2 minute read
données française
En mai 2023, la CNIL a publié son plan d’action [66] relatif aux systèmes d’IA. Elle y indique plusieurs axes de travaux prioritaires visant à appréhender leur fonctionnement et leur impact sur les personnes :
• Loyauté et transparence : cela comprend notamment l’information mise à disposition des personnes dont les données personnelles sont traitées via des systèmes d’IA ;
• Protection des données publiquement accessibles : il s’agit des données personnelles et publiquement accessibles (par exemple sur les réseaux sociaux) utilisées pour entraîner les modèles ;
• Protection des données transmises par les utilisateurs : en considérant l’exemple des agents conversationnels, il s’agit des textes rédigés par les utilisateurs des agents. Ces textes peuvent être collectés et partagés à des tiers, notamment afin d’améliorer les modèles. Dans leurs interactions avec les agents conversationnels, les utilisateurs peuvent partager des données personnelles hautement sensibles, telles que des questions relatives à la gestion de leur santé mentale [67]. Cela a amené des sociétés à interdire l’utilisation d’agents conversationnels externes de peur de voir leurs données confidentielles être divulguées accidentellement ou via de l’espionnage industriel [68] ;
• Conséquences sur les droits des personnes concernées : il s’agit, par exemple, du droit de rectification évoqué précédemment. Un professeur de droit étatsunien était cité – à tort – par ChatGPT lorsque le système était interrogé sur les universitaires ayant sexuellement harcelé quelqu’un [69] ;
• Protection contre les biais et les discriminations ;
• Enjeux de sécurité : il s’agit de nouveaux enjeux à l’intersection entre la sécurité et les données personnelles, comme les clones de voix utilisés à des fins malveillantes [70]. Un autre exemple récent est encore l’incident intervenu en mars 2023 lorsque des utilisateurs de ChatGPT ont vu apparaître dans leur historique de conversations des messages issus de conversations d’autres utilisateurs.
La CNIL indique également souhaiter :
• encadrer le développement de systèmes d’IA respectueux des données personnelles via des publications et une consultation publique à venir sur le partage et la réutilisation des données ;
• accompagner des acteurs innovants de l’écosystème européen et français ;
• auditer et contrôler les systèmes d’IA afin de protéger les droits des personnes.
Si les événements survenus depuis février 2023 ont montré que le RGPD s’applique aussi aux systèmes d’IA générative, les mois à venir seront l’occasion pour les autorités de continuer à répondre aux nombreuses questions inédites que posent ces systèmes pour l’application de la loi.
[66] Intelligence artificielle : le plan d’action de la CNIL, CNIL, 16 mai 2023.
[67] I asked Bing, Bard and ChatGPT to solve my anger issues, and the results surprised me, Josephine Watson, 22 mars 2023.
[68] Samsung Bans Staff’s AI Use After Spotting ChatGPT Data Leak, Bloomberg, 2 mai 2023.
[69] ChatGPT invente une affaire d’harcèlement sexuel en accusant un professeur bien réel, Lucle Lequier, 6 avril 2023.
[70] AI voice clones are turbocharging scams, top FTC official warns, Tim Marcin, 2 juin 2023.
Les recommandations de Data For Good pour les utilisateurs de modèles d’IA générative
Ne pas transmettre d’informations confidentielles / personnelles aux modèles. Que ce soit des éléments de propriété intellectuelle, des données personnelles, des identifiants et mots de passe, il est important de limiter les données transmises aux entités déployant les modèles pour éviter les situations compromettantes.
Les recommandations de Data For Good pour les développeurs d’IA générative
Pour l’entraînement, comme pour l’inférence, il paraît important de prévoir des solutions pouvant détecter les données personnelles et limiter leur utilisation / diffusion. En particulier en ce qui concerne les capacités d’hallucination de modèles génératifs. Si l’utilisation et la diffusion de données personnelles peut poser problème, cela peut avoir encore plus d’impact si ces informations sont fausses.
Les recommandations de Data For Good pour les décideurs
Si l’usage des données personnelles est déjà largement encadré, le cadre doit être adapté aux modèles d’IA générative. L’audit des bases de données doit être étendu par des audits spécifiques (audit des prompts et des réponses apportées, quitte à établir et utiliser des listes de prompts dédiées).
