Atelier « Rapprocher le développement et la gouvernance de l’IA » du projet IPoP
Publié le
L’atelier « Rapprocher le développement et la gouvernance de l’IA », organisé dans le cadre du projet IPoP (Interdisciplinary Project on Privacy), a réuni des chercheurs en droit et en technologie, afin d’échanger sur les frictions et les solutions à l’intersection entre le développement technologique et la gouvernance réglementaire des nouveaux systèmes d’IA.
L’atelier a été organisé le 3 avril sur le campus de l’EDHEC Paris, au travers trois tables rondes et deux ateliers. Les discussions ont mis en lumière les défis de la régulation de l’IA tout en proposant plusieurs pistes d’avenir.
Table ronde #1 : État de l’art technologique de l’IA et ses impacts sociétaux
La première table ronde, animée par Antoine Boutet (INSA Lyon, coordinateur du projet IPoP), a débuté par une discussion sur le récent avis du CEPD sur les modèles d’IA. Juliette Sénéchal (Université de Lille) et Pankaj Raj (MIAI) ont expliqué comment cet avis fournit une analyse juridique de l’anonymat éventuel des modèles d’IA, soulignant que, selon le CEPD, un modèle entrainé avec des données personnelles n’est considéré comme anonyme que s’il existe une probabilité « insignifiante » de réidentifier des données personnelles par tous les moyens raisonnablement possibles. Cédric Eichler (INSA CVL) et Tristan Allard (Université Rennes 1) ont réagi en soulignant le manque de consensus sur la signification de « non significatif ». Ils ont plutôt expliqué le large éventail d’attaques pouvant être utilisées pour extraire des données personnelles des modèles d’IA, ainsi que la difficulté de fournir des protections contre toutes les attaques possibles. La coopération entre régulateurs et développeurs sur la manière de gérer ces risques d’attaques et les protections à utiliser, notamment la confidentialité différentielle, pourrait être une solution.
Table ronde #2 : Conformité de l’IA aux cadres juridiques existants
La deuxième table ronde, modérée par Christophe Roquilly, a présenté trois cas d’utilisation où des modèles d’IA ont été évalués au regard de la protection des données et de la réglementation en matière d’IA. Benjamin Nguyen (INSA CVL) a présenté son expérience en tant que membre du comité d’évaluation de l’utilisation de caméras augmentées par l’IA lors des Jeux olympiques de Paris 2024. La conformité au RGPD était importante pour ce projet gouvernemental. Le comité a également évalué l’utilité technique du système, rendue possible grâce aux connaissances techniques de ses membres. Geneviève Fieux-Castagnet (SNCF) a ensuite abordé la loi sur l’IA, décrivant son expérience d’application des normes d’IA à un projet émergeant alors que la loi était encore en négociation. En appliquant ces normes dès le début du projet, elle a pu anticiper le contenu de la loi. Isabelle Landreau (IDEMIA) a présenté les travaux de son entreprise sur l’utilisation du contrôle d’accès biométrique en entreprise. Elle a comparé les différentes perceptions mondiales concernant l’utilisation de la biométrie et la mise en œuvre du consentement explicite dans le cadre du RGPD.
Table ronde #3 : Réglementation à venir sur l’IA
La troisième table ronde, modérée par Gianclaudio Malgieri (Université de Leyde), a permis d’explorer en profondeur les différents cadres émergents en matière d’IA. Ludovica Robustelli (Université de Nantes) a expliqué l’interaction entre la réglementation à venir et la réglementation existante. Les dispositions du RGPD relatives à l’explicabilité et à la prise de décision automatisée ont récemment été interprétées largement par la Cour de justice de l’Union européenne (CJUE), ce qui les rend pertinentes pour les sujets également couverts par la loi sur l’IA. Elle a également mentionné l’article 10(5) de la loi sur l’IA, qui vise à permettre aux développeurs d’IA d’utiliser des données sensibles pour le débiaising. William Letrone (Université de Nantes) a poursuit en avertissant que le paysage réglementaire de l’IA se fragmente. De nombreux points flous permettent au secteur privé d’avoir un impact considérable sur l’application de la réglementation, l’administration Trump retardant la réglementation de l’IA aux États-Unis. Lucas Anjos (Sciences Po) a contextualisé la nouveauté de l’approche américaine, soulignant le lobbying de l’administration américaine précédente contre la réglementation de l’IA au Brésil. Les divergences mondiales ne sont pas nouvelles en IA, mais existent depuis l’ère d’Internet, avec un paradoxe de territorialité. Selon lui, l’explicabilité et la transparence algorithmique sont précieuses, la récente décision de la Cour de justice constituant un pas dans la bonne direction.
Atelier #1 : La nécessité de protections juridiques dans la gouvernance de l’IA – Perspectives de chercheurs en technologie
Le premier atelier, modéré par Margo Bernelin (Université de Nantes), a débuté par une introduction de Jan Ramon (Inria), qui a expliqué les différentes approches juridiques et technologiques des seuils. Alors que les chercheurs en IA peuvent exprimer des probabilités et des risques, les juristes travaillent avec une législation abstraite, utilisant des termes tels que « approprié ». Combler ce fossé nécessite de déterminer conjointement comment ces normes abstraites peuvent être appliquées à l’IA. La discussion qui a suivi a porté sur l’incertitude à laquelle sont confrontés les chercheurs en IA. Si les chercheurs en IA peuvent développer de multiples attaques capables d’extraire des données des modèles d’IA, les responsables du traitement des données chargés de se protéger contre ces attaques ignorent souvent s’ils en font suffisamment pour satisfaire aux exigences légales, car ils ne peuvent pas suivre ou se protéger contre toutes les attaques imaginables tout en maintenant des systèmes efficaces.
Atelier #2 : Comment le droit peut-il assurer ces protections ?
Le deuxième atelier, animé par Michaël Van den Poel (EDHEC Augmented Law Institute), visait à apporter une réponse juridique aux questions des chercheurs en IA. Parmi les juristes, il existe un consensus sur le fait que l’approche fondée sur des principes crée une ambiguïté d’interprétation. Cette ambiguïté peut être levée par les juges, mais cela prend du temps, ce qui peut permettre aux entreprises de contourner stratégiquement les réglementations les plus strictes. Les régulateurs confrontés à l’incertitude peuvent également être influencés par la pression publique, les autorités de protection des données se montrant relativement indulgentes à l’égard des pratiques actuelles d’IA générative, souvent en contradiction avec les principes du RGPD. Les normes peuvent apporter de la clarté, mais elles sont souvent élaborées à huis clos et sous l’influence du secteur. Les juristes devraient s’efforcer de transmettre aux chercheurs en IA les connaissances sur les fondements et le contenu de la législation. Ils pourraient également évaluer de manière critique, conjointement avec eux, les résultats du processus de normalisation, souvent peu transparent et inclusif.
Conclusion
Dans ses conclusions, Gianclaudio Malgieri (Université de Leyde) a souligné l’importance de l’interaction entre le droit et la technologie, car la compréhension mutuelle conduit à une meilleure mise en œuvre de la réglementation. Il a également insisté sur la nature politique des décisions en matière de technologie, qui sont toujours ancrées dans des choix de société.
Autres Événements
