La protection des données à l’ère de l’intelligence artificielle : comparaison des approches américaines et européennes – Chloé GAGNAIRE
De nombreuses définitions de l’intelligence artificielle co-existent aujourd’hui, mais elle peut être définie de manière générale comme étant un « logiciel qui est développé au moyen d’une ou plusieurs techniques et approches […] et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit ».1 Pour de nombreuses personnes, aujourd’hui, elle se résume à des robots dotés d’une capacité supérieure à l’humain mais qui existera seulement dans plusieurs décennies, aux côtés des voitures volantes. Néanmoins, la réalité est tout autre puisque ces intelligences artificielles sont déjà présentes dans nos vies quotidiennes, et cela depuis de nombreuses années : assistants vocaux, voitures partiellement ou totalement autonomes ou encore de simples suggestions de restaurants que l’on pourrait apprécier sur nos téléphones…
L’intelligence artificielle est donc déjà implantée dans de nombreux secteurs privés comme la finance ou le transport. Mais elle se développe également dans les secteurs publics gouvernés par les autorités publiques tels que l’éducation, la sécurité ou la fiscalité. Pourtant, elle manque actuellement de réglementation sur son utilisation et son développement car elle évolue rapidement tandis que le processus de promulgation d’une loi est long. En parallèle, elle ne peut pas s’adapter aux réglementations actuelles. Notamment, l’intelligence artificielle interroge quant au droit de la vie privée et la protection des données personnelles. Sa qualité dépend de la quantité de données qu’elle possède, incluant des données sensibles et personnelles des individus et son fonctionnement ne permet pas de se conformer aux règles déjà instaurées.
Les Etats sont donc face à un dilemme : ne pas changer la loi traditionnelle et obliger les développeurs d’intelligence artificielle à la respecter même si cela veut dire que les avantages de l’intelligence artificielle ne pourront être pleinement exploités ou changer le droit de la protection des données au risque de devoir affaiblir la protection offerte.
Dans ce contexte, les démarches entreprises par l’Union européenne reçoivent une attention particulière de la part la communauté internationale puisque sa législation sur la protection des données est une référence tant elle comprend la valeur des données aujourd’hui et protège ses citoyens. Les Etats-Unis, acteur tout aussi important et influent, ont adopté une approche différente quant à la protection des données : grand acteur dans l’innovation des nouvelles technologies et berceau des plus grandes entreprises mondiales, l’Etat n’accorde pas autant d’importance à la protection des données.
Il est donc intéressant d’examiner comment ces deux Etats aux approches traditionnelles bien différentes adaptent leur droit de la vie privée et de la protection des données à l’utilisation et au développement grandissant de l’intelligence artificielle ?
- Les lois existantes sur la protection des données personnelles et l’intelligence artificielle
Dans un monde idéal, l’intelligence artificielle doit pouvoir garantir le droit à la vie privée de ses utilisateurs. Néanmoins, le développement de cette technologie est si rapide que le droit peine à évaluer de manière rigoureuse son impact et à trouver les moyens nécessaires pour la réguler. Le problème réside dans le fait que l’intelligence artificielle a besoin de données pour fonctionner. De ce fait, plus elle possède de données mieux elle fonctionne et moins elle fait d’erreurs. Mais ce type de fonctionnement se confronte au droit traditionnel. Dans l’Union Européenne, il s’agit du Règlement Général sur la Protection des Données (RGPD), texte novateur avec ses principes stricts à respecter pour protéger les citoyens européens et leurs vies privées. Il a permis l’harmonisation du droit de tous les Etats-membres de l’Union concernant la protection des données personnelles et plus largement, le droit à la vie privée à l’ère du numérique. Dès 1995, la directive 95/46/CE avait déjà essayé de créer cette harmonie mais celle -ci s’était révélée insuffisante. Au contraire, aux Etats-Unis, il n’existe pas une loi régulant spécifiquement le droit à la vie privée et à la protection des données personnelles. Certaines lois ont été promulgués dans les années 80 comme le Electronic Communications Privacy Act ou le Privacy Protection Act. De plus, puisqu’il n’existe pas de loi nationale spécifique, chaque Etat impose sa propre loi. En vue de comparer les deux ordres juridiques, cette partie de l’article se concentre sur la législation californienne, le California Consumer Privacy Act. La différence d’approche entre les deux systèmes juridiques dans ce domaine s’explique par des traditions légales différentes. Les Etats-membres de l’Union Européenne sont profondément attachés aux droit de l’Homme dont le respect à la vie privée est placé au plus haut sommet des textes européens à l’article 8 de la Convention Européenne des Droits de l’Homme. Au contraire, les Etats-Unis ont une approche lointaine du droit de la vie privée qui est considéré comme faisant partie des relations entre consommateurs. La place très importante de la liberté d’expression aux Etats-Unis peut expliquer cette démarche face au droit au respect de la vie privée.
Aujourd’hui, les deux législations bien que différentes se trouvent toutes les deux confrontés aux problèmes suscités par l’intelligence artificielle. Par exemple, le RGPD explique à l’article 17 qu’il existe un droit à l’effacement des données personnelles suivant lequel les données précédemment utilisés d’un utilisateur doivent être supprimées sans délai si l’individu en fait la demande. Ce même droit, nommé le droit du consommateur à la suppression de ses données, existe également sous le CCPA. Ce droit est contre-productif pour une intelligence artificielle puisque si celle-ci doit supprimer des données acquises, elle sera moins efficace et fera plus d’erreur. Le droit à la limitation du traitement des données (article 18) du RGPD et contenu également dans le CCPA) et le principe de minimisation des données (article 5(1)(c) du RGPD) sont également en conflit avec le développement de l’intelligence artificielle. Ces principes restreignent l’obtention et l’utilisation des données personnelles des utilisateurs à des buts précis et définis. Les données personnelles utilisées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire concernant les finalités pour lesquelles elles sont traitées. Néanmoins, l’intelligence artificielle produit des résultats qui peuvent parfois être difficilement compris dont les objectifs peuvent changer suivant son utilisation. C’est notamment le cas avec le phénomène de « boite noire » qui intervient lorsque les ingénieurs du système n’arrivent pas à comprendre les résultats donnés ou les erreurs commises par l’intelligence artificielle.
- Les Etats-Unis et l’Union Européenne : un objectif commun
Conscient de l’urgence de promulguer une loi qui régule l’intelligence artificielle, l’Union Européenne a rédigé l’Artificial Intelligence Act qui ne devrait pas entrer en vigueur avant la fin de 2024. Les Etats-Unis, habitués à être des précurseurs dans de nombreux domaines, ont ainsi du retard face à l’Union Européenne. C’est seulement début octobre 2022 que la Maison Blanche a annoncé commencer à préparer un AI Bill of Rights. Pour le moment seul un plan directeur de cette future législation a été publié : le Blue Print for an AI Bill of Rights. Néanmoins, dans ce document, l’un des principes clés repose sur la protection contre des pratiques abusives concernant les données et l’usage des données personnelles. Il est important de noter que plusieurs grands principes discutés pour cette nouvelle législation américaine reprennent des principes déjà instaurés depuis 5 ans dans l’Union Européenne. En effet, le droit à la rectification des données personnelles ou le droit de donner son consentement pour la collecte de ses données personnelles sont déjà des principes clés du RGPD. Cette initiative prouve le changement progressif de l’approche américaine vers une meilleure protection des individus et de leurs données personnelles, notamment dû à la nécessité de réguler l’ascension des nouvelles technologies.
L’approche européenne est basée sur une complémentarité des législations. Il n’est pas question pour les législateurs d’oublier le RGPD lorsque des développeurs de systèmes d’intelligence artificielle les mettent en place. Les systèmes doivent donc toujours respecter les règles fixées dans le RGPD. Cette complémentarité des législations est observable par exemple avec l’article 22 du RGPD concernant les décision automatisées, ce qui concerne donc les systèmes d’intelligence artificielle. Cet article explique que l’individu a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé. Néanmoins, l’article 14 de l’Artificial Intelligence Act prévoit une obligation de contrôle humain pour les systèmes classés à haut-risque. Cela n’empêche pas l’article 22 du RGPD de s’appliquer pour protéger les individus notamment dans le cas où les développeurs d’intelligence artificielle n’intégreraient que des fonctionnalités permettant un contrôle humain. En plus de cette complémentarité des législations, une nouveauté importante apparait dans l’Artificial Intelligence Act puisque la législation comporte des catégories de systèmes d’intelligence artificielle basées sur une évaluation des risques. Elle reconnait que certains systèmes d’intelligence artificielle sont plus dangereux que d’autres pour les citoyens européens. La future loi américaine se base également sur une évaluation des risques des systèmes d’intelligence artificielle mais par rapport au contexte et donc aux domaines dans lesquels les systèmes sont utilisés. L’avantage de ce type d’approche est la flexibilité de la législation à différents types de systèmes d’intelligence artificielle. Dans l’Union Européenne, un système dit à « haut-risque » notamment pour les droits fondamentaux tels que le droit à la protection des données sera donc soumis à des règles plus strictes. Il y a notamment des obligations d’appliquer des pratiques appropriées en matière de gouvernance et de gestion des données au développement de systèmes d’intelligence artificielle à haut risque. Néanmoins, la proposition de législation ne précise pas ces pratiques. Une autre obligation importante en matière de protection de données concerne l’obligation d’un contrôle humain afin de prévenir ou à réduire au minimum les risques pour les droits fondamentaux qui pourraient apparaître lors de l’utilisation du système. Cette obligation de contrôle humain sera également introduite dans la nouvelle loi américaine pour les systèmes d’intelligence artificielle utilisés dans des domaines sensibles tels que la justice pénale, l’éducation ou la santé. Des données personnelles circulent souvent dans ces domaines, il est donc impératif d’avoir un contrôle humain pour éviter des abus. En effet, les machines tels que les algorithmes ne sont pas dotées du bons sens et de la morale comme les êtres humains. Elles sont incapables de reconnaitre lorsque leurs programmes font quelque chose d’immoral. Concernant les catégories de système, une différence est à noter entre les deux juridictions : alors que la future législation européenne interdit les systèmes provocant des risques inacceptables en droit de l’Union européenne notamment par rapport aux droits fondamentaux, la future législation américaine n’est pas aussi stricte et n’interdit aucun système. La protection des données personnelles n’a donc pas la même place dans la future législation américaine qu’en Europe.
Les propositions de législation européenne et américaine souhaitent également apporter de la transparence. Les méthodes sont néanmoins différentes. La future loi américaine semble demander aux systèmes d’intelligence artificielle d’être « complétement transparent » mais cette obligation reste vague. En effet, les systèmes d’intelligence artificielle utilisent des modèles d’apprentissage en profondeur pour arriver à produire des résultats concluants et à reproduire la façon de penser des individus. Mais aujourd’hui ces modèles comportent une « boite noire ». Ce terme est utilisé pour montrer que les informaticiens eux-mêmes ont des difficultés à expliquer comment et pourquoi les intelligence artificielles arrivent à leurs résultats. Il est difficile de les expliquer ou même parfois de les interpréter car il n’y a pas de visibilité sur le processus complet. Ces systèmes sont impénétrables et l’obligation de transparence semble donc difficile à mettre en place en pratique. Dans l’Union Européenne, c’est à l’article 52 de la proposition de loi que cette obligation de transparence est inscrite. Elle demande aux développeurs de l’intelligence artificielle d’informer impérativement les individus qu’ils interagissent avec une intelligence artificielle et que les résultats produits sont artificiels pour éviter des problèmes de confusion.
De manière générale, bien que l’Artificial Intelligence Act soit une innovation et apporte beaucoup de clarté concernant la régulation des intelligences artificielles, elle n’en reste pas moins légère quant à la protection des données personnelles. C’est ce que reproche certains professionnels spécialisés dans le droit de la vie privé. Notamment, il est regrettable de ne pas avoir de solution sur l’application difficile de l’article 17 du RGPD pour que les utilisateurs d’intelligence artificielle puissent supprimer du système leurs données personnelles sans altérer l’efficacité de la machine. Il est également dommage de ne pas explicitement inclure dans la liste des systèmes à haut risque les systèmes utilisant des données physiques, physiologiques, comportementales et biométriques. Ce sont des données particulièrement sensibles puisqu’intrinsèquement liées à la personne de l’utilisateur et qui mériteraient donc une protection absolue sans possibilité d’exception.
Du côté américain, bien que la proposition de texte législatif doive encore être publié, il semble que le AI Bill of Rights cherche d’abord à rattraper le retard accumulé en termes de protection des données en promouvant une nouvelle approche du droit de la vie privée et de la protection des données ? plus globale. Ajouté à cela, une approche basée sur les risques des systèmes d’intelligence artificielle, il est probable que les deux législations apportent une clarté nécessaire en termes de restrictions de l’usage et du développement des intelligences artificielles. Néanmoins, ces textes ont une marge de progression puisqu’il semble que leur champ d’application ne couvre pas tous les types d’utilisation présentes et futures de ces nouvelles technologies.
1 Proposition de Règlement du Parlement Européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, article 3.
Bibliographie :
Proposition de Règlement du Parlement Européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
The California Privacy Rights Act of 2020
Blue Print for an Artificial Intelligence Bill of Rights <https://www.whitehouse.gov/ostp/ai-bill-of-rights/> (accès le 20 Mai 2023)
Christopher Kuner, Fred Cate, Orla Lynskey, Christopher Millard, Nora Ni Loideain, and Dan Jerker B. Svantesson, “Expanding the artificial intelligence-data protection debate” (2018) 8 International Data Privacy Law 289
Jozef Andraško, Matúš Mesarčík, Ondrej Hamuľák, “The regulatory intersections between artifcial intelligence, data protection and cyber security: challenges and opportunities for the EU legal framework” (2021) 36 AI and Society 623
Matthias Artzt, Tran Viet Dung, “Artificial Intelligence and Data Protection: How to reconcile both areas from the European Law perspective” (2022) 7 Vietnamese Journal of Legal Sciences 39
Karl Manheim & Lyric Kaplan, “Artificial Intelligence: Risks to Privacy and Democracy” (2019) 21 Yale Journal of Law & Technology 106
Yoon Chae, “U.S. AI Regulation Guide: Legislative Overview and Practical Considerations” (2020) 3 The Journal of Robotics, Artificial Intelligence & Law (Fastcase) 17