réglementée de manière éthique ?
C'est absolument l'intention. En 2021, la première proposition de loi sur l'IA est venue de la Commission européenne, mais en raison d'un lobbying intense, elle n'a pas encore été approuvée. Elle inclut la transparence et les grands enjeux éthiques. Les entreprises américaines mènent le débat, mais dès qu'elles traitent des données de ressortissants européens, elles doivent se conformer à la législation européenne. Nous attendons une réglementation européenne sur l'IA, mais nous sommes déjà protégés par le RGPD. La Cour de justice européenne a déjà jugé à plusieurs reprises - sous la pression de l'activiste de la vie privée Max Schrems - que les transferts de données de l'UE vers les États-Unis sont illégaux car les États-Unis ne peuvent garantir que leurs services de sécurité ne surveilleront pas ces données.
Une entreprise peut-elle aujourd'hui garantir que les données personnelles collectées pour les applications d'IA sont utilisées correctement ?
Les flux de données sont actuellement le plus gros problème. Les développeurs n'ont pas toujours le contrôle dessus. Surtout avec un système IA auto-apprenant, où vous êtes à la merci d'un algorithme. Par exemple, les données personnelles sur votre site Web ne doivent pas être récupérées arbitrairement par l'IA comme information "disponible" en réponse à une requête. Mais l'IA ne "comprend" pas cela.
En conséquence, contrôler nos données devient presque impossible. Je ne dis pas que l'IA signifie la fin de notre vie privée, mais c'est un coup dur pour ceux qui veulent protéger la vie privée. Parce que maintenant, vous ne combattez pas seulement contre les gouvernements et les entreprises, mais aussi contre des algorithmes, qui sont encore moins responsables.
Si les développeurs européens veulent utiliser l'IA, ils doivent se poser des questions : le jeu de données est-il obtenu légitimement, avec le consentement des personnes concernées ? Ou les données proviennent-elles d'une autre base de traitement valable ? Si vous ne pouvez pas garantir cela, les données peuvent-elles être dépourvues d'informations personnelles, pouvez-vous anonymiser les informations ? Et c'est beaucoup de travail.
Par conséquent, aujourd'hui, en tant qu'entreprise européenne, il est difficile de lancer une application comme ChatGPT si vous voulez être conforme au RGPD.
Qui détient les droits d'auteur sur ce qui découle d'une IA comme ChatGPT ?
En principe, seule une personne physique peut le faire. Selon ChatGPT, c'est vous-même lorsque vous générez un texte. Mais qui est responsable en cas d'erreurs dans le texte et d'extraits de textes d'autres personnes, et lorsque vous ne pouvez pas contrôler les sources ? ChatGPT ne comprend rien à l'importance des sources. Vous pouvez le voir comme un enfant qui veut faire de son mieux et plaire constamment, mais qui représente quand même un risque. Car même des choses comme le droit d'auteur sont encore floues.
En prenant du recul un instant : pourquoi est-il si important de protéger les données personnelles ?
Si vous aviez dit il y a dix ans : "Bientôt, nous prendrons les empreintes digitales des mineurs, des échantillons d'ADN des nouveau-nés, et nous installerons des caméras partout sur la route qui vous suivront 24 heures sur 24 et pourront vous identifier..." nous aurions peut-être protesté. Mais ce n'est pas ce qui se passe car les gouvernements et les entreprises introduisent tout très progressivement. Tout d'abord, une caméra apparaît ici et là, et avant que vous ne le sachiez, nos routes et nos villes en sont pleines. Ou nous prenons d'abord les empreintes digitales pour le passeport européen, et progressivement, cela se déplace vers le passeport national et aussi vers les mineurs. Ce changement graduel n'est pas aussi perceptible. Pourtant, votre vie privée est fondamentale pour votre sécurité et une démocratie saine.
Il est donc très important que nous puissions protéger l'utilisation de nos données personnelles par l'IA. Les entreprises technologiques utilisent souvent un accord standard de traitement des données - un accord de traitement des données. Et c'est à prendre ou à laisser. Si ces géants de la technologie ne veulent pas divulguer les sources de leurs données aux gouvernements ou à un auditeur, encore moins à un avocat d'entreprise. Les entreprises doivent en être conscientes car la responsabilité ultime vis-à-vis du client vous incombe une fois que vous commencez à utiliser cette application.
Quelles actions les avocats d'entreprise peuvent-ils prendre pour protéger la vie privée de leurs clients ?
Avec une EIPD (Évaluation d'impact sur la protection des données), vous évaluez la place que la nouvelle technologie occupe dans votre entreprise, quelles données l'application collectera, combien de temps elles seront stockées, vers quels serveurs les données seront envoyées et si tout reste dans l'UE. Sur cette base, vous examinez les coûts et les avantages, tant pour l'entreprise que pour le client. Vous devez également obtenir une base légale de vos clients, par exemple en demandant explicitement leur consentement. S'il y a une plainte qui conduit à une procédure ou à une inspection de l'Autorité de protection des données, vous devez pouvoir démontrer ces éléments, notamment dans un registre.
La réalité virtuelle et augmentée sont également en plein essor. Dans le Metaverse de Zuckerberg, la vie privée devient une illusion, mais les entreprises font de plus en plus construire des applications de metavers sur mesure. Est-ce que cela peut être fait en toute sécurité ?
Si vous faites construire votre propre métavers, vous avez évidemment plus de contrôle. En tant qu'entreprise, je n'utiliserais pas les plateformes de Facebook et de Microsoft à cette fin. Ainsi, aucune donnée ne quitte l'UE, vous déterminez vous-même les données avec lesquelles vous travaillez, et vous pouvez déterminer avec une politique de rétention pendant combien de temps les données sont conservées. Alors cela peut être respectueux de la vie privée, en collaboration avec le constructeur de métavers. Celui-ci a un devoir de diligence et y aura également réfléchi. Sinon, il devrait l'indiquer.
Dans une politique de confidentialité du métavers, vos clients peuvent lire à quoi servent leurs données et comment ils peuvent les supprimer.
Comment pouvez-vous examiner une nouvelle technologie en termes de cybersécurité ?
Je ne suis pas un expert en informatique, mais c'est une bonne idée de travailler avec un pirate informatique éthique. Ils testent les outils pour détecter les risques potentiels. Cela est légal depuis février. Cela coûte un peu d'argent, mais compte tenu de ce qui est en jeu, le coût est relatif.
De plus, il est judicieux de n'utiliser que des serveurs situés dans l'UE. Beaucoup d'entreprises trouvent une telle migration difficile et restent donc avec Google et Microsoft.
Et puis travailler avec un bon fournisseur, bien sûr. Les constructeurs de technologie devraient en savoir encore plus sur la vie privée et la cybersécurité que nos experts en affaires. Il devrait y avoir de la place pour la discussion.
S'il y a une violation, vous voulez que l'entreprise ait fait tout ce qui était possible pour garantir la sécurité : une EIPD, un pirate informatique éthique, des entreprises partenaires fiables, un DPO engagé, la confidentialité dès la conception, etc. Tout est piratable, mais dans ce cas, vous n'auriez pas pu faire plus.