Aller au contenu principal

LA CNIL, INTELLIGENCE ARTIFICIELLE, SURVEILLANCE

Article 1

La Cnil tient à contrôler elle-même l’intelligence artificielle

Publié le  par La Revue du Digital Marie-Laure Denis, Cnil 

Chargée d’assurer la protection des données personnelles des particuliers, la Cnil entend bien faire passer le contrôle de l’intelligence artificielle sous sa coupe. Le sujet est revenu sur la table à l’occasion de la toute première réunion des autorités de protection des données des pays membres du G7 qui s’est tenue du 7 au 8 septembre 2021.

Les autorités de protection des données veulent gouverner l’IA

De cette réunion, il ressort que ces autorités s’estiment comme devant jouer un rôle de premier plan dans la gouvernance de l’intelligence artificielle, laquelle repose sur les données. Ces autorités pensent qu’elles devraient influencer de manière constructive les développements des systèmes d’intelligence artificielle. Elles veulent créer un cadre afin de protéger les droits de la personne, la démocratie, le bien commun et les libertés individuelles. Challenge, ce cadre devrait laisser place à l’innovation et au progrès.

Tracer des lignes rouges pour les systèmes d’intelligence artificielle

La Cnil soutient qu’il faut tracer des « lignes rouges » pour les systèmes d’intelligence artificielle « qui ne sont pas compatibles avec nos valeurs et nos droits fondamentaux ». Pour accomplir cette tâche, ces autorités demandent des moyens, des ressources humaines et matérielles suffisantes. La Cnil précise que la dignité humaine doit être au cœur de la conception de l’intelligence artificielle. Elle rappelle les grands principes de construction d’une intelligence artificielle. L’IA doit être transparente, compréhensible et explicable. En ce qui concerne les données employées, la Cnil demande d’appliquer les principes de limitation de ces données. Quant à la finalité de l’IA, elle doit également être limitée.

Article 2

« Il faut un débat sur la vidéo et la reconnaissance faciale », considère Marie-Laure Denis, présidente de la Cnil

Vigie de la protection des données personnelles, la Cnil est intervenue sur de nombreux sujets liés à la crise sanitaire. Sa présidente, Marie-Laure Denis, dresse le bilan d’une année chargée et revient sur ses missions pour L’Usine Nouvelle. Propos recueillis par Anne-Sophie Bellaiche et Marion Garreau, 06 Octobre 2021

L’Usine Nouvelle. – La Commission nationale de l’informatique et des libertés (Cnil) a été très sollicitée en 2020 sur les sujets de santé. Comment avez-vous vécu cette année ?

Marie-Laure Denis. – Cela a été une année très dense, mais très motivante. Le règlement général sur la protection des données (RGPD) a passé le test de la crise sanitaire en permettant d’articuler protection de la santé et protection de la vie privée. Pour être très concrète, nous avons rendu, rien qu’en 2020, dix avis sur des projets de loi ou de décret liés à la gestion de l’épidémie, concernant la création de fichiers ou l’application TousAntiCovid.

À chaque fois, un dialogue exigeant et constructif s’est noué avec le gouvernement, sous le contrôle du Parlement qui nous a auditionnés huit fois en 2020. Autre aspect moins connu de nos actions, l’autorisation de plus de 120 recherches médicales sur le Covid-19. La moitié a été rendue en moins de deux jours.

Comment s’assurer que la crise sanitaire ne nous fasse pas glisser vers une banalisation des outils de surveillance ?

La Cnil a toujours rappelé que ces nouveaux systèmes d’information étaient liés au contexte sanitaire exceptionnel. Nos recommandations se sont notamment traduites par l’inscription de dates butoirs dans les textes adoptés. Le passe sanitaire, par exemple, ne pourra pas être prolongé au-delà du 15 novembre, sauf si la situation rendait nécessaire l’adoption d’une nouvelle loi. Nous avons aussi effectué une trentaine de contrôles sur ces fichiers, notamment à la Caisse nationale d’assurance-maladie (Cnam) et dans les Agences régionales de santé pour voir qui a accès aux informations, combien de temps elles sont conservées, si les gens sont informés de leurs droits… Nous avons synthétisé les bonnes et mauvaises pratiques et rendu compte au Parlement.

Certains acteurs traitant des données de santé se plaignent d’un manque de clarté qui ralentit leurs projets. Qu’en dites-vous ?

En matière d’autorisations de santé, soit les projets sont conformes à des méthodologies de référence, ce qui évite à ces acteurs de nous saisir à chaque fois, soit les projets ne correspondent pas et ils nous demandent des autorisations. Ce sont en général de grands instituts de recherche médicale, comme l’AP-HP, l’Inserm ou l’Institut Pasteur avec qui nous communiquons régulièrement et qui ont souligné notre pragmatisme.

Et du côté des projets d’entreprise, comment cela se passe-t-il ?

Nous rencontrons depuis plusieurs années des centaines de start-up à la Station F et nous avons lancé, il y a quelques mois, un « bac à sable » dans le domaine de l’e-santé, car la Cnil n’est pas seulement le gendarme de la protection des données, elle a à cœur de favoriser l’innovation. Nous avons reçu 61 candidatures, en avons retenu une douzaine et accompagnons de manière renforcée quatre projets, qui sont en lien avec l’oncologie, les troubles alimentaires des adolescents, des sujets d’intelligence artificielle…

Est-ce nouveau, cette volonté de ne pas être seulement un « gendarme » ?

Les deux tiers de nos sanctions concernent des manquements relatifs à la sécurité.

Marie-Laure DenisCette logique d’accompagnement des pouvoirs publics, des entreprises et des citoyens est depuis longtemps au cœur de notre mission, et c’est relativement unique dans le paysage des autorités en Europe. Le site de la Cnil a reçu 10 millions de visites l’an dernier, l’audience de celui du ministère de la Justice. Nous avons aussi une forte action de conseil en matière de cybersécurité.

Les deux tiers de nos sanctions concernent des manquements relatifs à la sécurité. Notre action est complémentaire de celle de l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui se concentre sur les acteurs d’importance vitale. Nous ciblons plus large. Le besoin est là. En 2020, nous avons enregistré plus 25% de notifications de violations de données et nous avons assisté à un quadruplement des rançongiciels dans le secteur de la santé.

Vous avez critiqué l’hébergement du Health data hub par Microsoft. La volonté du gouvernement de favoriser de nouvelles plates-formes de confiance va-t-elle changer la donne sur ce point ?

Le terme « cloud de confiance » désigne des plates-formes à la sécurité robuste et qui présentent une immunité aux lois extraterritoriales. Il y a des initiatives prises avec des labels : GaiaX, SecNumCloud ou la certification de sécurité en cours au niveau européen par l’Enisa (l’Agence européenne chargée de la sécurité des réseaux et de l’information). Les deux points d’attention sont l’emplacement géographique des données et les modalités de stockage. L’idée est notamment d’utiliser des serveurs en Europe, de sorte que l’ensemble ne soit soumis qu’aux législations européennes. Et cela se matérialise par des partenariats comme ceux entre OVH et Google ou Orange-Capgemini et Microsoft.

Est-ce que cela stoppera la domination du cloud par les acteurs américains ?

En tout cas, c’est une réponse pour localiser les données en Europe, avec des sociétés qui ne seront pas soumises aux demandes des autorités américaines. Cela va dans le sens d’une souveraineté française et européenne. Je m’entretiens en ce moment avec tous les acteurs du cloud français. C’est un sujet sur lequel nous travaillons. L’idée est de bien les connaître et voir comment ils s’adaptent pour que les transferts de données soient sécurisés.

À propos des Gafa, vous avez infligé de lourdes amendes à Google et Amazon. Avez-vous constaté une évolution de leurs pratiques ?

Il faut maintenant que Google et Amazon permettent à l’internaute de refuser les cookies aussi facilement qu’ils peuvent les accepter.

Marie-Laure DenisLa Cnil est la seule autorité européenne de protection des données à avoir pris des sanctions d’ampleur sur les cookies, en décembre 2020, avec des amendes de 100 millions et de 35 millions d’euros à l’encontre respectivement de Google et d’Amazon. Elles étaient assorties d’astreintes, et ces deux acteurs ont bien modifié leur recueil de consentement. La finalité des traceurs utilisés est devenue claire.

Mais ce n’est pas suffisant, il faut maintenant que Google et Amazon permettent à l’internaute de refuser les cookies aussi facilement qu’ils peuvent les accepter. Cette règle est l’objet de nos nouvelles campagnes de vérification. Depuis mai, nous avons adressé des mises en demeure à une vingtaine d’organismes sur ce sujet. Plusieurs dossiers concernent des acteurs majeurs de l’internet qui ne sont toujours pas en conformité. Et il n’y a pas que des Américains qui sont concernés.

Il y aura donc de nouvelles sanctions d’ici à la fin de l’année ?

Exactement. Nous avons dialogué avec le secteur de la publicité pendant un an et lui avons laissé un délai de six mois pour s’adapter à nos lignes directrices publiées en octobre dernier. L’échéance est arrivée fin mars et nous avons prévenu qu’il y aurait des contrôles. C’est un sujet important, car cela touche le quotidien numérique des Français. Et un moyen efficace pour changer les pratiques, compte tenu de l’augmentation du montant des amendes que peut infliger la Cnil, jusqu’à 2 % du chiffre d’affaires mondial s’agissant des cookies. Sans compter l’enjeu de la réputation pour les entreprises concernées.

Avez-vous les moyens de jouer votre rôle avec la digitalisation de toute la société ?

La Cnil de 2021 n’est plus celle de 1978. Nous nous adaptons à la massification des données. Nous serons 245 à la fin de l’année. C’est insuffisant, mais l’augmentation régulière de notre effectif témoigne de la conscience de l’importance des missions de la Cnil par les pouvoirs publics. Nous recevons 14 000 plaintes par an. C’est 80% de plus qu’il y a cinq ans. Nous avons un service dédié pour répondre aux questions des milliers de délégués à la protection des données. Et nous sommes très actifs sur la scène européenne pour établir une doctrine cohérente à l’échelle de l’Union.

Et les moyens de vous faire entendre…

Nos avis sont regardés de près. Ils sont publics et nourrissent le débat. Je constate que la grande majorité de projets de loi et de décret prend en compte les garanties demandées par la Cnil.

Sur les drones de surveillance et la reconnaissance faciale, pensez-vous que le cadre soit satisfaisant ?

Nous pensons qu’il faudrait vraiment un débat démocratique sur l’usage de la vidéo et de la reconnaissance faciale.

Marie-Laure DenisCela fait plusieurs années que la Cnil demande que des règles encadrent les usages de la vidéo par les pouvoirs publics. En ce qui concerne les drones, nos investigations ont abouti en 2020 à une sanction à l’encontre du ministère de l’Intérieur. Sur la proposition de loi relative à la sécurité globale, notre avis a recommandé des garanties complémentaires. Nous étions également intervenus sur un projet de reconnaissance faciale dans deux lycées qui ne nous semblait ni nécessaire ni proportionné, et le dispositif n’a pas été installé.

Sur ces terrains, nous ne sommes pas isolés, le Conseil d’État a aussi interdit l’usage des drones pour surveiller le déconfinement et le Conseil constitutionnel en a limité l’usage dans la loi de sécurité globale. Nous pensons qu’il faudrait vraiment un débat démocratique sur l’usage de la vidéo et de la reconnaissance faciale, car ces dispositifs peuvent avoir des conséquences sur la liberté des personnes comme on le voit en Chine avec le déploiement de la notation sociale. Il faut éviter une accumulation progressive de nouveaux cas d’usage à bas bruit dans la vie quotidienne, sans vision d’ensemble de l’utilisation de ces technologies.

Vous avez exprimé votre ouverture sur la reconnaissance faciale pour les jeux Olympiques de 2024, n’est-ce pas contradictoire ?

C’est le collège de la Cnil qui se prononcera en fonction de ce qui sera envisagé. Dans des aéroports, nous avons donné notre accord à l’expérimentation de certains usages de la biométrie. À Nice, nous avons autorisé une expérimentation de reconnaissance faciale pour le carnaval, mais avec des garanties : il fallait notamment obtenir un consentement et il existait une alternative avec une file sans reconnaissance. Autoriser des expérimentations, ce n’est pas donner quitus à tout. Il faut expérimenter pour comprendre les technologies, alimenter le débat, définir des lignes rouges.

Nous ne sommes pas un régulateur hors-sol. Pour la reconnaissance faciale, les risques pour les libertés ne sont pas du tout les mêmes s’il s’agit de déverrouiller son téléphone, d’autoriser le passage d’une frontière ou d’identifier les gens à leur insu dans l’espace public, ce qui est susceptible de mener à un contrôle de la population.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

%d blogueurs aiment cette page :