Intelligence artificielle : un rapport parlementaire mise sur une transformation de la CNIL / L’Institut Montaigne plaide pour la création d’une autorité propre

Alors que l’Artificial Intelligence Act (AI Act) a finalement été adopté à l’unanimité par les États membres de l’Union européenne (UE) au début du mois de février, après un premier accord trouvé au mois de décembre, il restera aussi en parallèle aux Vingt-Sept de faire en sorte, par leur droit interne, que l’intelligence artificielle (IA) générative se développe tout en respectant l’État de droit.

C’est en ce sens que les députés Philippe Pradal (Horizons) et Stéphane Rambaud (RN), membres de la Commission des lois, ont remis un rapport d’information sur les défis de l’IA générative. En déroulant leur argumentaire, les deux députés ont passé en revue un certain nombre de sujets, en posant un constat somme toute consensuel : "par la manière dont [la France] organisera la gouvernance de la régulation, par le rôle moteur qu’elle peut faire jouer à la commande publique, par les outils dont elle dotera les pouvoirs publics et par les modifications législatives de son droit civil et pénal, elle peut devenir un modèle en matière de développement responsable des [IA génératives] et créer un contexte propice à l’émergence de champions économiques. L’enjeu est tout à la fois de créer un cadre favorable à la diffusion de l’IA générative et de protéger les citoyens et les libertés fondamentales", peut-on lire dans le rapport.

De fait, la problématique est claire : articuler l’AI Act à la législation nationale, afin de créer un cadre favorable à la diffusion de l’intelligence artificielle (IA) générative, puisque la France se place en figure de proue de l’innovation européenne, tout en protégeant les citoyens et les libertés fondamentales européennes. Et pour que les différents mécanismes de régulation de l’UE se mettent en œuvre et que l’environnement juridique soit autant protecteur que possible, le secteur de l’IA générative devra être supervisé par une autorité indépendante.

Un rôle redéfini

Pour les deux rapporteurs, cela devrait logiquement revenir à la Commission nationale de l’informatique et des libertés (CNIL). Son rôle nécessiterait d’être redéfini. Mais la place qu’occupent les données personnelles dans les problématiques relatives à l’IA générative est capitale. De l’entraînement du modèle, à l’usage des données produites, en passant par leur apprentissage ou encore l’utilisation des données fournies par les usagers : les députés estiment que seule la CNIL dispose de l’expertise et de l’expérience nécessaire pour évaluer le respect du règlement général sur la protection des données (RGPD). Elle devra néanmoins connaître quelques évolutions. "Les acteurs du secteur semblent en effet partager le sentiment selon lequel la CNIL ne dispose pas des moyens suffisants pour contrôler efficacement ce nouveau secteur", assurent Philippe Pradal et Stéphane Rambaud.

Si la CNIL a annoncé en janvier 2023 la création d’un service dédié à l’IA et présenté un plan d’action en mai dernier, les parlementaires estiment toutefois "qu’il faut aller plus loin". Autrement dit, redéfinir l’ensemble des missions de la CNIL et son périmètre d’intervention. Résultat, la CNIL deviendrait une Haute autorité en charge de la protection des données et du contrôle de l’IA générative. Elle s’articulerait ainsi avec l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom), compétente quant à elle en matière de régulation des plateformes.

Une idée qui trouve écho dans une note rédigée par le responsable des travaux de l’Institut Montaigne sur les sujets numériques et de nouvelles technologies, Milo Rignell, il y a quelques semaines. En amont de la publication de la mission d’information parlementaire, le cercle de réflexion s’était déjà interrogé sur la manière la plus pertinente de se doter d’un outil de gouvernance national, qui pourrait aussi agir en qualité de maillon européen. En clair, là aussi, il s’agissait de trouver une manière de "chercher les voies de la pertinence entre incitation à l’innovation vertueuse et gestion des risques perçus".

Rassembler des expertises

Pour autant, le raisonnement est différent. L’Institut Montaigne le souligne bien : certaines initiatives existent d’ores et déjà pour évaluer et accompagner la gestion des risques et la mise en conformité des systèmes d’IA. Il y a la CNIL, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le Laboratoire national de métrologie (LNE) et d’essais ou, encore, le Grand défi sur l’IA. Toutes "aussi utiles qu’elles soient, ces initiatives manquent de cohérence entre elles et, à date, ne portent pas sur l’évaluation et l’essai de grands modèles d’IA de fondation et de systèmes d’IA à usage général. En outre, elles ne disposent pas des ressources humaines et financières pour le faire", estime la note.

Alors l’Institut Montaigne recommande plus simplement de mettre en place une autorité française de l’IA. Non pas de manière à créer une énième entité publique, mais plutôt de nommer un organisme rassemblant des expertises éparpillées. Certes, la création d’une toute nouvelle entité nécessiterait de nombreuses étapes - dont celle d’un vote législatif -. Pour débuter, un Centre de l’évaluation de l’IA pourrait donc être créé, avant d’évoluer par la suite en Autorité de l’IA, une fois le cadre juridique précisé. Une bonne manière, pour le think tank, de s’attaquer à trois chantiers : l’évaluation des grands modèles d’IA de fondation, la coordination de la stratégie française de normalisation de l’IA au niveau européen et, enfin, de mettre en place des outils et un programme d’accompagnement des entreprises de l’IA, ce qui permettrait aussi de simplifier, voire de prendre en charge, le coût de la mise en conformité avec l’AI Act. Et une fois transformé en Autorité française de l’IA, ce Centre d’évaluation porterait aussi un rôle de régulateur.

Une feuille de route donc bien remplie, à amorcer d’autant plus rapidement qu’à la fin de l’année 2024, la France sera l’hôte de la deuxième édition du Sommet mondial de l’IA. En ces qualités, sa mission principale sera "de concrétiser une nécessaire gouvernance mondiale – peut-être même un ‘Accord de Paris sur l’IA’. Comme l’explique la ‘Déclaration de Bletchley’ signée lors du précédent Sommet mondial de l’IA de novembre 2023, ces mesures de gouvernance devront être fondées sur les risques, en s’appuyant sur des mesures d’évaluation appropriées. Néanmoins, la France manque à date d’un outil de gouvernance indispensable : son propre référent national sur les questions d’évaluation de l’IA", pointe la note de l’Institut Montaigne.