Le contrôleur européen de la protection des données publie ses recommandations pour un usage éthique de l'IA générative

Le contrôleur européen de la protection des données (CEPD) vient de publier un document à destination des institutions, organes et agences de l'UE sur l'utilisation de l'intelligence artificielle générative (IAG). Ces "premières orientations" n'ont pas de caractère juridiquement contraignant, elles visent à fournir aux institutions des recommandations opérationnelles sur l'application du RGPD à l'IAG, en attendant la mise en place de l'IA Act. On soulignera au passage les convergences entre ces recommandations et celles de la Cnil (notre article du 11 juin 2024).

Utiliser la méthodologie du RGPD

Le CEPD souligne l'importance d'une approche responsable et éthique de l'IAG. On retrouve dans ses recommandations des pratiques popularisées par le RGPD : 

-Impliquer étroitement le Délégué à la protection des données (DPD) tout au long du cycle de vie des projets d'IAG ;

-Réaliser une analyse d'impact relative à la protection des données (AIPD) avant tout déploiement d'une IA générative présentant des risques élevés ;

-Clarifier les rôles et responsabilités entre prestataires et responsable du traitement au regard du RGPD; 

-Informer de manière transparente les personnes concernées sur l'utilisation de l'IAG ;

-Mettre en place des mesures de sécurité adaptées aux risques spécifiques de l'IAG 

-Garantir la minimisation et l'exactitude des données utilisées pour entraîner les modèles.

Biais culturels

Le CEPD alerte ainsi sur les risques de biais des IAG : "Les biais peuvent survenir à n'importe quelle étape du développement d'un système d'IAG que ce soit par les jeux de données d'entraînement, les algorithmes ou par les personnes qui développent ou utilisent le système". Des domaines particulièrement sensibles sont cités, comme "la gestion des ressources humaines, les soins de santé publique et la fourniture de services sociaux, les pratiques scientifiques et d'ingénierie, les processus politiques et culturels, le secteur financier, l'environnement et les écosystèmes ainsi que l'administration publique." Dans cette institution qui gère 24 langues et utilise des systèmes de reconnaissance vocale, le CEPD cite un exemple précis. L'UE compte 24 langues et utilise des systèmes d'IA pour la traduction. Or ces derniers ont des taux d'erreur de mots significativement plus élevés pour certains orateurs que pour d'autres. L'IA a par exemple des difficultés à comprendre certains accents anglais.

Risques cyber spécifiques à l'IA

Le CEPD pointe aussi les risques cyber spécifiques aux IA. Ceux-ci, liste le CEPD, peuvent "découler de données d'entraînement non fiables, de la complexité des systèmes, de l'opacité, de problèmes pour effectuer des tests appropriés, de vulnérabilités dans les garanties du système, etc." Les IAG se voient aussi victimes d'attaques spécifiques, telles que "les attaques d'inversion de modèle, l'injection de prompt, les jailbreaks (1)" (voir le glossaire de la Cnil).

Le CEPD abonde enfin dans le sens de la Cnil en invitant à se méfier du "web scraping", technique qui consiste à entrainer les IA à partir de contenus "aspirés" sur internet. Le contrôleur estime que cette technique est susceptible d'aboutir à une "perte le contrôle" des individus sur leurs données personnelles puisque celles-ci sont "collectées à leur insu, contre leurs attentes, et à des fins différentes de celles de la collecte initiale".

Ces orientations seront régulièrement mises à jour pour tenir compte des évolutions technologiques.

(1) Le jailbreak consiste à exploiter les failles d'un appareil électronique bridé pour installer un logiciel autre que celui fourni par le fabricant de l'appareil