RGPD versus IA, de la transparence des données au capitalisme cognitif
« Demandez-vous si le développement des technologies de l’information vous a permis d’en savoir plus sur l’Etat ou s’il a permis à l’Etat d’en savoir plus sur vous ? L’informatisation des services bancaires a-t-elle permis aux particuliers d’en savoir plus sur leurs banques ou aux banques d’en savoir plus sur leurs clients? », d’après Roger Taylor dans son livre Transparency and the Open Society, la transparence de l’information dirigerait le monde vers l’opacité.[1]
Les avancées technologiques inédites en termes d’Intelligence Artificielle – IA – (paiement par reconnaissance faciale, reconnaissance automatique de voix, apprentissage automatique, reconnaissance biométrique, etc.) ont suscité de nombreuses réactions et débats concernant leur impact sur la vie privée.
Le « Règlement Général pour la Protection des Données » (RGPD) du 27 avril 2016 adopté par le Parlement Européen, est entré en application le 25 mai 2018. Son objectif est de réconcilier l’ensemble des réglementations existantes sur la protection des données personnelles au sein de l’Union Européenne, en ajoutant de nouvelles mesures pour renforcer la capacité des consommateurs à maîtriser leurs données.
Cependant, dans un monde façonné par l’IA et le Big Data, où l’Europe est en quelque sorte marginalisée en matière de technologie par rapport à la Chine et les Etats-Unis, la position stratégique de l’Europe ne serait-elle pas menacée par l’application du RGPD au sein des entreprises ? Quels seront les défis à relever pour les entreprises ?
RGPD : Les limites de la réglementation face à la technologie
Protection et transparence des données au cœur de RGPD
D’après Roger Taylor : «La transparence nous leurre lorsqu’une des parties est en mesure de profiter indûment de l’autre grâce à un meilleur accès à l’information»[1]. L’important n’est pas la quantité d’information disponible ou publique, mais la symétrie d’accès à l’information.[2]
Cette réglementation européenne renforce les directives déjà existantes en matière de protection des données, suite aux divers abus apparus (fuites des données clients, marketing invasif, growth hacking[3], etc.), en ajoutant de nouvelles dispositions comme la justification du traitement des données collectées, la destruction des données
dont l’utilisation ne semblerait pas pertinente, la suppression des données personnelles susceptibles d’atteinte à l’intimité de la vie privée ou jugées inutiles, à la demande des clients.
Plus le volume des données sensibles gérées par les entreprises est important, plus les exigences en termes d’organisation, juridiction, infrastructure, technologie, système d’information, financement et de contrôle seront accrues.
Sanctions appliquées en cas de non-conformité
Toutes les entreprises européennes et/ou traitant des données concernant les citoyens européens, se conforment à cette réglementation et demandent dorénavant un consentement écrit de la part de leur clients avant le traitement de leurs données. Par ailleurs, toute infraction à ces mesures sera sujette à une amende allant de 2% à 4% du chiffre d’affaires de l’entreprise.
Protection face aux traitements automatisés des données
Face à la capacité de l’IA à s’adapter et à s’approprier toute nouvelle information en vue d’orienter et de manipuler nos décisions en s’appuyant sur divers dispositifs électroniques en place, un encryptage des données personnelles collectées est nécessaire afin de les protéger des algorithmes utilisés par l’IA . Or, la réglementation en vigueur vise à protéger l’individu et semble limitée face à une multitude d’information. A titre d’exemple, dans les processus de Machine Learning[4], un volume étendu de données est analysé par la machine pour déchiffrer les comportements et leurs effets sur l’Homme afin de s’auto-éduquer en permanence. La machine analyse chaque partie renseignée au sein de son processeur et produit une multitude de scénarios possibles en fonction des comportements humains.
Par ailleurs, au-delà des mesures mises en place par RGPD, les consommateurs peuvent toujours s’interroger sur la nature des décisions effectuées par les machines. Toutefois, la complexité aigüe des algorithmes, notamment dans le cadre du deep learning[5], freine la compréhension des consommateurs ainsi que leur capacité à juger la décision de la machine pour éventuellement s’y opposer.
L’Europe dans la sphère de l’IA
L’IA au service des Géants de Numérique
Actuellement, nous sommes pris dans le tourbillon du capitalisme cognitif, à travers différents types de technologie et d’’intelligence, dont l’intelligence artificielle. Une quantité conséquente de data est nécessaire afin d’alimenter l’IA et c’est cette même quantité de données qui va déterminer le volume de production et le positionnement stratégique des géants de numérique. Actuellement le marché est dominé par les géants américains et chinois, les GAFA (Google, Apple, Facebook, Amazon) et les BATX (Baidu, Alibaba, Tencent, Xiaomi) qui, grâce au volume important des données qu’ils possèdent, prennent de l’avance par rapport à l’Europe dans la quête de l’intelligence artificielle : un phénomène auquel nous contribuons tous les jours à travers des dispositifs électroniques et des réseaux sociaux.
Technologie leaders en 2018[6]
Dans un article publié par le journal économique et financier, La Tribune : « parmi les dix plus importantes capitalisations boursières au monde figurent huit sociétés américaines, deux chinoises et donc aucune européenne ; et parmi celles-ci, sept sont des sociétés technologiques ».
Classement des capitaux boursier par type d’industrie[7]
D’après l’organisme d’étude International Data Corporation (IDC), le marché de l’IA pesait environ 8 milliards d’euros en 2016 (78% des investissements réalisés aux Etats-Unis) et devrait passer à plus de 47 milliards d’euros d’ici 2020[8].
« Qui maîtrise l’intelligence artificielle domine le monde »[9]
Vladimir Poutine, Septembre 2017.
Impacts de RGPD sur l’IA
Transparence et consentement, frein à la production de l’IA
L’application de RGPD engendre des difficultés non négligeables pour les acteurs devant s’y conformer en termes d’organisation, de technique, de juridiction, de DSI, d’infrastructure et de traitement des données.
Son application présente également un véritable obstacle à la mise en place des projets innovants d’intelligence artificielle où les algorithmes se nourrissent essentiellement des quantités immenses de données des consommateurs.
« Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (…) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; (…) », article 5, EU RGPD. Par ailleurs, le règlement européen insiste particulièrement sur la définition et le respect des finalités.
Dès lors, la coexistence avec l’IA va soulever plusieurs questions, dont celle du consentement et de la transparence des données. « Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant (…) La personne concernée a le droit de retirer son consentement à tout moment », Article 7, EU RGPD.
«Si un algorithme ne peut pas être expliqué, il ne peut pas être utilisé dans le service public»[10], Mounir Majhoubi, secrétaire d’Etat en charge du numérique, Assemblée Nationale.
La difficulté pour les entreprises serait de traiter toutes les mesures en matière de consentement, à travers leurs solutions d’IA, ce que les experts en la matière jugeraient comme un réel facteur de retardement de l’innovation et production optimale de l’intelligence artificielle. A titre d’exemple, l’envoi des images sur les réseaux sociaux, parler avec des objets connectés ou l’utilisation d’un GPS depuis un smartphone, sont des pratiques types qui ne demandent pas un accord clair et précis avant de s’appuyer sur des algorithmes d’IA. Or, avec la mise en pratique de RGPD, les entreprises vont devoir également s’adapter aux exigences réglementaires en vigueur pour vulgariser les algorithmes de prise de décision.
Les Défis de RPGD pour l’IA, et réciproquement
L’exigence de la réglementation vis-à-vis de la « collecte et le traitement des données jugées utiles » freine les entreprises dans leur quête d’innovation. Une innovation qui prend son élan avant tout par le volume des données injectées dans les bases de données. De plus, avec la revendication de la protection des données à caractère personnel, l’entente entre le RGPD et l’IA s’avère être un véritable défi. Dès lors, la recherche d’une organisation intelligente et responsable (projet de recherche d’intérêt général pour une IA éthique) entre la protection des données à caractère personnel, et l’ambition de l’Europe à devenir un pionnier dans le paysage de l’intelligence artificielle envahi par les GAFA et les BATX, pourra peut-être être réalisable à travers l’évolution d’un RGPD plus adapté aux futures législations, aux changements des attitudes des utilisateurs ainsi qu’aux innovations technologiques.
[1] Extrait du livre « Transparency and the open society », par Roger Taylor
[2] Citation reprise de l’article : http://www.internetactu.net
[3] Les techniques de Growth Hacking reposent sur des outils de scrapping qui récupèrent de façon sauvage des adresses mails via les moteurs de recherche, les réseaux sociaux ou des sites d’annonces comme le Bon Coin et bien évidemment sans le consentement préalable de l’utilisateur : http://www.wikipedia.com
[4] Le Machine Learning (l’apprentissage automatique) est un champ d’étude de l’intelligence artificielle basé sur des approches statistiques afin de donner aux ordinateurs la capacité d’apprendre à partir de données collectées. Source : https://www.empirik.fr
[5] Le Deep Learning ou l’apprentissage profond, est une forme de l’IA, dérivée du Machine Learning (apprentissage automatique). Source : https://www.empirik.fr
[6] Source : https://www.visualcapitalist.com
[7] Source Bloomberg. Etude réalisée par PwC
[8] Chiffres tiré de l’article https://comarketing-news.fr
[9] Citation d’article https://www.latribune.fr
[10] Citation d’article http://www.itforbusiness.fr