Les autorités de protection des données des pays du G7 sont préoccupées par l’IA générative

Les autorités de protection de la vie privée des pays du G7 devraient présenter une vision commune des défis en matière de protection des données posés par les modèles d’IA générative tels que ChatGPT, selon un projet de communiqué consulté par EURACTIV.

Les autorités de protection des données et de la vie privée des États-Unis, de la France, de l’Allemagne, de l’Italie, du Royaume-Uni, du Canada et du Japon se sont réunies à Tokyo mardi et mercredi (20 et 21 juin) pour une table ronde du G7. Elles ont échangé sur la libre circulation des données, la coopération en matière répressive et les technologies émergentes.

Les risques liés à la multiplication rapide des modèles d’IA générative dans divers contextes et domaines ont pris une place prépondérante, ont déclaré les autorités de protection de la vie privée dans le projet de communiqué.

« Nous reconnaissons l’existence de préoccupations croissantes selon lesquelles l’IA générative peut présenter des risques et des préjudices potentiels pour la vie privée, la protection des données ainsi que pour d’autres droits humains fondamentaux si elle n’est pas développée et règlementée de manière appropriée », peut-on lire dans le communiqué.

L’IA générative est une technologie sophistiquée capable de fournir des textes, des images ou des contenus audiovisuels semblables à ceux générés par un être humain, sur la base des données fournies par l’utilisateur. Depuis l’ascension fulgurante de ChatGPT, cette technologie émergente a suscité beaucoup d’enthousiasme, mais aussi beaucoup d’inquiétude en raison des risques d’utilisation abusive qu’elle présente.

Les prémices d’une règlementation

En avril, les ministres du Numérique des pays du G7 ont lancé le « processus d’Hiroshima » afin de traiter certains de ces sujets, tels que la gouvernance, la protection des droits de propriété intellectuelle, la promotion de la transparence, la prévention de la désinformation et la promotion d’une utilisation responsable de la technologie.

Le processus d’Hiroshima devrait être à l’origine d’un code de conduite volontaire sur l’IA générative que la Commission européenne est en train d’élaborer avec les États-Unis et d’autres partenaires du G7.

Par ailleurs, l’UE est sur le point d’adopter la première législation mondiale complète sur l’intelligence artificielle, qui devrait inclure certaines dispositions spécifiques à l’IA générative.

Néanmoins, les régulateurs de la vie privée soulignent une série de risques que les outils d’IA générative comportent du point de vue de la protection des données.

Préoccupations majeures

Le point de départ de ces discussions concerne l’autorité légale dont disposent les développeurs d’IA pour traiter des informations à caractère personnel, en particulier celles des mineurs, dans les jeux de données utilisés pour entraîner les modèles d’IA, mais aussi la manière dont les interactions des utilisateurs sont introduites dans les outils et les résultats qui en découlent.

Dans le communiqué, il est également demandé que des garanties de sécurité soient mises en place pour éviter que les modèles d’IA générative ne soient utilisés en vue d’extraire ou de reproduire des informations à caractère personnel ou que leurs garanties de confidentialité ne puissent être contournées par des invites soigneusement conçues.

Les autorités demandent également aux développeurs d’IA de veiller à ce que les informations personnelles utilisées par les outils d’IA générative soient exactes, complètes et à jour, et qu’elles n’aient pas d’effets discriminatoires, illégaux ou autrement injustifiables.

En outre, elles soulignent « les mesures de transparence visant à promouvoir l’ouverture et l’explicabilité dans le fonctionnement des outils d’IA générative, en particulier lorsque ces outils sont utilisés pour prendre ou aider à prendre des décisions sur des personnes ».

Sont également mentionnés dans le projet de communiqué la mise à disposition d’une documentation technique tout au long du cycle de développement, les mesures visant à garantir un niveau de responsabilité approprié parmi les acteurs de la chaîne d’approvisionnement de l’IA et le principe consistant à limiter la collecte de données à caractère personnel au strict nécessaire.

Enfin, le communiqué invite les fournisseurs d’IA générative à mettre en place des mesures techniques et organisationnelles pour veiller à ce que les personnes concernées par ces systèmes et en interaction avec ceux-ci puissent toujours exercer leurs droits, tels que l’accès aux données à caractère personnel, leur rectification et leur suppression. Selon le document, ces personnes devraient également avoir la possibilité de refuser d’être soumises uniquement à des décisions automatisées qui entraînent des conséquences significatives.

En Europe

Le texte souligne le cas de l’Italie, où l’autorité de protection des données avait temporairement suspendu ChatGPT en raison d’éventuelles violations de la vie privée, bien que le service ait finalement été rétabli à la suite d’améliorations apportées par OpenAI.

Les autorités nationales mentionnent plusieurs actions en cours, notamment l’examen de modèles d’IA générative dans leur législation respective, la fourniture de conseils aux développeurs d’IA en matière de respect de la vie privée et le soutien de projets innovants tels que les espaces règlementaires d’expérimentation sur les données.

La promotion de la coopération, notamment par la création d’un groupe de travail spécialisé, figure également dans le document. Les autorités de l’UE ont créé un tel groupe pour harmoniser l’application de la loi relative à ChatGPT à la suite de la décision italienne à l’égard de l’agent conversationnel le plus célèbre au monde.

Cependant, selon une source au faut du sujet, les travaux de ce groupe progressent très lentement, principalement en raison du processus administratif et de la coordination. Les régulateurs européens attendent maintenant qu’OpenAI apporte des éclaircissements d’ici la fin de l’été.

« Les développeurs et les fournisseurs devraient intégrer la protection de la vie privée dans […] la conception, le fonctionnement et la gestion de nouveaux produits et services qui recourent à des technologies d’IA générative sur la base du concept de “protection intégrée de la vie privée”, documenter leurs choix et analyses dans une analyse d’impact sur la protection de la vie privée », poursuit le communiqué.

En outre, les développeurs d’IA sont invités à permettre aux opérateurs économiques en aval qui déploient ou adaptent le modèle de se conformer aux obligations en matière de protection des données.

D’autres discussions sur la manière de relever les défis que pose l’IA générative en matière de protection de la vie privée auront lieu au sein d’un groupe de travail sur les technologies émergentes des autorités responsables de la protection des données des pays du G7.

[Édité par Anne-Sophie Gayet]