« J'imagine le DPO comme un futur Compliance Officer de la data », précise Alessandro Fiorentino d'Adequacy
Au-delà des risques cyber, l'IA pose aussi des questions fondamentales sur la conformité et l'éthique surtout à l'heure de l'IA Act qui impose des exigences de transparence, de responsabilisation et de contrôle renforcé sur les systèmes d'IA. « Nous validons l'IA Act qui va nous permettre, en tant qu'éditeur, de bénéficier d'un encadrement et de savoir jusqu'où aller. A l'époque de la directive MiFID II qui concerne une partie de notre activité liée à la conformité IT et à la téléphonie pour les services financiers, tout le monde s'insurgeait, quelques années plus tard, force est de constater qu'elle a fait son chemin et cela se passe très bien. Les entreprises doivent s'assurer que leurs modèles d'IA respectent des principes éthiques et légaux pour éviter tout risque juridique et réputationnel. Cela implique une documentation rigoureuse des processus d'apprentissage et de décision, mais aussi une validation régulière des algorithmes », reconnaît Antony Derbes, président d'Open Lake Technology, un éditeur qui contrôle et supervise la qualité des relations téléphoniques et des solutions de comms unifiées comme Teams, Zoom ou encore Webex. D'ores et déjà, depuis le 2 février dernier, l'IA Act interdit les systèmes dits à haut risque dans l'Union européenne, cela concerne par exemple les dispositifs de notation sociale (comme le crédit social, très en vogue en Chine) ou de technologies exploitant l'émotion et la vulnérabilité des individus (incluant les salariés dans les entreprises).
Le RGPD en garde-fou
De même, la mise en oeuvre d'une l'IA - si, bien sûr, elle traite des données personnelles - doit aussi respecter les réglementations en vigueur, notamment le RGPD. D'ailleurs, Mistral a récemment fait l'objet d'une plainte pour non-respect du règlement européen sur le RGPD. Nul doute que le RGPD reste et va rester un outil puissant pour garantir la protection des données et promouvoir la conformité autour des systèmes IA. Pour Alessandro Fiorentino, expert en protection des données chez Adequacy (plateforme qui aide les DPO à avoir une conformité au RGPD) et qui enseigne le RGPD à l'ISEP entre autres, l'IA Gen est et sera une nouvelle forme prédatrice de données personnelles et les 36 000 DPO en France auront pour mission de mettre en conformité un système IA. Ce sujet, l'AFCDP l'a pris à bras le corps lors de la 19e université des DPO qui s'est déroulée les 6 et 7 février derniers à la Maison de la chimie. Les nombreux DPO présents reconnaissent que l'IA est une pression supplémentaire et s'ajoute aux très nombreuses contraintes réglementaires et leur complexité juridique dont ils doivent déjà faire face. Alessandro Fiorentino imagine même le DPO comme un futur Compliance Officer de la data. Aujourd'hui, nous sommes plutôt dans une phase d'observation. « L'heure est à la compétition autour de l'IA et pas encore à la conformité rigoureuse », précise Alessandro Fiorentino et d'ajouter : « Le comité européen sur l'IA n'existe pas encore. En France, la CNIL est sur les rangs, faisant un lobbying important pour devenir l'autorité compétente. Elle a même désigné un monsieur IA et fera aussi face à la DGCCRF et à l'Arcom, tous les trois auront sûrement un rôle à jouer suivant les usages de l'IA ». D'ores et déjà, la CNIL a confirmé qu'elle sera bien présente sur ce sujet de l'IA suite à l'intervention Louis Dutheillet de Lamothe, secrétaire général de la Cnil à la dernière université de l'AFCDP : « Sur l'IA, nous en sommes qu'au début..., notre conviction est que le RGPD et les autres régulations ne privent pas l'Europe d'être innovante ; au contraire, ces règlements lui permettront de concevoir des modèles qui auront peut-être plus de solidité à partir du moment où ils intègrent une dimension de protection de la personne. » Preuve de son engagement, la CNIL a publié un peu avant le sommet sur l'IA deux nouvelles recommandations qui portent sur la manière dont on doit informer les personnes concernées par le traitement de leurs données par l'IA et sur la délicate question de comment traiter les demandes de droits sur les bases d'entraînement et les modèles d'IA. La CNIL est en phase de construction sur l'IA et ne cache pas que des ajustements s'effectueront au fil des prochains mois et années.
Suivez-nous