00:00L'essor des systèmes d'IA soulève une question brûlante.
00:14Les systèmes d'IA peuvent-ils utiliser les données des utilisateurs pour entraîner leur système et à quelles conditions ?
00:22Pour répondre à cette question, j'ai le plaisir de recevoir sur le plateau Romain Vesse-Moreau, associé au sein du cabinet LWM Avocat.
00:31Romain Vesse-Moreau, bonjour.
00:33Bonjour.
00:34Alors, vous connaissez très bien ces sujets.
00:37Comment peut-on justifier l'utilisation des données des utilisateurs européens par des plateformes type méta pour entraîner les systèmes d'IA ?
00:50Alors, c'est une excellente question. Je pense que la question est partagée par beaucoup.
00:54Le fondement utile qu'utilisent les plateformes, c'est l'intérêt légitime.
00:59Si je dois faire une petite comparaison aux États-Unis, on utilise par exemple le Fair Use,
01:03qui permet d'utiliser des séquencements de données pour pouvoir entraîner les plateformes.
01:10Au sein de l'Union, on utilise l'intérêt légitime, donc c'est l'article sur l'article 6,
01:14un F pour les plus précis, et qui permet en réalité de se dispenser du consentement de chaque individu,
01:23donc de chaque personne concernée, pour pouvoir utiliser les données pour entraîner les plateformes sur les données d'intelligence artificielle.
01:32C'est quoi l'intérêt légitime pour bien comprendre ?
01:34Alors, l'intérêt légitime, ça se démontre. Dans un premier temps, il faut que la société soit en capacité de démontrer
01:41que l'utilisation de ces données lui permette d'entraîner utilement ces données,
01:51et en réalité qu'elle a un intérêt légitime à pouvoir utiliser ces données dans le cadre de l'exploitation des services
01:58qu'elle offre à ses propres clients. Vous avez le tribunal de Cologne, qui a récemment eu une affaire
02:09dans laquelle il a pu pratiquer le triple test, à savoir quel est l'intérêt légitime.
02:15Il faut que l'intérêt légitime soit démontré par la société, qu'il ne porte pas nécessairement atteinte aux données personnelles,
02:22et surtout que l'intérêt légitime peut prévaloir sur l'intérêt des personnes.
02:29Dans ce cadre-là, on met en place un garde-fou. Le garde-fou est la nécessité d'informer les personnes concernées,
02:39pas de leur demander, mais d'informer les personnes concernées, et surtout de leur permettre un opt-out,
02:43in fine, pour pouvoir arrêter l'entraînement sur leurs propres données.
02:47Ça, c'est les grandes obligations des plateformes concernant le consentement des utilisateurs, c'est ça ?
02:55Alors, je dirais plus précisément, le consentement, comme vous le savez, c'est le principe.
02:59On ne touche pas au consentement, sauf par dérogation.
03:03L'intérêt légitime est une dérogation au principe du consentement.
03:07Comme on déroge, on doit répondre toutefois de l'obligation d'information, de l'obligation de l'opt-out.
03:13Il faut prévenir, il faut informer sur la façon dont les données vont être traitées, à quoi elles vont servir, etc.
03:18Tout le reste de l'article s'applique, sauf l'obligation du consentement.
03:23Et est-ce que les utilisateurs ont un moyen de s'opposer au traitement de leurs données personnelles ?
03:30Dans ce cas, si leur consentement ne serait pas respecté, etc.
03:34Alors, les utilisateurs doivent avoir la possibilité de s'opposer.
03:39C'est une obligation de la possibilité de s'opposer.
03:43On peut le traiter de deux façons différentes.
03:45On peut le traiter en amont, c'est-à-dire, est-ce qu'on permet aux utilisateurs, oui ou non, que les données soient utilisées ?
03:51C'est par exemple le cas de la jurisprudence dont je vous ai parlé,
03:54où en l'occurrence, c'était Meta qui laissait un délai pour choisir si, oui ou non,
03:58on allait pouvoir laisser l'IA s'entraîner sur ses propres données.
04:03De l'autre côté, en aval, on a la possibilité de solliciter le droit d'opposition,
04:07qui est dans le RGPD, et si le droit d'opposition n'est pas respecté,
04:12alors droit d'opposition, je...
04:13Ça veut dire quoi ?
04:14Alors voilà, c'est la grande question.
04:17Le droit d'opposition, c'est le droit de s'opposer au traitement de données à caractère personnel vous concernant.
04:21Ça peut être concernant l'utilisateur en lui-même,
04:25mais aussi parfois des données qui ne sont pas directement liées à l'utilisation du service.
04:29Par exemple, c'est des données qui peuvent être utilisées dans le cas d'un tracking sur Internet.
04:32En tout état de cause, chaque opérateur doit laisser la possibilité à toute personne concernée,
04:39donc qu'elle soit utilisateur du site ou pas, de pouvoir s'opposer au traitement qui le concerne.
04:44Soit ça passe par des pages qui sont mises à disposition par l'opérateur,
04:49soit ça passe aussi, et généralement ça passe aussi par là, surtout par là,
04:54par la mise à disposition d'une adresse Internet,
04:56où on écrit au DPO en lui disant qu'on souhaite s'opposer à tel ou tel traitement nous concernant.
05:01D'accord. Alors il y a ce droit d'opposition, et si jamais on n'est pas satisfait,
05:06est-ce qu'on a des recours ? Est-ce que les utilisateurs disposent de recours ?
05:10Alors il y a un recours qui est bien connu aujourd'hui des utilisateurs,
05:14c'est de déposer une plainte auprès de la CNIL, et ça marche plutôt bien.
05:19La CNIL fait vraiment un effort là-dessus pour traiter les plaintes.
05:22C'est assez rapide. En fait, vous avez, à partir du moment où vous sollicitez l'opposition,
05:27l'opérateur a un mois pour vous répondre.
05:30Ça peut être encore un mois supplémentaire si vous prévient au bout d'un mois.
05:33Et au bout de ce temps-là, vous pouvez décider si oui ou non vous êtes satisfait ou pas de la réponse.
05:40La CNIL traite, j'allais dire comme elle peut, les informations.
05:44Ça peut être assez long, comme ça peut être assez court, tout dépend de l'affaire.
05:48Je ne peux pas vous répondre efficacement là-dessus.
05:50Alors au-delà des recours, il y a les risques liés à la réutilisation des données.
05:54Aujourd'hui, qu'est-ce qu'on risque justement quand on met ces données dans les systèmes d'IA ?
05:58Quels sont les risques pour les utilisateurs ?
06:01Alors on peut identifier quelques risques qui peuvent faire peur comme ça.
06:07Le risque, c'est que les données soient complètement noyées dans le système d'IA et qu'elles soient inextricables.
06:14C'est-à-dire qu'une fois qu'on met ces données dans le système d'IA...
06:17On ne peut plus les retirer, c'est ça ?
06:18Exactement. Aller rechercher la donnée spécifique qui vous concerne dans l'intégralité du système
06:22et relève aujourd'hui un peu de la prouesse technologique.
06:24Est-ce que c'est noyé dans la masse ?
06:26Exactement.
06:28D'où aussi un effet protecteur par ricochet.
06:31C'est-à-dire qu'à partir du moment où il y a un effet de masse,
06:34on a plus facilement la possibilité de noyer ces données,
06:39de ne pas être directement impacté par un risque.
06:44Le risque en termes juridiques, quel est-il ?
06:47On peut avoir un risque d'usurpation d'identité et la reconstitution d'identité.
06:52On peut aussi avoir un risque d'hallucination, pour reprendre ce terme-là,
06:58qui permettrait de dire en réalité qu'on associerait vos données à d'autres données,
07:02qui permettraient d'avoir des fausses informations ou des informations qui seraient fausses sur vous.
07:07Donc, de mauvaises informations qui ne permettraient pas en réalité de suivre les obligations du RGPD,
07:15qui est d'avoir une information qui est sincère et qui est suivie.
07:19Aujourd'hui, il y a un règlement sur l'intelligence artificielle.
07:22Est-ce que ça change la donne, quelque chose à ce niveau-là ?
07:27Alors, l'IA Act, sans changer la donne, vient rajouter une couche,
07:32un layer supplémentaire, si vous me permettez l'expression.
07:35Une protection supplémentaire ?
07:37Une protection supplémentaire, on peut tout à fait le dire comme ça,
07:39parce qu'en réalité, l'IA Act vient rajouter des obligations réglementaires,
07:44des obligations de conformité, donc de sourcing de l'IA, de documentation de l'IA qui est utilisée.
07:53Et elle vient rajouter aussi des sanctions qui peuvent aller jusqu'à 7% du chiffre d'affaires.
07:57Ce n'est pas négligeable ?
07:58Ce n'est pas neutre du tout.
07:59Et en réalité, quand vous avez l'utilisation d'un système d'intelligence artificielle,
08:03vous devez en amont faire un peu comme une analyse d'impact RGPD,
08:08c'est-à-dire que vous devez évaluer l'IA en fonction de ces critères.
08:12Et si ces critères démontrent qu'il y a des risques potentiels,
08:16dans ce cas-là, il faut une plus grosse documentation.
08:19Et si les risques sont normaux, il faut quand même une documentation adéquate.
08:23Donc, on va vers une plus grande sécurité pour les utilisateurs européens, on peut dire ça ?
08:27Alors, je ne sais pas si on peut dire qu'on va vers une plus grande sécurité,
08:30ce serait un petit peu m'avancer.
08:31En tout cas, on va vers une plus grande demande de conformité des opérateurs.
08:36Ça, ça me paraît pour le coup indispensable.
08:38Notamment dans l'effet massif dans lequel on peut utiliser données avec l'intelligence artificielle.
08:46Une plus grande sécurité, ça voudrait dire qu'il faudrait ajouter des layers de cybersécurité
08:51qui existent déjà.
08:54Sont-ils suffisants ?
08:54Ça, c'est une autre question.
08:56Bon, à suivre alors.
08:57Exactement.
08:58Merci Romain Vespot.
08:58Merci à vous.
08:59C'est la fin de cette émission.
09:02Merci de votre fidélité.
09:04Restez curieux et informés.
09:06À demain sur Bsmart4Change.
09:08Sous-titrage Société Radio-Canada
Commentaires