#21 - L'intelligence artificielle : les enjeux de l'encadrement légal du RGPD à l'IA Act | Les Causeries Data de Data Ring

Description

Entretien entre France CHARRUYER et Yves Poullet notre invité sur l’IA et son encadrement légal. Éclairage sur les enjeux de l’IA ACT et du RGPD :

Est-ce que tous les principes édictés par le RGPD sont conciliables avec le développement des systèmes d’IA (Données à caractère personnel et données particulières, responsable de traitement - sous-traitant, finalité, consentement…) ?
Quel regard sur la version adoptée de l’IA Act ; réglementation obsolète, cosmétique, novatrice ?
Face à la loi du marché, comment les régulateurs peuvent-ils rester à jour avec les avancées rapides de l'IA pour assurer une protection efficace ?
Ne faut-il pas redéfinir la notion de données personnelles et celle du consentement, de distinguer vie privée et intimité ?
Le contrat social se fonde sur la notion de liberté, de démocratie et de vie privée, quel danger de gouvernementalité algorithmique ?

Yves Poullet

Recteur de l’UNamur, Expert reconnu en protection des données auprès de l'UNESCO, de l'OCDE et du Conseil de l’Europe, plus de 20 ans de recherches sur l'impact de l'IA sur le droit, conférencier international et auteur de publications clés sur les enjeux numériques.

France Charruyer

Présidente de l'association d'intérêt général Data Ring, avocat associé chez ALTIJ, chargée d'enseignements à l'université Paris Dauphine-PSL et Toulouse Business School, déléguée à l'innovation et au numérique de l'Ordre des avocats de Toulouse.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
C'est la rentrée, l'heure pour les étudiants de retrouver Data Ring, association d'intérêt général 1901, qui va décrypter et analyser pour vous, modestement toujours, le rôle de l'intelligence artificielle, du numérique, sur nos sociétés d'aujourd'hui et de demain, nos vies, la nature humaine. notre liberté, cognitive ou pas, mais également la compétitivité de nos territoires et la protection de nos données. Alors il est temps pour les étudiants, les jeunes et moins jeunes, pour les professeurs, pour le Quidam, pour tout individu, tout internaute, de retourner peut-être sur les bancs de l'université virtuelle. Et c'est la raison pour laquelle nous recevons aujourd'hui le professeur Yves Poulet, qui va nous apporter un éclairage sur les principaux défis de la protection des données, mais pas... pas uniquement face à l'essor de l'IA. Et nous allons donc continuer d'explorer l'IA avec ce nouvel épisode des Causeries Data de Data Ring. Alors bonjour Yves, je vous remercie d'avoir accepté d'intervenir avec nous aujourd'hui.
Speaker #1
Bonjour France, très honoré d'être avec vous et en tout cas d'être avec vous parmi les étudiants.
Speaker #0
Alors Yves, vous êtes directeur du CRIT depuis sa création en 79. Vous me corrigerez si je me trompe. Vous avez supervisé beaucoup de recherches dans le domaine des nouvelles technologies, plus particulièrement dans le domaine de la vie privée, des libertés, la société de l'information, d'Internet. Vous êtes professeur à la Faculté de droit de l'UNAMUR et de l'Université de Liège et vous êtes recteur depuis 2010 de l'UNAMUR. Vous avez été pendant 12 ans membre de la Commission de la protection de la vie privée et vous avez fait partie du Legal Advisory Board de Digi-Info-SOC. Vous avez présidé la Commission Accès à l'information. fondateur du Forum européen des télécoms, Eclipse, Virilité, et vous êtes aussi à l'origine de l'Association belge du droit de l'informatique. Vous avez reçu de nombreuses distinctions. Vous êtes expert auprès de l'UNESCO, de l'OCDE, expert également au sein du Conseil de l'Europe, membre de l'Académie royale des sciences, nous sommes très impressionnés, du comité scientifique de la chaire Wilson à Montréal, et nous avons le privilège et l'honneur de vous écouter aujourd'hui. Alors, pourriez-vous nous parler brièvement de votre intérêt ? Parce que ce qui nous intéresse d'abord, c'est la rencontre de l'homme, du parcours professionnel. Pourquoi l'IA ? Pourquoi le numérique, Yves, dans votre parcours professionnel ? Qu'est-ce qui vous a amené à vous intéresser au numérique et aux nouvelles technologies ?
Speaker #1
Alors, peut-être une petite rectification parce que je suis maintenant retraité. J'ai été effectivement recteur, j'ai été effectivement directeur du Centre de recherche informatique, droit et société. Mais voilà, ça fait partie de... De ma vie active et maintenant en tant que retraité, je m'adonne à d'autres passe-temps et dans ces autres passe-temps, effectivement, il y a notamment la participation comme membre de la CCF, la Commission de contrôle des fichiers d'Interpol, qui est une responsabilité extrêmement importante en tout cas à l'heure du déploiement des technologies dans le domaine policier. Je suis également, et ça c'est quelque chose d'important pour moi, vice-président de l'IFAP, qui est un programme de l'UNESCO et qui me permet de rencontrer un certain nombre d'experts de l'ensemble du monde. Ce qui m'intéresse notamment, c'est que dans le cadre de ce vice-président, je m'occupe des questions d'info éthique. Et en particulier, nous avons maintenant mis sur pied pour le prochain Internet Governance Forum un... séminaire sur l'IA générative, ce dont nous allons parler aujourd'hui. En ce qui concerne la raison pour laquelle je suis tombé dans le droit du numérique, c'est-à-dire lorsque j'étais jeune, puisque je commençais lorsque j'avais 23 ans et je commençais simplement comme un assistant dans une faculté de droit où on m'a demandé en tant que jeune de participer à un séminaire qui était organisé par une faculté d'informatique, une des plus jeunes facultés d'informatique d'Europe, la faculté d'informatique de Namur. Donc je me suis retrouvé, je crois que c'est extrêmement important, dans un milieu interdisciplinaire. Nous avions là des économistes, nous avions là des philosophes, nous avions là surtout des informaticiens, et j'étais là un peu comme le juriste. Et donc c'est ainsi que naît mon goût pour le droit du numérique. C'est à partir de là... Tout s'est enchaîné. Un premier projet de loi en 1975 en Belgique sur la protection de la vie privée m'a amené à écrire sur ce point. Les choses s'enchaînent et au fur et à mesure, on explore d'autres points comme à l'heure actuelle la question de la blockchain et l'intelligence artificielle. L'intelligence artificielle m'est apparue comme quelque chose de véritablement plus fondamental. que le reste. Pourquoi ? Parce qu'en matière d'intelligence artificielle, je crois que l'intelligence artificielle de plus en plus conditionne nos activités, nos activités de personnes. Elle permet à toute une série de personnes de prédire notre avenir, de prédire nos comportements. Elle permet bien évidemment de sélectionner l'information en fonction d'un profil qui est le nôtre. Elle permet de déclencher... de détecter la fraude et en particulier la fraude financière ou autre, et elle pose pas mal de problèmes en matière de protection des données. Donc c'est quelque chose qui véritablement m'apparaît comme quelque chose de transversal et posant des questions sur l'ensemble de la société. C'est à cet égard-là, si vous permettez, je continue.
Speaker #0
Vous m'arrêtez quand vous souhaitez. On comprend que c'est un sacerdoce, on comprend que vous êtes passionné, on comprend que vous en avez fait votre vie, c'est ça qui nous intéresse. Alors, pouvez-vous nous expliquer en quoi consiste l'IA générative ? Puisqu'il y a beaucoup de fantasmes. Vous avez indiqué dans votre livre qu'il s'agissait même d'un buzzword, mais que ça pose des questions en termes de gouvernementalité, je reprends vos termes, purement algorithmique de nos sociétés, de nos vies individuelles, ce que vous venez de nous dire. C'est la raison pour laquelle c'est peut-être une des clés de pouvoir dans le monde numérique de demain. Mais... Qu'est-ce que c'est que l'IA générative et pourquoi ça pose des questions et autant de questions juridiques ?
Speaker #1
Donc peut-être simplement commencer par réfléchir sur ce qu'est l'IA. Ce qu'est l'IA, je crois que la définition qui vient d'être acceptée par à la fois le Conseil et d'autre part par le Parlement européen, ainsi sur le fait qu'il s'agit d'un système de machine learning, c'est un point important. parce que ce qui est important, c'est le fait que ça fonctionne de manière plus ou moins autonome. On ne dit pas toujours qu'elle fonctionne de manière totalement autonome, mais en tout cas plus ou moins autonome, ça veut dire quoi ? Ça veut dire qu'il y a des agrégations, des rapprochements de données qui sont faits sans nécessairement le contrôle humain et sans nécessairement la possibilité d'avoir une réflexion sur la causalité logique de ce rapprochement de données. À un moment donné... dire « tiens, la manière dont la personne frappe sur l'ordinateur et la façon dont il fait du surfing indiquent tel type de personnalité » . Donc, a priori, il n'y a pas de lien logique entre ces deux faits. L'autre point, évidemment, c'est que les objectifs de l'IA sont plus ou moins explicités, mais peuvent également être implicités. C'est là qu'on va revenir sur la question de l'IA génératif, parce qu'il pose un problème. et un problème particulier dans les IA traditionnels, la finalité était quand même une finalité explicite. J'utilise un système d'IA, par exemple de reconnaissance des émotions, de manière à pouvoir éventuellement tester un candidat à un emploi. Dans l'IA générative, vous avez l'utilisation de modèles qui peuvent servir véritablement à plein de choses. Si vous prenez un chat GPT, qui est simplement une… un modèle utilisant les ressources de l'IA de façon à pouvoir repérer la signification d'un texte ou d'un langage, vous pouvez l'utiliser dans 36 applications. Vous pouvez l'utiliser bien évidemment dans une application administrative, les chatbots administratifs, de manière à répondre à des questions d'administrés. Vous pouvez aussi l'utiliser… C'est un problème extrêmement délicat. C'est ce qu'on appelle les « companion chatbots » . Vous pouvez l'utiliser dans le cadre d'un dialogue, et d'un dialogue particulier et individualisé avec une personne bien déterminée. Et évidemment, l'application 1 n'est pas l'application 2, et les risques ne sont pas les mêmes. Et donc c'est là que l'IA générative pose problème, c'est que les finalités sont des finalités qui ne sont pas définies a priori. Lorsque Clearview fait un système d'IA de reconnaissance des images, en particulier des personnes et des faces, Cette utilisation de Cleanerview peut être faite soit par une entreprise pour contrôler les entrées à l'intérieur du bâtiment, soit par la police lorsqu'elle est en présence d'une manifestation, ou toute autre chose. Le gros problème, et c'est ça qui va poser une difficulté en particulier par rapport à la protection des données, c'est qu'en matière d'IA générative, il n'y a pas de finalité a priori. Il y a des possibilités d'utilisation à des finalités qui sont extrêmement diverses. C'est là l'intérêt bien évidemment de ce nouveau texte du Parlement européen, qui est une nouvelle version qui est parue le 14 juin de cette année, qui dit qu'il faut réglementer aussi cette IA générative. Alors que bien évidemment jusque-là, le seul IA qui était réglementé était l'IA. avec des objectifs et des objectifs qui d'ailleurs étaient, dans la première version, déterminés par l'humain.
Speaker #0
Est-ce qu'on n'a pas également les problématiques d'anonymisation, de l'impossibilité véritablement de l'anonymisation ?
Speaker #1
Alors ça, c'est un point extrêmement intéressant. Donc là, vous dites, si on appliquait les législations de protection des données, est-ce qu'on ne va pas avoir des difficultés ? Oui, on a effectivement pas mal de difficultés. Tout. La législation en matière de protection des données repose sur la définition de la notion de données à caractère personnel. Dans le cas de l'utilisation de l'IA, vous avez la possibilité, alors même que les données au point de départ sont anonymes, de pouvoir faire des regroupements de données qui permettent de réidentifier la personne. Et donc, à partir de ce moment-là… La notion de données à caractère personnel devient, me semble-t-il, une notion insuffisante pour contrôler, en tout cas, l'IA, y compris l'IA générative.
Speaker #0
Donc il faudrait peut-être recommencer par le début et se poser la question de la définition. Est-ce qu'on n'est pas en train de se tromper avec la réglementation, avec ce focus données personnelles ? Est-ce qu'on ne doit pas revoir les curseurs de protection ? Peut-être pas vers le bas, mais de prendre en compte la distinction entre vie privée et intimité, de réfléchir à une granularité de protection des données selon leur sensibilité. Est-ce qu'on va abandonner la technologie ? Parce que si je suis ce que vous êtes en train de nous dire, l'impossible définition de la finalité, l'impossible anonymisation, donc c'est la transparence. Peut-être même, on n'en a pas parlé, mais l'explicabilité, l'effet black box qui pose problème au-delà des effets de biais, qu'est-ce qu'on doit faire ? Puisqu'on doit d'abord catégoriser et définir, cartographier, qu'est-ce qu'on fait alors de nos données personnelles quand elles sont dans le machin, comme le dit Luc Vullia ?
Speaker #1
Ne jetons pas l'enfant avec le du bain. Je crois qu'effectivement, il y a une réglementation en matière de protection des données qui continue à être intéressante, même si... de l'athlétique sur bien d'autres aspects, notamment son caractère administratif, son caractère extrêmement lourd, cette complexité de la législation. Je ne vais pas entrer dans tous les détails et toutes les réflexions qu'on peut faire.
Speaker #0
On a des entreprises qui sont aujourd'hui complètement démunies. On a l'impression que c'est la loi du marché et de l'innovation qui fait la loi. On a eu une déferlante Tchad GPT avec le pari gagné de Tchad GPT. Celui de faire accepter, voire adopter au plus grand nombre, sans discernement parfois, un usage d'une nouvelle technologie où tout le monde s'amuse, fait des mauvais poèmes ou autre, sans véritablement porter trop d'intérêt à la protection des données et aux risques associés, en pensant qu'il va y avoir de la vérité qui va sortir du machin. Et en fait, ils le disent même dans leurs conditions générales d'utilisation, amusez-vous, mais attention à vos usages professionnels, ce n'est pas là pour dire la vérité. Est-ce qu'il n'y a pas le rôle justement de la... La norme, redonner un sens et une direction, mais de ne pas se tromper, de ne pas trop en attendre de l'IA, comme de ne pas trop en attendre de la régulation. Donc on a des entreprises qui sont perturbées et qui ne sont pas en capacité déjà d'avoir, d'adopter des standards déjà sur des technologies de base qui ne sont pas algorithmiques pour respecter la protection des données. A fortiori, on subit une avalanche de technologies dont on ne comprend pas bien. le fonctionnement dont les finalités ne sont pas très claires, dont on sait qu'in fine on va avoir une explosion, on va être noyé dans un océan de données personnelles qu'on n'est peut-être même pas parfois en capacité de traiter. Que vont faire les entreprises là-dessus ? Est-ce que la solution de facilité, ça ne va pas être de se dire, comme certains nous le proposent, on avance, l'innovation fera le reste, et puis le droit qui a toujours du retard va arriver derrière. Est-ce que là, on n'a pas un autre enjeu ?
Speaker #1
Oui, ou d'autres disent, il faut de temps, à savoir de faire un laboratoire sur le développement de l'innovation, ce qui m'apparaît évidemment, au niveau de l'utopie.
Speaker #0
Ou de l'hypocrisie, puisqu'ils veulent gagner du temps aussi de leur côté.
Speaker #1
Oui, ça, vous faites amuser, on a une personne bien particulière qui ne mérite pas notre respect. Je crois que la réflexion qui est faite par l'Union européenne de ce côté-là m'apparaît intéressante. Maintenant, la question est de savoir comment on va concilier cela avec le RGPD. Mais la réflexion de l'Union européenne, elle est drôlement accentuée depuis… le compromis qui a été accepté par le Parlement européen le 14 juin, c'est de dire principe d'accountability, principe de responsabilité. Celui qui produit ou celui qui utilise professionnellement des outils en matière d'intelligence artificielle a une espèce de devoir et de devoir d'évaluation. Le devoir d'évaluation, c'est un petit peu l'idée de dire, vous faites prendre un risque, et bien avant de faire prendre un risque, c'est-à-dire de mettre sur le marché un outil, vous avez cette obligation de réfléchir, de réfléchir en interne, vous allez me dire quel va être l'instant par rapport à cette entreprise de réflexion en interne, je vais y revenir après, mais vous avez l'obligation de réfléchir en interne sur les risques. Ce qui est intéressant aussi, ce ne sont pas des risques uniquement en matière de protection de la vie privée. Ce n'est pas uniquement. Ce qui est intéressant dans les nouveaux textes, c'est de dire, vous savez, les risques liés à l'IA, ce sont des risques collectifs. La vie privée, c'est une approche individualiste. C'est une approche individualiste qui met l'individu face à un responsable de traitement. Or, si vous pensez au profiling, si vous pensez à l'intelligence artificielle, On ne travaille plus sur des individus, on travaille sur la manière dont des individus appartiennent à des groupes, c'est-à-dire à des groupes dont on ne sait pas très bien quelle est d'ailleurs la composition. Mais c'est toujours le rapprochement d'un cas particulier à un type, qui est un type présent à l'intérieur du big data, qui fait en sorte qu'on va prendre une décision par rapport à la personne, qu'on va éventuellement... une recommandation.
Speaker #0
Outre la problématique de fabrication des consentements et du fait qu'on risque d'abdiquer notre capacité de choisir, la délégation de la faculté de pensée, de choisir, c'est une grande responsabilité de choisir.
Speaker #1
J'aime bien votre réflexion, je vais y arriver tout de suite. Ce que je voulais dire c'est que les risques qui sont pris en charge dans l'IA et l'IA Act dit dorénavant les entreprises doivent Réfléchir là-dessus, c'est des risques individuels, la liberté, la protection des données, c'est des risques collectifs, donc il y a ce qui n'a pas de discrimination, donc il y a ce qui n'a pas atteinte à la justice sociale, et puis c'est des risques collectifs, l'environnement, la question de la démocratie, le problème de la concurrence, etc. C'est à tous ces risques qu'il faut s'attacher. Ce qui m'apparaît être souligné par l'accord du Parlement européen le 14 juin, c'est-à-dire cette évaluation, qui est une évaluation interne à l'entreprise, elle doit être faite avec des experts indépendants et avec des représentants des différents intérêts. Si vous faites un système d'IA, ne serait-ce que pour pouvoir éventuellement évaluer votre personnel, vous devez éventuellement demander aux représentants du personnel d'être présents lors des discussions, si vous faites quelque chose relativement. consommateurs, il y a des associations de consommateurs, il y a des associations de liberté civile, etc. C'est une préoccupation qui m'apparaît intéressante. Pourquoi ? Parce qu'elle introduit l'idée d'une délégation à l'entreprise et d'une délégation qui doit être fondée sur une réflexion inclusive de l'ensemble des personnes intéressées. C'est un point qui m'apparaît vraiment important dans cette nouvelle approche. qui n'est pas du tout la même approche que l'RGPD, même s'il est clair qu'en matière de protection donnée, la réflexion évidemment est extrêmement importante, les risques en matière de protection donnée sont bien présents.
Speaker #0
Quelle faisabilité de l'approche par les risques, en fait ? Déjà qu'on a du mal à le faire dans le RGPD classique, de manière opérationnelle. Comment je vais apprécier les risques de dommages en fonction de leur réalité ? Mais est-ce que c'est si simple que ça ? Il y a beaucoup d'exceptions dans les textes.
Speaker #1
Ce n'est pas du tout ça. La chose que nous demandent, c'est qu'elle soit faite, qu'une évaluation sérieuse soit faite. Alors cette évaluation sérieuse, elle est malgré tout... soumise à une espèce de regard externe, puisque vous avez des autorités, qui sont les Notifying Authorities, qui sont chargées bien évidemment de voir dans quelle mesure cette espèce de Quality Management System, c'est-à-dire cette évaluation, a été faite conformément aux principes de l'IAC. Donc il y a quand même ce regard extérieur. Il y a aussi, ça c'est la volonté de l'Europe, de dire dorénavant on va essayer de multiplier les standards de façon à ce qu' il y ait des standards qui existent en matière de modèle de langage et en matière de un de modèle éventuellement de connaissance de reconnaissance vocale que sais-je mais on va utiliser un certain nombre de deux standards et ses standards de nouveau l'europe dit il faudrait pour bien faire que on prennent en compte l'ensemble des dimensions, l'ensemble des risques. Donc, il y a une volonté, une certaine qualité de collectivisation, de l'évaluation qui m'a paru intéressante en disant que c'est encore l'entreprise qui reste évidemment la première responsable. Je ne dis pas que tout ça est parfait, mais en tout cas, c'est une autre manière, cette approche par les risques, c'est une autre manière de faire qu'une approche par les concepts. telle que ça a été fait dans le cadre du RGPD.
Speaker #0
Alors on a Jean-Gabriel Ganassia qui a beaucoup écrit sur la question et qui pose la question de l'éthique et de la protection de l'intimité et de la vie privée, des compromis nécessaires. De quelles frontières va-t-on pouvoir avoir entre réparation et augmentation, le risque de fracture sociale, entre liberté également et responsabilité ? Qu'est-ce que vous en pensez ?
Speaker #1
J'aime bien la réflexion parce que... Je crois qu'effectivement, le droit à l'intimité est sans doute une réflexion qui est totalement dans le RGPD. Si vous vous souvenez peut-être également du fameux RNS, le réseau numérique d'intégration de services qui a précédé Internet, vous aviez des possibilités de vous déconnecter. C'est-à-dire qu'à ce moment-là, vous êtes certain que plus rien n'entre à l'intérieur de votre terminal et que plus rien n'en sort. Cette notion d'intimité m'apparaît, ce droit à l'intimité m'apparaît encore plus vital à l'heure actuelle que hier. Vous avez de manière tout à fait judicieuse insisté aussi sur le problème du droit Ausha. Le droit Ausha existe-t-il lorsque, par définition, vous n'avez plus aucune possibilité que de faire, que d'accepter des cookies ? que de vous faire profiler et bien évidemment, à partir de ce moment-là, peut-on encore parler d'un consentement ? Alors, le RGPD donne un certain nombre d'exigences au niveau du consentement. Je me pose la question de savoir combien de consentements répondent aux exigences du RGPD. Et là également, je crois que de plus en plus, il va falloir travailler de manière, sur des consentements collectifs. Je me souviens de cette expérience qui avait été faite au Canada à propos de Facebook, où la commissaire à la protection des données, Jennifer Stoddard, a dit « vous savez, le consentement que Facebook demande, les gens n'ont pas la possibilité de faire un vrai consentement, ils n'ont pas la possibilité de réfléchir aux conséquences qu'il y a avec l'IA, étant donné la complexité, étant donné l'opacité du fonctionnement de l'IA, c'est encore plus important. » puisqu'ils n'ont pas la possibilité de faire ce véritable choix. La seule manière de travailler, c'est de travailler avec des associations de consommateurs, avec le commissariat à la protection des données, et bien évidemment négocier avec Facebook. Et je crois qu'on doit travailler dans ce sens-là. L'approche collective m'apparaît comme quelque chose d'absolument essentiel. L'autre point, et on le voit de plus en plus se dessiner, c'est effectivement la réglementation. En Belgique, nous avons notamment noté il n'y a pas longtemps une interdiction pour les assureurs d'utiliser les données génétiques. Je crois que c'est quelque chose d'absolument important. Les interdictions, a priori, sont presque, quelquefois, vitales.
Speaker #0
On voit que sur la Coupe du Monde, notamment de rugby, ou pas que de rugby d'ailleurs, à l'aune des Jeux Olympiques, les données des sportifs font l'objet de beaucoup de convoitises. Et on a un peu l'impression que c'est un bac à sable. Je ne dirais pas des cobayes, mais je sais que selon les réglementations, vous avez des entreprises qui proposent des kits. de prédictabilité des problématiques en utilisant le profilage génétique, ce qui est extrêmement dangereux. Et il y a une inégalité de la réglementation avec une disparité. Il y a des pays plus ou moins, entre guillemets, accueillants en termes de données médicales. Et là, on a des risques d'exclusion dans certains pays. Qu'est-ce que ça veut dire que la performance ? Est-ce qu'on est prêt à tout sacrifier pour de la performance ? Est-ce qu'on est prêt à tout sacrifier pour prévoir ? Donc cette notion de capacité de choisir, je pense qu'elle est effectivement centrale, puisqu'on est en train de glisser doucement dans une espèce de servilité, mais ça, on l'a écrit depuis très longtemps. Est-ce qu'on ne va pas vers autre chose derrière cela ? Est-ce qu'on n'est pas en train de nous éduquer à être des moutons, c'est-à-dire nous dire, vous allez être très heureux, vous allez voir. Vous allez être très heureux. Tous les moutons marchent ensemble, mais tous n'ont pas le même prix. C'est toujours pareil. Donc vous allez être heureux avec une espèce de consensus mou. Donc moi, la question centrale, qu'est-ce que ça veut dire de consentir ? Est-ce que le consentement, ce n'est pas quelque chose qui se travaille ?
Speaker #1
D'abord, je vais garder historiquement. Je me suis rendu compte que le consentement est un concept qui vient relativement tard en matière de protection des données, dans la mesure où ce sont les Allemands qui l'ont introduit, en particulier en 1995, lors de... de l'adoption de la directive européenne en matière de protection des données. Je me pose la question de savoir si c'est encore quelque chose qui, effectivement, est important. Je crois que c'est important dans un certain nombre de cas qu'il y ait un consentement, mais qu'à ce moment-là, ce soit un vrai consentement. Mais quand vous voyez les conséquences qu'un consentement peut avoir par rapport à d'autres, je donne un exemple, parce que celui-là… J'ai mon assureur qui me dit « Monsieur le coulée, vous avez Phil comme étant un excellent conducteur, est-ce que vous nous permettez de mettre un certain nombre de capteurs dans votre voiture de manière à ce que nous puissions prendre un certain nombre de données sur votre façon de conduire et cela aboutira à évidemment une réduction de vos primes qui vous avantage pas ? » Il est clair que mon choix… personnel et individuel, risque, si je ne prends en compte que mon intérêt, d'être positif. Là derrière se pose la question de savoir quelle est la conséquence que tout cela va avoir par rapport à d'autres personnes, par rapport à d'autres personnes qu'en anglais assuré, qui bien évidemment, soit ne souhaiteront pas, ils seront considérés comme suspects, soit diront qu'il n'y a pas de question, je préfère évidemment ne pas… ne pas être suivi de façon de façon continue donc il y avait un article récent que j'aime beaucoup sur la double face de la notion d'autonomie l'autonomie ça n'est pas purement une décision individuelle c'est une décision individuelle avec des répercussions sur autrui et dès lors cette externalité du consentement devrait être prise en compte une réflexion J'ai écrit beaucoup sur cette notion de consentement et sur les limites du consentement. Je crois qu'il est plus que temps de revenir sur ce sujet.
Speaker #0
Est-ce que les algorithmes ne vont-ils pas être gouvernés par la loi du marché, in fine ?
Speaker #1
Ce qui est certain, c'est que pour le moment, les génératifs AI sont des produits américains. Ce produit américain, on commence à voir quelques produits chinois qui débarquent. De nouveau, on se pose la question de savoir où est l'Europe. L'Open AI est un produit Microsoft, Dell E est un produit, Bart sont des produits Google, et Amazon annonce effectivement aussi bientôt un générateur d'AI. Donc, lorsque l'Europe souhaite contrôler, gouverner...
Speaker #0
Les systèmes AI, on voit bien évidemment toutes les limites que cela peut avoir. C'est clair que la régulation AI est une régulation qui a des effets extraterritoriaux, puisque c'est applicable à tout AI qui est présent sur le marché européen. Mais est-ce que pour autant, l'Europe sera en mesure de négocier ce qui est développé par le marché américain, d'autant que Biden l'a répété ? Les États-Unis souhaitent bien évidemment travailler sur un modèle qui est un modèle beaucoup plus de co-régulation avec les grosses entreprises et de garder ainsi le leadership en matière d'EI. Donc voilà un petit peu le défi auquel l'Europe se lance. Est-ce qu'on peut réguler le marché contre la volonté des personnes qui sont plénipotentielles sur ce marché ? C'est le... C'est le pari que Trump fait sur le DMA, Digital Market Act. C'est le pari qu'il fait sur le DSA. C'est le pari qu'il fait en matière d'intelligence artificielle. Est-ce qu'il l'a gagné dans le cadre du RGPD ? Oui, les autorités de protection de données disent oui. Regardez, on a encore condamné Google, on a encore condamné Facebook. On n'est pas certain que les pratiques de Google et de Facebook ont été pour un moment... profondément modifié. Voilà, donc c'est pas certain que l'on puisse l'emporter. Le modèle européen qui repose quand même sur une responsabilisation des entreprises m'apparaît un bon modèle, mais à quelle mesure les outils de contrôle que l'Europe met à travers la standardisation, à travers ses autorités de notification, ses autorités de supervision, suffiront certainement.
Speaker #1
En fait, c'est toujours l'éternelle question, c'est est-ce que c'est la peur du gendarme ou est-ce que c'est la volonté d'être un acteur de confiance ? Un acteur de confiance, l'internaute, le consommateur moyen, à un moment donné, il réfléchit à la gravité des répercussions de ses traces numériques. Les traces numériques disent beaucoup de nous, parfois même ce que nous ignorons, elles disent beaucoup de nos enfants, elles disent beaucoup de notre cellule familiale, sans même que nous n'en ayons complètement conscience. Donc ça viendra peut-être des exigences des consommateurs qui vont peut-être vouloir être un peu moins transparents, mais ça sera peut-être réservé, hélas à quelques happy few. Moi ma crainte c'est qu'on évolue vers une société d'exclusion complète. C'est le grand risque. L'opacité pour certains, la transparence pour ceux qui ne seront pas en capacité de refuser ou de contrer la pression qui sera faite par un assureur, par un employeur. parce que c'est toujours très, très intrusif. Donc, c'est comment on va se positionner, outre la fameuse insidieuse fabrication des consentements, parce que personne ne veut renoncer aux friandises tendues par les GAFAM. Et donc, la question qui arrive derrière, c'est avec les casques que nous promet dans le bonheur technologique promu par Elon Musk, notamment, les fameux casques connectés. où on va collecter nos données subconscientes, est-ce que là on n'est pas peut-être en train d'aller trop loin ? Parce que, en tant que juriste, parce que nous on est là en tant que juriste, comment je vais rédiger des politiques d'information pour assurer la protection de données dont je n'ai même pas conscience, alors que la façon dont je fonctionne à 80% est déterminée par ce que je ne connais pas de moi ? Est-ce qu'on n'est pas en train de se tromper de frontière ?
Speaker #0
Vous avez 100 fois raison, je crois qu'on est en train, me semble-t-il, à travers... comme vous dites, des friandises, c'est-à-dire des gains immédiats en termes de facilité, éventuellement de possibilités, notamment en matière d'utilisation des génératifs AI pour pouvoir éventuellement faire des œuvres artistiques. On est en train de se livrer, puisque bien évidemment, derrière cette utilisation de génératifs AI et de l'intérêt que ça peut avoir... l'étudiant qui fait rédiger son mémoire ou éventuellement l'avocat qui fait rédiger sa prédoire.
Speaker #1
Assez risque et péril.
Speaker #0
Tout à fait, c'est un autre point. Par cas de l'épidémie, il n'y a rien à faire. C'est un avantage immédiat. Derrière ça se capte bien évidemment une possibilité pour ces sociétés de capter un certain nombre de données. Alors, est-ce qu'on peut appeler ça de l'exploitation de vulnérabilité ? Et donc à partir de ce moment-là... Et à Acte, il y a toute une série de réflexions et d'interdictions par rapport aux entreprises qui exploitent la vulnérabilité de quelqu'un. de personnes, c'est notamment le cas dans les Ausha de compagnons. Je ne sais pas si vous voyez.
Speaker #1
Oui, tout à fait. Le fameux film Her.
Speaker #0
Tout à fait. Vous avez, que ce soit Chai ou autre, qui vous disent, nous allons prendre soin de vous, nous vous aimons, nous allons vous suivre, nous allons vous dire ce qu'il faut faire, etc. Et puis, je suppose que vous connaissez ce fameux cas en Belgique, où un ingénieur... qui n'était conduite pas cette conversation addictive carrément au suicide. On se rend bien compte effectivement du danger que peut présenter la manipulation des gens à travers ces outils.
Speaker #1
Mais alors est-ce que finalement le philosophe Gunther Anders en 1956, lorsqu'il parle de l'obsolescence de l'homme, est-ce que ce n'est pas lui le précurseur ? Est-ce qu'on n'est pas face à une... La révolution peut être algorithmique ou pas, mais finalement la problématique c'est l'homme, ça restera l'homme. Et est-ce que finalement on n'est pas en train de clôturer un chapitre ?
Speaker #0
J'espère en tout cas que la gouvernementalité ne sera pas purement algorithmique.
Speaker #1
On va se battre Yves, on est d'accord, on va se battre.
Speaker #0
On va se battre, mais je crois qu'il faut le faire dans les lieux même où se discutent les développements de... d'intelligence artificielle. J'étais étonné parce que les chercheurs en Belgique faisaient une réunion sur l'intelligence artificielle, où ils présentaient leurs merveilleux produits d'intelligence artificielle. Trois des conférenciers, ils étaient six, donc la moitié, se sont tournés vers le régulateur en disant S'il vous plaît, intervenez. Nous nous rendons compte que nous ne sommes pas à même de décider. Il est temps que nous ayons des balises.
Speaker #1
Il est temps qu'on fasse appel à une vraie supervision humaine. Alors, comment est-ce que vous voyez, pour terminer, l'évolution du cadre juridique pour les prochaines années ? Qu'est-ce qu'on va faire ? Est-ce qu'il ne s'agirait pas d'être un peu plus pragmatique, plus simple, et de dire, voilà, il faut que ça soit explicable, il faut que ça soit transparent, il faut que ce soit accepté ? etc. Vous êtes responsable, vous gérez votre risque, c'est une chose. Mais il y a effectivement des frontières inacceptables qu'on ne traversera pas, gravées dans le marbre. Et puis il y a surtout la façon dont nous, en tant qu'individus, on va interagir demain avec les robots, demain avec des consciences, avec les morts qui seront peut-être toujours en train de nous parler. La mort numérique, c'est aussi des enjeux dont on parlera sur un autre podcast. Donc c'est volonté de toujours se dépasser. Est-ce qu'il ne faut pas qu'on se calme un petit peu et qu'on remette les garde-fous à l'ancienne ? Dieu, ce n'est pas l'algorithme. Encore une fois, Luc Julia dit même que ça n'existe pas, mais que le machin ne va pas nous dépasser. Mais c'est peut-être nous qui devons nos appétits, nos appétits qu'il va falloir réguler. Donc qu'est-ce qu'on peut faire ? Quelles seraient vos propositions concrètement ? Si vous aviez une baguette magique ?
Speaker #0
Je me suis dit en lisant, autant j'étais extrêmement dubitatif et même un peu triste du premier acte, autant je trouve que la réflexion du Parlement européen a été menée de façon, me semble-t-il, intéressante et donne des possibilités de réflexion. et d'actions réglementaires. Il y a d'abord l'affirmation dans laquelle il y a cette obligation de respecter un certain nombre de principes, le principe de la privé, le principe de la sécurité, le principe, vous connaissez les fameux sept principes qui avaient été énoncés par le groupe qui s'occupait de l'éthique et qui avait été nommé par… la Commission européenne, mais tout d'un coup, voilà, il se retrouve à l'intérieur du texte. Donc, c'est un premier point, il y a cette obligation. Et un deuxième point, je l'ai dit tout à l'heure, une obligation d'évaluation. Cette obligation d'évaluation, qui est une obligation d'évaluation pas uniquement formelle, mais une obligation d'évaluation avec un certain nombre de partenaires externes, m'apparaît comme quelque chose d'extrêmement intéressant. C'est peut-être intéressant de voir aussi. Cette obligation, elle n'est maintenant faite pas simplement à ceux qui développent les systèmes d'intelligence artificielle, mais surtout par les entreprises qui l'utilisent. En disant que les deployers, comme on appelle ça dans le jardin du Parlement européen, sont l'obligation de participer à cette évaluation, l'obligation de faire cette évaluation. Donc, ces deux points, il y a évidemment, me semble-t-il, également cette réflexion sur le fait qu'il y a un certain nombre de choses qui sont interdites. Alors, est-ce que c'est suffisant ? On voit bien qu'il y a des lobbies qui s'agissent de partout. On est là, oh là là, attention, au niveau de l'utilisation de données biométriques, vous avez été trop loin, etc. Mais il y a, me semble-t-il, une réflexion sur des choses qui doivent être interdites. Et alors, ce que je trouve intéressant dans la dernière proposition, c'est le fait qu'il y a dorénavant une espèce d'office en technologie assessment. Au niveau européen, la création d'un advisory board qui doit réfléchir et rendre des rapports publics et éventuellement conseiller l'Union européenne sur les enjeux d'un certain nombre d'outils d'IA. Donc il y a cette réflexion qui doit être une réflexion publique au niveau macro, plus cette réflexion qui est, on en parlait avant, une réflexion au niveau des entreprises qui utilisent des systèmes IA. Mais cette réflexion macro me paraît également quelque chose d'important. Voilà, maintenant, ce n'est pas parfait. On voit bien que les pays qui nous entourent adoptent, les États-Unis sont pour un modèle d'autorégulation avec simplement des obligations d'assessment interne. La Chine vient de sortir un texte réglementaire. Un texte réglementaire qui va assez loin. J'étais assez étonné de voir ce texte, même s'il commence par dire qu'il doit être au service de la société communiste chinoise. Mais pour le reste, il y a quand même une certaine limite, notamment en matière de protection des mineurs, qui sont intéressantes. Voilà, donc ne perdons pas espoir sur la possibilité pour la réglementation, mais pas une réglementation… contraignantes ou tout viendrait d'un contrôle de l'État, mais une réglementation qui est plus une fixation de balises et qui renvoie à cette démarche éthique, à savoir cette obligation pour les entreprises de se poser des questions en ce qui concerne leur respect d'un certain nombre de principes, qui sont des principes éthiques.
Speaker #1
Et oui, j'aime bien votre idée de droit souple finalement, mais être focus et ferme sur l'essentiel, en n'oubliant jamais que... L'État doit être transparent et l'individu opaque et pas l'inverse. Donc je tenais véritablement à vous remercier. Donc il s'agit, vous avez bien entendu Yves Poulet, c'était Franche Charvelier pour Data Ring. Il s'agit de construire une intelligence artificielle pour le bien. Et encore au-dessus, il faut s'entendre sur la définition du mot bien. Et donc que représente l'IA pour notre futur ? Quel futur allons-nous façonner pour nos enfants, pour les générations à venir ? S'intéresser aussi à la nature dont rien d'absolu ne nous sépare. Donc peut-être aussi de revenir aux fondamentaux et au réel. Donc c'était Franche Charmier pour Data Ring. Et puis merci Yves de ce moment partagé, parce que l'altérité, c'est ce qui nous rendra définitivement meilleurs. Et on va essayer d'avancer et de se battre tous ensemble.
Speaker #0
Merci d'avoir donné écho à mes réflexions.
Speaker #1
Elles sont très belles vos réflexions et on a envie d'en entendre encore davantage. Merci beaucoup et à bientôt pour de nouveaux épisodes de Data Ring. Et nous allons... finalement continuer notre série sur l'intelligence artificielle avec d'autres auteurs, d'autres professeurs. Et puis nous allons tous essayer de comprendre ce qui se passe en ce moment et d'y participer parce qu'on améliore bien que ce qu'on est en capacité de mesurer. Au revoir et à bientôt.

Chapters

Introduction
0sec
Nouvel épisode des Causeries Data
50sec
Qui est le Professeur Yves POULLET ?
1min
Parcours professionnel
2min
Pourquoi le droit du numérique ?
3min
Pourquoi l'IA ?
5min
En quoi consiste l'IA Générative ?
6min
Le problème de l'anonymisation
11min
Le problème de définition
12min
Les difficultés pour les entreprises
13min
La réflexion de l'UE : le principe d'accountability
15min
La fabrication du consentement et l'atteinte aux libertés
17min
Les difficultés de l'approche par les risques
19min
Éthique de l'IA : droit à l'intimité et droit au choix
21min
La tentation autour des données génétiques
25min
Le consentement
26min
La gouvernance du marché
28min
La place du consommateur
31min
Le problème de la frontière entre conscient et inconscient
32min
L'obsolescence de l'homme ?
35min
Quelles évolutions du cadre juridique dans les années à venir ?
36min
Conclusion
42min

About Les Causeries Data de Data Ring

Les « Causeries Data » ne sont pas qu’un podcast, c’est une parenthèse proposée par l’association Data Ring pour défendre les cultures numériques et les libertés publiques fondamentales.

Face à la mise en données d’un monde qui bouscule nos habitudes, nos fonctionnements et notre mémoire collective : comment remettre de la symétrie dans les usages et promouvoir un libre droit à l’autodétermination informationnelle pour les générations à venir et chacun d’entre nous.

Les débats croisés de nos intervenants proposent une réflexion sur la cohabitation de l’humain, des communautés et du numérique dans un monde qui se fragmente.

C'est un lieu de rencontre où l’on se croise, où l’on échange et où on prend le temps de l’altérité, de l’écoute et du sens.

Conçu et animé par France Charruyer, avocat associé en IP / IT, DATA de la Societe d’avocats ALTIJ, DPO, elle enseigne également à l'université Paris Dauphine et est la présidente de notre association DATA RING.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Les Causeries Data de Data Ring

Les « Causeries Data » ne sont pas qu’un podcast, c’est une parenthèse proposée par l’association Data Ring pour défendre les cultures numériques et les libertés publiques fondamentales.

Les débats croisés de nos intervenants proposent une réflexion sur la cohabitation de l’humain, des communautés et du numérique dans un monde qui se fragmente.

C'est un lieu de rencontre où l’on se croise, où l’on échange et où on prend le temps de l’altérité, de l’écoute et du sens.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Entretien entre France CHARRUYER et Yves Poullet notre invité sur l’IA et son encadrement légal. Éclairage sur les enjeux de l’IA ACT et du RGPD :

Est-ce que tous les principes édictés par le RGPD sont conciliables avec le développement des systèmes d’IA (Données à caractère personnel et données particulières, responsable de traitement - sous-traitant, finalité, consentement…) ?
Quel regard sur la version adoptée de l’IA Act ; réglementation obsolète, cosmétique, novatrice ?
Face à la loi du marché, comment les régulateurs peuvent-ils rester à jour avec les avancées rapides de l'IA pour assurer une protection efficace ?
Ne faut-il pas redéfinir la notion de données personnelles et celle du consentement, de distinguer vie privée et intimité ?
Le contrat social se fonde sur la notion de liberté, de démocratie et de vie privée, quel danger de gouvernementalité algorithmique ?

Yves Poullet

France Charruyer

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
C'est la rentrée, l'heure pour les étudiants de retrouver Data Ring, association d'intérêt général 1901, qui va décrypter et analyser pour vous, modestement toujours, le rôle de l'intelligence artificielle, du numérique, sur nos sociétés d'aujourd'hui et de demain, nos vies, la nature humaine. notre liberté, cognitive ou pas, mais également la compétitivité de nos territoires et la protection de nos données. Alors il est temps pour les étudiants, les jeunes et moins jeunes, pour les professeurs, pour le Quidam, pour tout individu, tout internaute, de retourner peut-être sur les bancs de l'université virtuelle. Et c'est la raison pour laquelle nous recevons aujourd'hui le professeur Yves Poulet, qui va nous apporter un éclairage sur les principaux défis de la protection des données, mais pas... pas uniquement face à l'essor de l'IA. Et nous allons donc continuer d'explorer l'IA avec ce nouvel épisode des Causeries Data de Data Ring. Alors bonjour Yves, je vous remercie d'avoir accepté d'intervenir avec nous aujourd'hui.
Speaker #1
Bonjour France, très honoré d'être avec vous et en tout cas d'être avec vous parmi les étudiants.
Speaker #0
Alors Yves, vous êtes directeur du CRIT depuis sa création en 79. Vous me corrigerez si je me trompe. Vous avez supervisé beaucoup de recherches dans le domaine des nouvelles technologies, plus particulièrement dans le domaine de la vie privée, des libertés, la société de l'information, d'Internet. Vous êtes professeur à la Faculté de droit de l'UNAMUR et de l'Université de Liège et vous êtes recteur depuis 2010 de l'UNAMUR. Vous avez été pendant 12 ans membre de la Commission de la protection de la vie privée et vous avez fait partie du Legal Advisory Board de Digi-Info-SOC. Vous avez présidé la Commission Accès à l'information. fondateur du Forum européen des télécoms, Eclipse, Virilité, et vous êtes aussi à l'origine de l'Association belge du droit de l'informatique. Vous avez reçu de nombreuses distinctions. Vous êtes expert auprès de l'UNESCO, de l'OCDE, expert également au sein du Conseil de l'Europe, membre de l'Académie royale des sciences, nous sommes très impressionnés, du comité scientifique de la chaire Wilson à Montréal, et nous avons le privilège et l'honneur de vous écouter aujourd'hui. Alors, pourriez-vous nous parler brièvement de votre intérêt ? Parce que ce qui nous intéresse d'abord, c'est la rencontre de l'homme, du parcours professionnel. Pourquoi l'IA ? Pourquoi le numérique, Yves, dans votre parcours professionnel ? Qu'est-ce qui vous a amené à vous intéresser au numérique et aux nouvelles technologies ?
Speaker #1
Alors, peut-être une petite rectification parce que je suis maintenant retraité. J'ai été effectivement recteur, j'ai été effectivement directeur du Centre de recherche informatique, droit et société. Mais voilà, ça fait partie de... De ma vie active et maintenant en tant que retraité, je m'adonne à d'autres passe-temps et dans ces autres passe-temps, effectivement, il y a notamment la participation comme membre de la CCF, la Commission de contrôle des fichiers d'Interpol, qui est une responsabilité extrêmement importante en tout cas à l'heure du déploiement des technologies dans le domaine policier. Je suis également, et ça c'est quelque chose d'important pour moi, vice-président de l'IFAP, qui est un programme de l'UNESCO et qui me permet de rencontrer un certain nombre d'experts de l'ensemble du monde. Ce qui m'intéresse notamment, c'est que dans le cadre de ce vice-président, je m'occupe des questions d'info éthique. Et en particulier, nous avons maintenant mis sur pied pour le prochain Internet Governance Forum un... séminaire sur l'IA générative, ce dont nous allons parler aujourd'hui. En ce qui concerne la raison pour laquelle je suis tombé dans le droit du numérique, c'est-à-dire lorsque j'étais jeune, puisque je commençais lorsque j'avais 23 ans et je commençais simplement comme un assistant dans une faculté de droit où on m'a demandé en tant que jeune de participer à un séminaire qui était organisé par une faculté d'informatique, une des plus jeunes facultés d'informatique d'Europe, la faculté d'informatique de Namur. Donc je me suis retrouvé, je crois que c'est extrêmement important, dans un milieu interdisciplinaire. Nous avions là des économistes, nous avions là des philosophes, nous avions là surtout des informaticiens, et j'étais là un peu comme le juriste. Et donc c'est ainsi que naît mon goût pour le droit du numérique. C'est à partir de là... Tout s'est enchaîné. Un premier projet de loi en 1975 en Belgique sur la protection de la vie privée m'a amené à écrire sur ce point. Les choses s'enchaînent et au fur et à mesure, on explore d'autres points comme à l'heure actuelle la question de la blockchain et l'intelligence artificielle. L'intelligence artificielle m'est apparue comme quelque chose de véritablement plus fondamental. que le reste. Pourquoi ? Parce qu'en matière d'intelligence artificielle, je crois que l'intelligence artificielle de plus en plus conditionne nos activités, nos activités de personnes. Elle permet à toute une série de personnes de prédire notre avenir, de prédire nos comportements. Elle permet bien évidemment de sélectionner l'information en fonction d'un profil qui est le nôtre. Elle permet de déclencher... de détecter la fraude et en particulier la fraude financière ou autre, et elle pose pas mal de problèmes en matière de protection des données. Donc c'est quelque chose qui véritablement m'apparaît comme quelque chose de transversal et posant des questions sur l'ensemble de la société. C'est à cet égard-là, si vous permettez, je continue.
Speaker #0
Vous m'arrêtez quand vous souhaitez. On comprend que c'est un sacerdoce, on comprend que vous êtes passionné, on comprend que vous en avez fait votre vie, c'est ça qui nous intéresse. Alors, pouvez-vous nous expliquer en quoi consiste l'IA générative ? Puisqu'il y a beaucoup de fantasmes. Vous avez indiqué dans votre livre qu'il s'agissait même d'un buzzword, mais que ça pose des questions en termes de gouvernementalité, je reprends vos termes, purement algorithmique de nos sociétés, de nos vies individuelles, ce que vous venez de nous dire. C'est la raison pour laquelle c'est peut-être une des clés de pouvoir dans le monde numérique de demain. Mais... Qu'est-ce que c'est que l'IA générative et pourquoi ça pose des questions et autant de questions juridiques ?
Speaker #1
Donc peut-être simplement commencer par réfléchir sur ce qu'est l'IA. Ce qu'est l'IA, je crois que la définition qui vient d'être acceptée par à la fois le Conseil et d'autre part par le Parlement européen, ainsi sur le fait qu'il s'agit d'un système de machine learning, c'est un point important. parce que ce qui est important, c'est le fait que ça fonctionne de manière plus ou moins autonome. On ne dit pas toujours qu'elle fonctionne de manière totalement autonome, mais en tout cas plus ou moins autonome, ça veut dire quoi ? Ça veut dire qu'il y a des agrégations, des rapprochements de données qui sont faits sans nécessairement le contrôle humain et sans nécessairement la possibilité d'avoir une réflexion sur la causalité logique de ce rapprochement de données. À un moment donné... dire « tiens, la manière dont la personne frappe sur l'ordinateur et la façon dont il fait du surfing indiquent tel type de personnalité » . Donc, a priori, il n'y a pas de lien logique entre ces deux faits. L'autre point, évidemment, c'est que les objectifs de l'IA sont plus ou moins explicités, mais peuvent également être implicités. C'est là qu'on va revenir sur la question de l'IA génératif, parce qu'il pose un problème. et un problème particulier dans les IA traditionnels, la finalité était quand même une finalité explicite. J'utilise un système d'IA, par exemple de reconnaissance des émotions, de manière à pouvoir éventuellement tester un candidat à un emploi. Dans l'IA générative, vous avez l'utilisation de modèles qui peuvent servir véritablement à plein de choses. Si vous prenez un chat GPT, qui est simplement une… un modèle utilisant les ressources de l'IA de façon à pouvoir repérer la signification d'un texte ou d'un langage, vous pouvez l'utiliser dans 36 applications. Vous pouvez l'utiliser bien évidemment dans une application administrative, les chatbots administratifs, de manière à répondre à des questions d'administrés. Vous pouvez aussi l'utiliser… C'est un problème extrêmement délicat. C'est ce qu'on appelle les « companion chatbots » . Vous pouvez l'utiliser dans le cadre d'un dialogue, et d'un dialogue particulier et individualisé avec une personne bien déterminée. Et évidemment, l'application 1 n'est pas l'application 2, et les risques ne sont pas les mêmes. Et donc c'est là que l'IA générative pose problème, c'est que les finalités sont des finalités qui ne sont pas définies a priori. Lorsque Clearview fait un système d'IA de reconnaissance des images, en particulier des personnes et des faces, Cette utilisation de Cleanerview peut être faite soit par une entreprise pour contrôler les entrées à l'intérieur du bâtiment, soit par la police lorsqu'elle est en présence d'une manifestation, ou toute autre chose. Le gros problème, et c'est ça qui va poser une difficulté en particulier par rapport à la protection des données, c'est qu'en matière d'IA générative, il n'y a pas de finalité a priori. Il y a des possibilités d'utilisation à des finalités qui sont extrêmement diverses. C'est là l'intérêt bien évidemment de ce nouveau texte du Parlement européen, qui est une nouvelle version qui est parue le 14 juin de cette année, qui dit qu'il faut réglementer aussi cette IA générative. Alors que bien évidemment jusque-là, le seul IA qui était réglementé était l'IA. avec des objectifs et des objectifs qui d'ailleurs étaient, dans la première version, déterminés par l'humain.
Speaker #0
Est-ce qu'on n'a pas également les problématiques d'anonymisation, de l'impossibilité véritablement de l'anonymisation ?
Speaker #1
Alors ça, c'est un point extrêmement intéressant. Donc là, vous dites, si on appliquait les législations de protection des données, est-ce qu'on ne va pas avoir des difficultés ? Oui, on a effectivement pas mal de difficultés. Tout. La législation en matière de protection des données repose sur la définition de la notion de données à caractère personnel. Dans le cas de l'utilisation de l'IA, vous avez la possibilité, alors même que les données au point de départ sont anonymes, de pouvoir faire des regroupements de données qui permettent de réidentifier la personne. Et donc, à partir de ce moment-là… La notion de données à caractère personnel devient, me semble-t-il, une notion insuffisante pour contrôler, en tout cas, l'IA, y compris l'IA générative.
Speaker #0
Donc il faudrait peut-être recommencer par le début et se poser la question de la définition. Est-ce qu'on n'est pas en train de se tromper avec la réglementation, avec ce focus données personnelles ? Est-ce qu'on ne doit pas revoir les curseurs de protection ? Peut-être pas vers le bas, mais de prendre en compte la distinction entre vie privée et intimité, de réfléchir à une granularité de protection des données selon leur sensibilité. Est-ce qu'on va abandonner la technologie ? Parce que si je suis ce que vous êtes en train de nous dire, l'impossible définition de la finalité, l'impossible anonymisation, donc c'est la transparence. Peut-être même, on n'en a pas parlé, mais l'explicabilité, l'effet black box qui pose problème au-delà des effets de biais, qu'est-ce qu'on doit faire ? Puisqu'on doit d'abord catégoriser et définir, cartographier, qu'est-ce qu'on fait alors de nos données personnelles quand elles sont dans le machin, comme le dit Luc Vullia ?
Speaker #1
Ne jetons pas l'enfant avec le du bain. Je crois qu'effectivement, il y a une réglementation en matière de protection des données qui continue à être intéressante, même si... de l'athlétique sur bien d'autres aspects, notamment son caractère administratif, son caractère extrêmement lourd, cette complexité de la législation. Je ne vais pas entrer dans tous les détails et toutes les réflexions qu'on peut faire.
Speaker #0
On a des entreprises qui sont aujourd'hui complètement démunies. On a l'impression que c'est la loi du marché et de l'innovation qui fait la loi. On a eu une déferlante Tchad GPT avec le pari gagné de Tchad GPT. Celui de faire accepter, voire adopter au plus grand nombre, sans discernement parfois, un usage d'une nouvelle technologie où tout le monde s'amuse, fait des mauvais poèmes ou autre, sans véritablement porter trop d'intérêt à la protection des données et aux risques associés, en pensant qu'il va y avoir de la vérité qui va sortir du machin. Et en fait, ils le disent même dans leurs conditions générales d'utilisation, amusez-vous, mais attention à vos usages professionnels, ce n'est pas là pour dire la vérité. Est-ce qu'il n'y a pas le rôle justement de la... La norme, redonner un sens et une direction, mais de ne pas se tromper, de ne pas trop en attendre de l'IA, comme de ne pas trop en attendre de la régulation. Donc on a des entreprises qui sont perturbées et qui ne sont pas en capacité déjà d'avoir, d'adopter des standards déjà sur des technologies de base qui ne sont pas algorithmiques pour respecter la protection des données. A fortiori, on subit une avalanche de technologies dont on ne comprend pas bien. le fonctionnement dont les finalités ne sont pas très claires, dont on sait qu'in fine on va avoir une explosion, on va être noyé dans un océan de données personnelles qu'on n'est peut-être même pas parfois en capacité de traiter. Que vont faire les entreprises là-dessus ? Est-ce que la solution de facilité, ça ne va pas être de se dire, comme certains nous le proposent, on avance, l'innovation fera le reste, et puis le droit qui a toujours du retard va arriver derrière. Est-ce que là, on n'a pas un autre enjeu ?
Speaker #1
Oui, ou d'autres disent, il faut de temps, à savoir de faire un laboratoire sur le développement de l'innovation, ce qui m'apparaît évidemment, au niveau de l'utopie.
Speaker #0
Ou de l'hypocrisie, puisqu'ils veulent gagner du temps aussi de leur côté.
Speaker #1
Oui, ça, vous faites amuser, on a une personne bien particulière qui ne mérite pas notre respect. Je crois que la réflexion qui est faite par l'Union européenne de ce côté-là m'apparaît intéressante. Maintenant, la question est de savoir comment on va concilier cela avec le RGPD. Mais la réflexion de l'Union européenne, elle est drôlement accentuée depuis… le compromis qui a été accepté par le Parlement européen le 14 juin, c'est de dire principe d'accountability, principe de responsabilité. Celui qui produit ou celui qui utilise professionnellement des outils en matière d'intelligence artificielle a une espèce de devoir et de devoir d'évaluation. Le devoir d'évaluation, c'est un petit peu l'idée de dire, vous faites prendre un risque, et bien avant de faire prendre un risque, c'est-à-dire de mettre sur le marché un outil, vous avez cette obligation de réfléchir, de réfléchir en interne, vous allez me dire quel va être l'instant par rapport à cette entreprise de réflexion en interne, je vais y revenir après, mais vous avez l'obligation de réfléchir en interne sur les risques. Ce qui est intéressant aussi, ce ne sont pas des risques uniquement en matière de protection de la vie privée. Ce n'est pas uniquement. Ce qui est intéressant dans les nouveaux textes, c'est de dire, vous savez, les risques liés à l'IA, ce sont des risques collectifs. La vie privée, c'est une approche individualiste. C'est une approche individualiste qui met l'individu face à un responsable de traitement. Or, si vous pensez au profiling, si vous pensez à l'intelligence artificielle, On ne travaille plus sur des individus, on travaille sur la manière dont des individus appartiennent à des groupes, c'est-à-dire à des groupes dont on ne sait pas très bien quelle est d'ailleurs la composition. Mais c'est toujours le rapprochement d'un cas particulier à un type, qui est un type présent à l'intérieur du big data, qui fait en sorte qu'on va prendre une décision par rapport à la personne, qu'on va éventuellement... une recommandation.
Speaker #0
Outre la problématique de fabrication des consentements et du fait qu'on risque d'abdiquer notre capacité de choisir, la délégation de la faculté de pensée, de choisir, c'est une grande responsabilité de choisir.
Speaker #1
J'aime bien votre réflexion, je vais y arriver tout de suite. Ce que je voulais dire c'est que les risques qui sont pris en charge dans l'IA et l'IA Act dit dorénavant les entreprises doivent Réfléchir là-dessus, c'est des risques individuels, la liberté, la protection des données, c'est des risques collectifs, donc il y a ce qui n'a pas de discrimination, donc il y a ce qui n'a pas atteinte à la justice sociale, et puis c'est des risques collectifs, l'environnement, la question de la démocratie, le problème de la concurrence, etc. C'est à tous ces risques qu'il faut s'attacher. Ce qui m'apparaît être souligné par l'accord du Parlement européen le 14 juin, c'est-à-dire cette évaluation, qui est une évaluation interne à l'entreprise, elle doit être faite avec des experts indépendants et avec des représentants des différents intérêts. Si vous faites un système d'IA, ne serait-ce que pour pouvoir éventuellement évaluer votre personnel, vous devez éventuellement demander aux représentants du personnel d'être présents lors des discussions, si vous faites quelque chose relativement. consommateurs, il y a des associations de consommateurs, il y a des associations de liberté civile, etc. C'est une préoccupation qui m'apparaît intéressante. Pourquoi ? Parce qu'elle introduit l'idée d'une délégation à l'entreprise et d'une délégation qui doit être fondée sur une réflexion inclusive de l'ensemble des personnes intéressées. C'est un point qui m'apparaît vraiment important dans cette nouvelle approche. qui n'est pas du tout la même approche que l'RGPD, même s'il est clair qu'en matière de protection donnée, la réflexion évidemment est extrêmement importante, les risques en matière de protection donnée sont bien présents.
Speaker #0
Quelle faisabilité de l'approche par les risques, en fait ? Déjà qu'on a du mal à le faire dans le RGPD classique, de manière opérationnelle. Comment je vais apprécier les risques de dommages en fonction de leur réalité ? Mais est-ce que c'est si simple que ça ? Il y a beaucoup d'exceptions dans les textes.
Speaker #1
Ce n'est pas du tout ça. La chose que nous demandent, c'est qu'elle soit faite, qu'une évaluation sérieuse soit faite. Alors cette évaluation sérieuse, elle est malgré tout... soumise à une espèce de regard externe, puisque vous avez des autorités, qui sont les Notifying Authorities, qui sont chargées bien évidemment de voir dans quelle mesure cette espèce de Quality Management System, c'est-à-dire cette évaluation, a été faite conformément aux principes de l'IAC. Donc il y a quand même ce regard extérieur. Il y a aussi, ça c'est la volonté de l'Europe, de dire dorénavant on va essayer de multiplier les standards de façon à ce qu' il y ait des standards qui existent en matière de modèle de langage et en matière de un de modèle éventuellement de connaissance de reconnaissance vocale que sais-je mais on va utiliser un certain nombre de deux standards et ses standards de nouveau l'europe dit il faudrait pour bien faire que on prennent en compte l'ensemble des dimensions, l'ensemble des risques. Donc, il y a une volonté, une certaine qualité de collectivisation, de l'évaluation qui m'a paru intéressante en disant que c'est encore l'entreprise qui reste évidemment la première responsable. Je ne dis pas que tout ça est parfait, mais en tout cas, c'est une autre manière, cette approche par les risques, c'est une autre manière de faire qu'une approche par les concepts. telle que ça a été fait dans le cadre du RGPD.
Speaker #0
Alors on a Jean-Gabriel Ganassia qui a beaucoup écrit sur la question et qui pose la question de l'éthique et de la protection de l'intimité et de la vie privée, des compromis nécessaires. De quelles frontières va-t-on pouvoir avoir entre réparation et augmentation, le risque de fracture sociale, entre liberté également et responsabilité ? Qu'est-ce que vous en pensez ?
Speaker #1
J'aime bien la réflexion parce que... Je crois qu'effectivement, le droit à l'intimité est sans doute une réflexion qui est totalement dans le RGPD. Si vous vous souvenez peut-être également du fameux RNS, le réseau numérique d'intégration de services qui a précédé Internet, vous aviez des possibilités de vous déconnecter. C'est-à-dire qu'à ce moment-là, vous êtes certain que plus rien n'entre à l'intérieur de votre terminal et que plus rien n'en sort. Cette notion d'intimité m'apparaît, ce droit à l'intimité m'apparaît encore plus vital à l'heure actuelle que hier. Vous avez de manière tout à fait judicieuse insisté aussi sur le problème du droit Ausha. Le droit Ausha existe-t-il lorsque, par définition, vous n'avez plus aucune possibilité que de faire, que d'accepter des cookies ? que de vous faire profiler et bien évidemment, à partir de ce moment-là, peut-on encore parler d'un consentement ? Alors, le RGPD donne un certain nombre d'exigences au niveau du consentement. Je me pose la question de savoir combien de consentements répondent aux exigences du RGPD. Et là également, je crois que de plus en plus, il va falloir travailler de manière, sur des consentements collectifs. Je me souviens de cette expérience qui avait été faite au Canada à propos de Facebook, où la commissaire à la protection des données, Jennifer Stoddard, a dit « vous savez, le consentement que Facebook demande, les gens n'ont pas la possibilité de faire un vrai consentement, ils n'ont pas la possibilité de réfléchir aux conséquences qu'il y a avec l'IA, étant donné la complexité, étant donné l'opacité du fonctionnement de l'IA, c'est encore plus important. » puisqu'ils n'ont pas la possibilité de faire ce véritable choix. La seule manière de travailler, c'est de travailler avec des associations de consommateurs, avec le commissariat à la protection des données, et bien évidemment négocier avec Facebook. Et je crois qu'on doit travailler dans ce sens-là. L'approche collective m'apparaît comme quelque chose d'absolument essentiel. L'autre point, et on le voit de plus en plus se dessiner, c'est effectivement la réglementation. En Belgique, nous avons notamment noté il n'y a pas longtemps une interdiction pour les assureurs d'utiliser les données génétiques. Je crois que c'est quelque chose d'absolument important. Les interdictions, a priori, sont presque, quelquefois, vitales.
Speaker #0
On voit que sur la Coupe du Monde, notamment de rugby, ou pas que de rugby d'ailleurs, à l'aune des Jeux Olympiques, les données des sportifs font l'objet de beaucoup de convoitises. Et on a un peu l'impression que c'est un bac à sable. Je ne dirais pas des cobayes, mais je sais que selon les réglementations, vous avez des entreprises qui proposent des kits. de prédictabilité des problématiques en utilisant le profilage génétique, ce qui est extrêmement dangereux. Et il y a une inégalité de la réglementation avec une disparité. Il y a des pays plus ou moins, entre guillemets, accueillants en termes de données médicales. Et là, on a des risques d'exclusion dans certains pays. Qu'est-ce que ça veut dire que la performance ? Est-ce qu'on est prêt à tout sacrifier pour de la performance ? Est-ce qu'on est prêt à tout sacrifier pour prévoir ? Donc cette notion de capacité de choisir, je pense qu'elle est effectivement centrale, puisqu'on est en train de glisser doucement dans une espèce de servilité, mais ça, on l'a écrit depuis très longtemps. Est-ce qu'on ne va pas vers autre chose derrière cela ? Est-ce qu'on n'est pas en train de nous éduquer à être des moutons, c'est-à-dire nous dire, vous allez être très heureux, vous allez voir. Vous allez être très heureux. Tous les moutons marchent ensemble, mais tous n'ont pas le même prix. C'est toujours pareil. Donc vous allez être heureux avec une espèce de consensus mou. Donc moi, la question centrale, qu'est-ce que ça veut dire de consentir ? Est-ce que le consentement, ce n'est pas quelque chose qui se travaille ?
Speaker #1
D'abord, je vais garder historiquement. Je me suis rendu compte que le consentement est un concept qui vient relativement tard en matière de protection des données, dans la mesure où ce sont les Allemands qui l'ont introduit, en particulier en 1995, lors de... de l'adoption de la directive européenne en matière de protection des données. Je me pose la question de savoir si c'est encore quelque chose qui, effectivement, est important. Je crois que c'est important dans un certain nombre de cas qu'il y ait un consentement, mais qu'à ce moment-là, ce soit un vrai consentement. Mais quand vous voyez les conséquences qu'un consentement peut avoir par rapport à d'autres, je donne un exemple, parce que celui-là… J'ai mon assureur qui me dit « Monsieur le coulée, vous avez Phil comme étant un excellent conducteur, est-ce que vous nous permettez de mettre un certain nombre de capteurs dans votre voiture de manière à ce que nous puissions prendre un certain nombre de données sur votre façon de conduire et cela aboutira à évidemment une réduction de vos primes qui vous avantage pas ? » Il est clair que mon choix… personnel et individuel, risque, si je ne prends en compte que mon intérêt, d'être positif. Là derrière se pose la question de savoir quelle est la conséquence que tout cela va avoir par rapport à d'autres personnes, par rapport à d'autres personnes qu'en anglais assuré, qui bien évidemment, soit ne souhaiteront pas, ils seront considérés comme suspects, soit diront qu'il n'y a pas de question, je préfère évidemment ne pas… ne pas être suivi de façon de façon continue donc il y avait un article récent que j'aime beaucoup sur la double face de la notion d'autonomie l'autonomie ça n'est pas purement une décision individuelle c'est une décision individuelle avec des répercussions sur autrui et dès lors cette externalité du consentement devrait être prise en compte une réflexion J'ai écrit beaucoup sur cette notion de consentement et sur les limites du consentement. Je crois qu'il est plus que temps de revenir sur ce sujet.
Speaker #0
Est-ce que les algorithmes ne vont-ils pas être gouvernés par la loi du marché, in fine ?
Speaker #1
Ce qui est certain, c'est que pour le moment, les génératifs AI sont des produits américains. Ce produit américain, on commence à voir quelques produits chinois qui débarquent. De nouveau, on se pose la question de savoir où est l'Europe. L'Open AI est un produit Microsoft, Dell E est un produit, Bart sont des produits Google, et Amazon annonce effectivement aussi bientôt un générateur d'AI. Donc, lorsque l'Europe souhaite contrôler, gouverner...
Speaker #0
Les systèmes AI, on voit bien évidemment toutes les limites que cela peut avoir. C'est clair que la régulation AI est une régulation qui a des effets extraterritoriaux, puisque c'est applicable à tout AI qui est présent sur le marché européen. Mais est-ce que pour autant, l'Europe sera en mesure de négocier ce qui est développé par le marché américain, d'autant que Biden l'a répété ? Les États-Unis souhaitent bien évidemment travailler sur un modèle qui est un modèle beaucoup plus de co-régulation avec les grosses entreprises et de garder ainsi le leadership en matière d'EI. Donc voilà un petit peu le défi auquel l'Europe se lance. Est-ce qu'on peut réguler le marché contre la volonté des personnes qui sont plénipotentielles sur ce marché ? C'est le... C'est le pari que Trump fait sur le DMA, Digital Market Act. C'est le pari qu'il fait sur le DSA. C'est le pari qu'il fait en matière d'intelligence artificielle. Est-ce qu'il l'a gagné dans le cadre du RGPD ? Oui, les autorités de protection de données disent oui. Regardez, on a encore condamné Google, on a encore condamné Facebook. On n'est pas certain que les pratiques de Google et de Facebook ont été pour un moment... profondément modifié. Voilà, donc c'est pas certain que l'on puisse l'emporter. Le modèle européen qui repose quand même sur une responsabilisation des entreprises m'apparaît un bon modèle, mais à quelle mesure les outils de contrôle que l'Europe met à travers la standardisation, à travers ses autorités de notification, ses autorités de supervision, suffiront certainement.
Speaker #1
En fait, c'est toujours l'éternelle question, c'est est-ce que c'est la peur du gendarme ou est-ce que c'est la volonté d'être un acteur de confiance ? Un acteur de confiance, l'internaute, le consommateur moyen, à un moment donné, il réfléchit à la gravité des répercussions de ses traces numériques. Les traces numériques disent beaucoup de nous, parfois même ce que nous ignorons, elles disent beaucoup de nos enfants, elles disent beaucoup de notre cellule familiale, sans même que nous n'en ayons complètement conscience. Donc ça viendra peut-être des exigences des consommateurs qui vont peut-être vouloir être un peu moins transparents, mais ça sera peut-être réservé, hélas à quelques happy few. Moi ma crainte c'est qu'on évolue vers une société d'exclusion complète. C'est le grand risque. L'opacité pour certains, la transparence pour ceux qui ne seront pas en capacité de refuser ou de contrer la pression qui sera faite par un assureur, par un employeur. parce que c'est toujours très, très intrusif. Donc, c'est comment on va se positionner, outre la fameuse insidieuse fabrication des consentements, parce que personne ne veut renoncer aux friandises tendues par les GAFAM. Et donc, la question qui arrive derrière, c'est avec les casques que nous promet dans le bonheur technologique promu par Elon Musk, notamment, les fameux casques connectés. où on va collecter nos données subconscientes, est-ce que là on n'est pas peut-être en train d'aller trop loin ? Parce que, en tant que juriste, parce que nous on est là en tant que juriste, comment je vais rédiger des politiques d'information pour assurer la protection de données dont je n'ai même pas conscience, alors que la façon dont je fonctionne à 80% est déterminée par ce que je ne connais pas de moi ? Est-ce qu'on n'est pas en train de se tromper de frontière ?
Speaker #0
Vous avez 100 fois raison, je crois qu'on est en train, me semble-t-il, à travers... comme vous dites, des friandises, c'est-à-dire des gains immédiats en termes de facilité, éventuellement de possibilités, notamment en matière d'utilisation des génératifs AI pour pouvoir éventuellement faire des œuvres artistiques. On est en train de se livrer, puisque bien évidemment, derrière cette utilisation de génératifs AI et de l'intérêt que ça peut avoir... l'étudiant qui fait rédiger son mémoire ou éventuellement l'avocat qui fait rédiger sa prédoire.
Speaker #1
Assez risque et péril.
Speaker #0
Tout à fait, c'est un autre point. Par cas de l'épidémie, il n'y a rien à faire. C'est un avantage immédiat. Derrière ça se capte bien évidemment une possibilité pour ces sociétés de capter un certain nombre de données. Alors, est-ce qu'on peut appeler ça de l'exploitation de vulnérabilité ? Et donc à partir de ce moment-là... Et à Acte, il y a toute une série de réflexions et d'interdictions par rapport aux entreprises qui exploitent la vulnérabilité de quelqu'un. de personnes, c'est notamment le cas dans les Ausha de compagnons. Je ne sais pas si vous voyez.
Speaker #1
Oui, tout à fait. Le fameux film Her.
Speaker #0
Tout à fait. Vous avez, que ce soit Chai ou autre, qui vous disent, nous allons prendre soin de vous, nous vous aimons, nous allons vous suivre, nous allons vous dire ce qu'il faut faire, etc. Et puis, je suppose que vous connaissez ce fameux cas en Belgique, où un ingénieur... qui n'était conduite pas cette conversation addictive carrément au suicide. On se rend bien compte effectivement du danger que peut présenter la manipulation des gens à travers ces outils.
Speaker #1
Mais alors est-ce que finalement le philosophe Gunther Anders en 1956, lorsqu'il parle de l'obsolescence de l'homme, est-ce que ce n'est pas lui le précurseur ? Est-ce qu'on n'est pas face à une... La révolution peut être algorithmique ou pas, mais finalement la problématique c'est l'homme, ça restera l'homme. Et est-ce que finalement on n'est pas en train de clôturer un chapitre ?
Speaker #0
J'espère en tout cas que la gouvernementalité ne sera pas purement algorithmique.
Speaker #1
On va se battre Yves, on est d'accord, on va se battre.
Speaker #0
On va se battre, mais je crois qu'il faut le faire dans les lieux même où se discutent les développements de... d'intelligence artificielle. J'étais étonné parce que les chercheurs en Belgique faisaient une réunion sur l'intelligence artificielle, où ils présentaient leurs merveilleux produits d'intelligence artificielle. Trois des conférenciers, ils étaient six, donc la moitié, se sont tournés vers le régulateur en disant S'il vous plaît, intervenez. Nous nous rendons compte que nous ne sommes pas à même de décider. Il est temps que nous ayons des balises.
Speaker #1
Il est temps qu'on fasse appel à une vraie supervision humaine. Alors, comment est-ce que vous voyez, pour terminer, l'évolution du cadre juridique pour les prochaines années ? Qu'est-ce qu'on va faire ? Est-ce qu'il ne s'agirait pas d'être un peu plus pragmatique, plus simple, et de dire, voilà, il faut que ça soit explicable, il faut que ça soit transparent, il faut que ce soit accepté ? etc. Vous êtes responsable, vous gérez votre risque, c'est une chose. Mais il y a effectivement des frontières inacceptables qu'on ne traversera pas, gravées dans le marbre. Et puis il y a surtout la façon dont nous, en tant qu'individus, on va interagir demain avec les robots, demain avec des consciences, avec les morts qui seront peut-être toujours en train de nous parler. La mort numérique, c'est aussi des enjeux dont on parlera sur un autre podcast. Donc c'est volonté de toujours se dépasser. Est-ce qu'il ne faut pas qu'on se calme un petit peu et qu'on remette les garde-fous à l'ancienne ? Dieu, ce n'est pas l'algorithme. Encore une fois, Luc Julia dit même que ça n'existe pas, mais que le machin ne va pas nous dépasser. Mais c'est peut-être nous qui devons nos appétits, nos appétits qu'il va falloir réguler. Donc qu'est-ce qu'on peut faire ? Quelles seraient vos propositions concrètement ? Si vous aviez une baguette magique ?
Speaker #0
Je me suis dit en lisant, autant j'étais extrêmement dubitatif et même un peu triste du premier acte, autant je trouve que la réflexion du Parlement européen a été menée de façon, me semble-t-il, intéressante et donne des possibilités de réflexion. et d'actions réglementaires. Il y a d'abord l'affirmation dans laquelle il y a cette obligation de respecter un certain nombre de principes, le principe de la privé, le principe de la sécurité, le principe, vous connaissez les fameux sept principes qui avaient été énoncés par le groupe qui s'occupait de l'éthique et qui avait été nommé par… la Commission européenne, mais tout d'un coup, voilà, il se retrouve à l'intérieur du texte. Donc, c'est un premier point, il y a cette obligation. Et un deuxième point, je l'ai dit tout à l'heure, une obligation d'évaluation. Cette obligation d'évaluation, qui est une obligation d'évaluation pas uniquement formelle, mais une obligation d'évaluation avec un certain nombre de partenaires externes, m'apparaît comme quelque chose d'extrêmement intéressant. C'est peut-être intéressant de voir aussi. Cette obligation, elle n'est maintenant faite pas simplement à ceux qui développent les systèmes d'intelligence artificielle, mais surtout par les entreprises qui l'utilisent. En disant que les deployers, comme on appelle ça dans le jardin du Parlement européen, sont l'obligation de participer à cette évaluation, l'obligation de faire cette évaluation. Donc, ces deux points, il y a évidemment, me semble-t-il, également cette réflexion sur le fait qu'il y a un certain nombre de choses qui sont interdites. Alors, est-ce que c'est suffisant ? On voit bien qu'il y a des lobbies qui s'agissent de partout. On est là, oh là là, attention, au niveau de l'utilisation de données biométriques, vous avez été trop loin, etc. Mais il y a, me semble-t-il, une réflexion sur des choses qui doivent être interdites. Et alors, ce que je trouve intéressant dans la dernière proposition, c'est le fait qu'il y a dorénavant une espèce d'office en technologie assessment. Au niveau européen, la création d'un advisory board qui doit réfléchir et rendre des rapports publics et éventuellement conseiller l'Union européenne sur les enjeux d'un certain nombre d'outils d'IA. Donc il y a cette réflexion qui doit être une réflexion publique au niveau macro, plus cette réflexion qui est, on en parlait avant, une réflexion au niveau des entreprises qui utilisent des systèmes IA. Mais cette réflexion macro me paraît également quelque chose d'important. Voilà, maintenant, ce n'est pas parfait. On voit bien que les pays qui nous entourent adoptent, les États-Unis sont pour un modèle d'autorégulation avec simplement des obligations d'assessment interne. La Chine vient de sortir un texte réglementaire. Un texte réglementaire qui va assez loin. J'étais assez étonné de voir ce texte, même s'il commence par dire qu'il doit être au service de la société communiste chinoise. Mais pour le reste, il y a quand même une certaine limite, notamment en matière de protection des mineurs, qui sont intéressantes. Voilà, donc ne perdons pas espoir sur la possibilité pour la réglementation, mais pas une réglementation… contraignantes ou tout viendrait d'un contrôle de l'État, mais une réglementation qui est plus une fixation de balises et qui renvoie à cette démarche éthique, à savoir cette obligation pour les entreprises de se poser des questions en ce qui concerne leur respect d'un certain nombre de principes, qui sont des principes éthiques.
Speaker #1
Et oui, j'aime bien votre idée de droit souple finalement, mais être focus et ferme sur l'essentiel, en n'oubliant jamais que... L'État doit être transparent et l'individu opaque et pas l'inverse. Donc je tenais véritablement à vous remercier. Donc il s'agit, vous avez bien entendu Yves Poulet, c'était Franche Charvelier pour Data Ring. Il s'agit de construire une intelligence artificielle pour le bien. Et encore au-dessus, il faut s'entendre sur la définition du mot bien. Et donc que représente l'IA pour notre futur ? Quel futur allons-nous façonner pour nos enfants, pour les générations à venir ? S'intéresser aussi à la nature dont rien d'absolu ne nous sépare. Donc peut-être aussi de revenir aux fondamentaux et au réel. Donc c'était Franche Charmier pour Data Ring. Et puis merci Yves de ce moment partagé, parce que l'altérité, c'est ce qui nous rendra définitivement meilleurs. Et on va essayer d'avancer et de se battre tous ensemble.
Speaker #0
Merci d'avoir donné écho à mes réflexions.
Speaker #1
Elles sont très belles vos réflexions et on a envie d'en entendre encore davantage. Merci beaucoup et à bientôt pour de nouveaux épisodes de Data Ring. Et nous allons... finalement continuer notre série sur l'intelligence artificielle avec d'autres auteurs, d'autres professeurs. Et puis nous allons tous essayer de comprendre ce qui se passe en ce moment et d'y participer parce qu'on améliore bien que ce qu'on est en capacité de mesurer. Au revoir et à bientôt.

Chapters

Introduction
0sec
Nouvel épisode des Causeries Data
50sec
Qui est le Professeur Yves POULLET ?
1min
Parcours professionnel
2min
Pourquoi le droit du numérique ?
3min
Pourquoi l'IA ?
5min
En quoi consiste l'IA Générative ?
6min
Le problème de l'anonymisation
11min
Le problème de définition
12min
Les difficultés pour les entreprises
13min
La réflexion de l'UE : le principe d'accountability
15min
La fabrication du consentement et l'atteinte aux libertés
17min
Les difficultés de l'approche par les risques
19min
Éthique de l'IA : droit à l'intimité et droit au choix
21min
La tentation autour des données génétiques
25min
Le consentement
26min
La gouvernance du marché
28min
La place du consommateur
31min
Le problème de la frontière entre conscient et inconscient
32min
L'obsolescence de l'homme ?
35min
Quelles évolutions du cadre juridique dans les années à venir ?
36min
Conclusion
42min

About Les Causeries Data de Data Ring

Les « Causeries Data » ne sont pas qu’un podcast, c’est une parenthèse proposée par l’association Data Ring pour défendre les cultures numériques et les libertés publiques fondamentales.

Les débats croisés de nos intervenants proposent une réflexion sur la cohabitation de l’humain, des communautés et du numérique dans un monde qui se fragmente.

C'est un lieu de rencontre où l’on se croise, où l’on échange et où on prend le temps de l’altérité, de l’écoute et du sens.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Les Causeries Data de Data Ring

Les « Causeries Data » ne sont pas qu’un podcast, c’est une parenthèse proposée par l’association Data Ring pour défendre les cultures numériques et les libertés publiques fondamentales.

Les débats croisés de nos intervenants proposent une réflexion sur la cohabitation de l’humain, des communautés et du numérique dans un monde qui se fragmente.

C'est un lieu de rencontre où l’on se croise, où l’on échange et où on prend le temps de l’altérité, de l’écoute et du sens.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Introduction

0sec

Nouvel épisode des Causeries Data

50sec

Qui est le Professeur Yves POULLET ?

1min

Parcours professionnel

2min

Pourquoi le droit du numérique ?

3min

Pourquoi l'IA ?

5min

En quoi consiste l'IA Générative ?

6min

Le problème de l'anonymisation

11min

Le problème de définition

12min

Les difficultés pour les entreprises

13min

La réflexion de l'UE : le principe d'accountability

15min

La fabrication du consentement et l'atteinte aux libertés

17min

Les difficultés de l'approche par les risques

19min

Éthique de l'IA : droit à l'intimité et droit au choix

21min

La tentation autour des données génétiques

25min

Le consentement

26min

La gouvernance du marché

28min

La place du consommateur

31min

Le problème de la frontière entre conscient et inconscient

32min

L'obsolescence de l'homme ?

35min

Quelles évolutions du cadre juridique dans les années à venir ?

36min

Conclusion

42min

Transcription

Speaker #0
C'est la rentrée, l'heure pour les étudiants de retrouver Data Ring, association d'intérêt général 1901, qui va décrypter et analyser pour vous, modestement toujours, le rôle de l'intelligence artificielle, du numérique, sur nos sociétés d'aujourd'hui et de demain, nos vies, la nature humaine. notre liberté, cognitive ou pas, mais également la compétitivité de nos territoires et la protection de nos données. Alors il est temps pour les étudiants, les jeunes et moins jeunes, pour les professeurs, pour le Quidam, pour tout individu, tout internaute, de retourner peut-être sur les bancs de l'université virtuelle. Et c'est la raison pour laquelle nous recevons aujourd'hui le professeur Yves Poulet, qui va nous apporter un éclairage sur les principaux défis de la protection des données, mais pas... pas uniquement face à l'essor de l'IA. Et nous allons donc continuer d'explorer l'IA avec ce nouvel épisode des Causeries Data de Data Ring. Alors bonjour Yves, je vous remercie d'avoir accepté d'intervenir avec nous aujourd'hui.
Speaker #1
Bonjour France, très honoré d'être avec vous et en tout cas d'être avec vous parmi les étudiants.
Speaker #0
Alors Yves, vous êtes directeur du CRIT depuis sa création en 79. Vous me corrigerez si je me trompe. Vous avez supervisé beaucoup de recherches dans le domaine des nouvelles technologies, plus particulièrement dans le domaine de la vie privée, des libertés, la société de l'information, d'Internet. Vous êtes professeur à la Faculté de droit de l'UNAMUR et de l'Université de Liège et vous êtes recteur depuis 2010 de l'UNAMUR. Vous avez été pendant 12 ans membre de la Commission de la protection de la vie privée et vous avez fait partie du Legal Advisory Board de Digi-Info-SOC. Vous avez présidé la Commission Accès à l'information. fondateur du Forum européen des télécoms, Eclipse, Virilité, et vous êtes aussi à l'origine de l'Association belge du droit de l'informatique. Vous avez reçu de nombreuses distinctions. Vous êtes expert auprès de l'UNESCO, de l'OCDE, expert également au sein du Conseil de l'Europe, membre de l'Académie royale des sciences, nous sommes très impressionnés, du comité scientifique de la chaire Wilson à Montréal, et nous avons le privilège et l'honneur de vous écouter aujourd'hui. Alors, pourriez-vous nous parler brièvement de votre intérêt ? Parce que ce qui nous intéresse d'abord, c'est la rencontre de l'homme, du parcours professionnel. Pourquoi l'IA ? Pourquoi le numérique, Yves, dans votre parcours professionnel ? Qu'est-ce qui vous a amené à vous intéresser au numérique et aux nouvelles technologies ?
Speaker #1
Alors, peut-être une petite rectification parce que je suis maintenant retraité. J'ai été effectivement recteur, j'ai été effectivement directeur du Centre de recherche informatique, droit et société. Mais voilà, ça fait partie de... De ma vie active et maintenant en tant que retraité, je m'adonne à d'autres passe-temps et dans ces autres passe-temps, effectivement, il y a notamment la participation comme membre de la CCF, la Commission de contrôle des fichiers d'Interpol, qui est une responsabilité extrêmement importante en tout cas à l'heure du déploiement des technologies dans le domaine policier. Je suis également, et ça c'est quelque chose d'important pour moi, vice-président de l'IFAP, qui est un programme de l'UNESCO et qui me permet de rencontrer un certain nombre d'experts de l'ensemble du monde. Ce qui m'intéresse notamment, c'est que dans le cadre de ce vice-président, je m'occupe des questions d'info éthique. Et en particulier, nous avons maintenant mis sur pied pour le prochain Internet Governance Forum un... séminaire sur l'IA générative, ce dont nous allons parler aujourd'hui. En ce qui concerne la raison pour laquelle je suis tombé dans le droit du numérique, c'est-à-dire lorsque j'étais jeune, puisque je commençais lorsque j'avais 23 ans et je commençais simplement comme un assistant dans une faculté de droit où on m'a demandé en tant que jeune de participer à un séminaire qui était organisé par une faculté d'informatique, une des plus jeunes facultés d'informatique d'Europe, la faculté d'informatique de Namur. Donc je me suis retrouvé, je crois que c'est extrêmement important, dans un milieu interdisciplinaire. Nous avions là des économistes, nous avions là des philosophes, nous avions là surtout des informaticiens, et j'étais là un peu comme le juriste. Et donc c'est ainsi que naît mon goût pour le droit du numérique. C'est à partir de là... Tout s'est enchaîné. Un premier projet de loi en 1975 en Belgique sur la protection de la vie privée m'a amené à écrire sur ce point. Les choses s'enchaînent et au fur et à mesure, on explore d'autres points comme à l'heure actuelle la question de la blockchain et l'intelligence artificielle. L'intelligence artificielle m'est apparue comme quelque chose de véritablement plus fondamental. que le reste. Pourquoi ? Parce qu'en matière d'intelligence artificielle, je crois que l'intelligence artificielle de plus en plus conditionne nos activités, nos activités de personnes. Elle permet à toute une série de personnes de prédire notre avenir, de prédire nos comportements. Elle permet bien évidemment de sélectionner l'information en fonction d'un profil qui est le nôtre. Elle permet de déclencher... de détecter la fraude et en particulier la fraude financière ou autre, et elle pose pas mal de problèmes en matière de protection des données. Donc c'est quelque chose qui véritablement m'apparaît comme quelque chose de transversal et posant des questions sur l'ensemble de la société. C'est à cet égard-là, si vous permettez, je continue.
Speaker #0
Vous m'arrêtez quand vous souhaitez. On comprend que c'est un sacerdoce, on comprend que vous êtes passionné, on comprend que vous en avez fait votre vie, c'est ça qui nous intéresse. Alors, pouvez-vous nous expliquer en quoi consiste l'IA générative ? Puisqu'il y a beaucoup de fantasmes. Vous avez indiqué dans votre livre qu'il s'agissait même d'un buzzword, mais que ça pose des questions en termes de gouvernementalité, je reprends vos termes, purement algorithmique de nos sociétés, de nos vies individuelles, ce que vous venez de nous dire. C'est la raison pour laquelle c'est peut-être une des clés de pouvoir dans le monde numérique de demain. Mais... Qu'est-ce que c'est que l'IA générative et pourquoi ça pose des questions et autant de questions juridiques ?
Speaker #1
Donc peut-être simplement commencer par réfléchir sur ce qu'est l'IA. Ce qu'est l'IA, je crois que la définition qui vient d'être acceptée par à la fois le Conseil et d'autre part par le Parlement européen, ainsi sur le fait qu'il s'agit d'un système de machine learning, c'est un point important. parce que ce qui est important, c'est le fait que ça fonctionne de manière plus ou moins autonome. On ne dit pas toujours qu'elle fonctionne de manière totalement autonome, mais en tout cas plus ou moins autonome, ça veut dire quoi ? Ça veut dire qu'il y a des agrégations, des rapprochements de données qui sont faits sans nécessairement le contrôle humain et sans nécessairement la possibilité d'avoir une réflexion sur la causalité logique de ce rapprochement de données. À un moment donné... dire « tiens, la manière dont la personne frappe sur l'ordinateur et la façon dont il fait du surfing indiquent tel type de personnalité » . Donc, a priori, il n'y a pas de lien logique entre ces deux faits. L'autre point, évidemment, c'est que les objectifs de l'IA sont plus ou moins explicités, mais peuvent également être implicités. C'est là qu'on va revenir sur la question de l'IA génératif, parce qu'il pose un problème. et un problème particulier dans les IA traditionnels, la finalité était quand même une finalité explicite. J'utilise un système d'IA, par exemple de reconnaissance des émotions, de manière à pouvoir éventuellement tester un candidat à un emploi. Dans l'IA générative, vous avez l'utilisation de modèles qui peuvent servir véritablement à plein de choses. Si vous prenez un chat GPT, qui est simplement une… un modèle utilisant les ressources de l'IA de façon à pouvoir repérer la signification d'un texte ou d'un langage, vous pouvez l'utiliser dans 36 applications. Vous pouvez l'utiliser bien évidemment dans une application administrative, les chatbots administratifs, de manière à répondre à des questions d'administrés. Vous pouvez aussi l'utiliser… C'est un problème extrêmement délicat. C'est ce qu'on appelle les « companion chatbots » . Vous pouvez l'utiliser dans le cadre d'un dialogue, et d'un dialogue particulier et individualisé avec une personne bien déterminée. Et évidemment, l'application 1 n'est pas l'application 2, et les risques ne sont pas les mêmes. Et donc c'est là que l'IA générative pose problème, c'est que les finalités sont des finalités qui ne sont pas définies a priori. Lorsque Clearview fait un système d'IA de reconnaissance des images, en particulier des personnes et des faces, Cette utilisation de Cleanerview peut être faite soit par une entreprise pour contrôler les entrées à l'intérieur du bâtiment, soit par la police lorsqu'elle est en présence d'une manifestation, ou toute autre chose. Le gros problème, et c'est ça qui va poser une difficulté en particulier par rapport à la protection des données, c'est qu'en matière d'IA générative, il n'y a pas de finalité a priori. Il y a des possibilités d'utilisation à des finalités qui sont extrêmement diverses. C'est là l'intérêt bien évidemment de ce nouveau texte du Parlement européen, qui est une nouvelle version qui est parue le 14 juin de cette année, qui dit qu'il faut réglementer aussi cette IA générative. Alors que bien évidemment jusque-là, le seul IA qui était réglementé était l'IA. avec des objectifs et des objectifs qui d'ailleurs étaient, dans la première version, déterminés par l'humain.
Speaker #0
Est-ce qu'on n'a pas également les problématiques d'anonymisation, de l'impossibilité véritablement de l'anonymisation ?
Speaker #1
Alors ça, c'est un point extrêmement intéressant. Donc là, vous dites, si on appliquait les législations de protection des données, est-ce qu'on ne va pas avoir des difficultés ? Oui, on a effectivement pas mal de difficultés. Tout. La législation en matière de protection des données repose sur la définition de la notion de données à caractère personnel. Dans le cas de l'utilisation de l'IA, vous avez la possibilité, alors même que les données au point de départ sont anonymes, de pouvoir faire des regroupements de données qui permettent de réidentifier la personne. Et donc, à partir de ce moment-là… La notion de données à caractère personnel devient, me semble-t-il, une notion insuffisante pour contrôler, en tout cas, l'IA, y compris l'IA générative.
Speaker #0
Donc il faudrait peut-être recommencer par le début et se poser la question de la définition. Est-ce qu'on n'est pas en train de se tromper avec la réglementation, avec ce focus données personnelles ? Est-ce qu'on ne doit pas revoir les curseurs de protection ? Peut-être pas vers le bas, mais de prendre en compte la distinction entre vie privée et intimité, de réfléchir à une granularité de protection des données selon leur sensibilité. Est-ce qu'on va abandonner la technologie ? Parce que si je suis ce que vous êtes en train de nous dire, l'impossible définition de la finalité, l'impossible anonymisation, donc c'est la transparence. Peut-être même, on n'en a pas parlé, mais l'explicabilité, l'effet black box qui pose problème au-delà des effets de biais, qu'est-ce qu'on doit faire ? Puisqu'on doit d'abord catégoriser et définir, cartographier, qu'est-ce qu'on fait alors de nos données personnelles quand elles sont dans le machin, comme le dit Luc Vullia ?
Speaker #1
Ne jetons pas l'enfant avec le du bain. Je crois qu'effectivement, il y a une réglementation en matière de protection des données qui continue à être intéressante, même si... de l'athlétique sur bien d'autres aspects, notamment son caractère administratif, son caractère extrêmement lourd, cette complexité de la législation. Je ne vais pas entrer dans tous les détails et toutes les réflexions qu'on peut faire.
Speaker #0
On a des entreprises qui sont aujourd'hui complètement démunies. On a l'impression que c'est la loi du marché et de l'innovation qui fait la loi. On a eu une déferlante Tchad GPT avec le pari gagné de Tchad GPT. Celui de faire accepter, voire adopter au plus grand nombre, sans discernement parfois, un usage d'une nouvelle technologie où tout le monde s'amuse, fait des mauvais poèmes ou autre, sans véritablement porter trop d'intérêt à la protection des données et aux risques associés, en pensant qu'il va y avoir de la vérité qui va sortir du machin. Et en fait, ils le disent même dans leurs conditions générales d'utilisation, amusez-vous, mais attention à vos usages professionnels, ce n'est pas là pour dire la vérité. Est-ce qu'il n'y a pas le rôle justement de la... La norme, redonner un sens et une direction, mais de ne pas se tromper, de ne pas trop en attendre de l'IA, comme de ne pas trop en attendre de la régulation. Donc on a des entreprises qui sont perturbées et qui ne sont pas en capacité déjà d'avoir, d'adopter des standards déjà sur des technologies de base qui ne sont pas algorithmiques pour respecter la protection des données. A fortiori, on subit une avalanche de technologies dont on ne comprend pas bien. le fonctionnement dont les finalités ne sont pas très claires, dont on sait qu'in fine on va avoir une explosion, on va être noyé dans un océan de données personnelles qu'on n'est peut-être même pas parfois en capacité de traiter. Que vont faire les entreprises là-dessus ? Est-ce que la solution de facilité, ça ne va pas être de se dire, comme certains nous le proposent, on avance, l'innovation fera le reste, et puis le droit qui a toujours du retard va arriver derrière. Est-ce que là, on n'a pas un autre enjeu ?
Speaker #1
Oui, ou d'autres disent, il faut de temps, à savoir de faire un laboratoire sur le développement de l'innovation, ce qui m'apparaît évidemment, au niveau de l'utopie.
Speaker #0
Ou de l'hypocrisie, puisqu'ils veulent gagner du temps aussi de leur côté.
Speaker #1
Oui, ça, vous faites amuser, on a une personne bien particulière qui ne mérite pas notre respect. Je crois que la réflexion qui est faite par l'Union européenne de ce côté-là m'apparaît intéressante. Maintenant, la question est de savoir comment on va concilier cela avec le RGPD. Mais la réflexion de l'Union européenne, elle est drôlement accentuée depuis… le compromis qui a été accepté par le Parlement européen le 14 juin, c'est de dire principe d'accountability, principe de responsabilité. Celui qui produit ou celui qui utilise professionnellement des outils en matière d'intelligence artificielle a une espèce de devoir et de devoir d'évaluation. Le devoir d'évaluation, c'est un petit peu l'idée de dire, vous faites prendre un risque, et bien avant de faire prendre un risque, c'est-à-dire de mettre sur le marché un outil, vous avez cette obligation de réfléchir, de réfléchir en interne, vous allez me dire quel va être l'instant par rapport à cette entreprise de réflexion en interne, je vais y revenir après, mais vous avez l'obligation de réfléchir en interne sur les risques. Ce qui est intéressant aussi, ce ne sont pas des risques uniquement en matière de protection de la vie privée. Ce n'est pas uniquement. Ce qui est intéressant dans les nouveaux textes, c'est de dire, vous savez, les risques liés à l'IA, ce sont des risques collectifs. La vie privée, c'est une approche individualiste. C'est une approche individualiste qui met l'individu face à un responsable de traitement. Or, si vous pensez au profiling, si vous pensez à l'intelligence artificielle, On ne travaille plus sur des individus, on travaille sur la manière dont des individus appartiennent à des groupes, c'est-à-dire à des groupes dont on ne sait pas très bien quelle est d'ailleurs la composition. Mais c'est toujours le rapprochement d'un cas particulier à un type, qui est un type présent à l'intérieur du big data, qui fait en sorte qu'on va prendre une décision par rapport à la personne, qu'on va éventuellement... une recommandation.
Speaker #0
Outre la problématique de fabrication des consentements et du fait qu'on risque d'abdiquer notre capacité de choisir, la délégation de la faculté de pensée, de choisir, c'est une grande responsabilité de choisir.
Speaker #1
J'aime bien votre réflexion, je vais y arriver tout de suite. Ce que je voulais dire c'est que les risques qui sont pris en charge dans l'IA et l'IA Act dit dorénavant les entreprises doivent Réfléchir là-dessus, c'est des risques individuels, la liberté, la protection des données, c'est des risques collectifs, donc il y a ce qui n'a pas de discrimination, donc il y a ce qui n'a pas atteinte à la justice sociale, et puis c'est des risques collectifs, l'environnement, la question de la démocratie, le problème de la concurrence, etc. C'est à tous ces risques qu'il faut s'attacher. Ce qui m'apparaît être souligné par l'accord du Parlement européen le 14 juin, c'est-à-dire cette évaluation, qui est une évaluation interne à l'entreprise, elle doit être faite avec des experts indépendants et avec des représentants des différents intérêts. Si vous faites un système d'IA, ne serait-ce que pour pouvoir éventuellement évaluer votre personnel, vous devez éventuellement demander aux représentants du personnel d'être présents lors des discussions, si vous faites quelque chose relativement. consommateurs, il y a des associations de consommateurs, il y a des associations de liberté civile, etc. C'est une préoccupation qui m'apparaît intéressante. Pourquoi ? Parce qu'elle introduit l'idée d'une délégation à l'entreprise et d'une délégation qui doit être fondée sur une réflexion inclusive de l'ensemble des personnes intéressées. C'est un point qui m'apparaît vraiment important dans cette nouvelle approche. qui n'est pas du tout la même approche que l'RGPD, même s'il est clair qu'en matière de protection donnée, la réflexion évidemment est extrêmement importante, les risques en matière de protection donnée sont bien présents.
Speaker #0
Quelle faisabilité de l'approche par les risques, en fait ? Déjà qu'on a du mal à le faire dans le RGPD classique, de manière opérationnelle. Comment je vais apprécier les risques de dommages en fonction de leur réalité ? Mais est-ce que c'est si simple que ça ? Il y a beaucoup d'exceptions dans les textes.
Speaker #1
Ce n'est pas du tout ça. La chose que nous demandent, c'est qu'elle soit faite, qu'une évaluation sérieuse soit faite. Alors cette évaluation sérieuse, elle est malgré tout... soumise à une espèce de regard externe, puisque vous avez des autorités, qui sont les Notifying Authorities, qui sont chargées bien évidemment de voir dans quelle mesure cette espèce de Quality Management System, c'est-à-dire cette évaluation, a été faite conformément aux principes de l'IAC. Donc il y a quand même ce regard extérieur. Il y a aussi, ça c'est la volonté de l'Europe, de dire dorénavant on va essayer de multiplier les standards de façon à ce qu' il y ait des standards qui existent en matière de modèle de langage et en matière de un de modèle éventuellement de connaissance de reconnaissance vocale que sais-je mais on va utiliser un certain nombre de deux standards et ses standards de nouveau l'europe dit il faudrait pour bien faire que on prennent en compte l'ensemble des dimensions, l'ensemble des risques. Donc, il y a une volonté, une certaine qualité de collectivisation, de l'évaluation qui m'a paru intéressante en disant que c'est encore l'entreprise qui reste évidemment la première responsable. Je ne dis pas que tout ça est parfait, mais en tout cas, c'est une autre manière, cette approche par les risques, c'est une autre manière de faire qu'une approche par les concepts. telle que ça a été fait dans le cadre du RGPD.
Speaker #0
Alors on a Jean-Gabriel Ganassia qui a beaucoup écrit sur la question et qui pose la question de l'éthique et de la protection de l'intimité et de la vie privée, des compromis nécessaires. De quelles frontières va-t-on pouvoir avoir entre réparation et augmentation, le risque de fracture sociale, entre liberté également et responsabilité ? Qu'est-ce que vous en pensez ?
Speaker #1
J'aime bien la réflexion parce que... Je crois qu'effectivement, le droit à l'intimité est sans doute une réflexion qui est totalement dans le RGPD. Si vous vous souvenez peut-être également du fameux RNS, le réseau numérique d'intégration de services qui a précédé Internet, vous aviez des possibilités de vous déconnecter. C'est-à-dire qu'à ce moment-là, vous êtes certain que plus rien n'entre à l'intérieur de votre terminal et que plus rien n'en sort. Cette notion d'intimité m'apparaît, ce droit à l'intimité m'apparaît encore plus vital à l'heure actuelle que hier. Vous avez de manière tout à fait judicieuse insisté aussi sur le problème du droit Ausha. Le droit Ausha existe-t-il lorsque, par définition, vous n'avez plus aucune possibilité que de faire, que d'accepter des cookies ? que de vous faire profiler et bien évidemment, à partir de ce moment-là, peut-on encore parler d'un consentement ? Alors, le RGPD donne un certain nombre d'exigences au niveau du consentement. Je me pose la question de savoir combien de consentements répondent aux exigences du RGPD. Et là également, je crois que de plus en plus, il va falloir travailler de manière, sur des consentements collectifs. Je me souviens de cette expérience qui avait été faite au Canada à propos de Facebook, où la commissaire à la protection des données, Jennifer Stoddard, a dit « vous savez, le consentement que Facebook demande, les gens n'ont pas la possibilité de faire un vrai consentement, ils n'ont pas la possibilité de réfléchir aux conséquences qu'il y a avec l'IA, étant donné la complexité, étant donné l'opacité du fonctionnement de l'IA, c'est encore plus important. » puisqu'ils n'ont pas la possibilité de faire ce véritable choix. La seule manière de travailler, c'est de travailler avec des associations de consommateurs, avec le commissariat à la protection des données, et bien évidemment négocier avec Facebook. Et je crois qu'on doit travailler dans ce sens-là. L'approche collective m'apparaît comme quelque chose d'absolument essentiel. L'autre point, et on le voit de plus en plus se dessiner, c'est effectivement la réglementation. En Belgique, nous avons notamment noté il n'y a pas longtemps une interdiction pour les assureurs d'utiliser les données génétiques. Je crois que c'est quelque chose d'absolument important. Les interdictions, a priori, sont presque, quelquefois, vitales.
Speaker #0
On voit que sur la Coupe du Monde, notamment de rugby, ou pas que de rugby d'ailleurs, à l'aune des Jeux Olympiques, les données des sportifs font l'objet de beaucoup de convoitises. Et on a un peu l'impression que c'est un bac à sable. Je ne dirais pas des cobayes, mais je sais que selon les réglementations, vous avez des entreprises qui proposent des kits. de prédictabilité des problématiques en utilisant le profilage génétique, ce qui est extrêmement dangereux. Et il y a une inégalité de la réglementation avec une disparité. Il y a des pays plus ou moins, entre guillemets, accueillants en termes de données médicales. Et là, on a des risques d'exclusion dans certains pays. Qu'est-ce que ça veut dire que la performance ? Est-ce qu'on est prêt à tout sacrifier pour de la performance ? Est-ce qu'on est prêt à tout sacrifier pour prévoir ? Donc cette notion de capacité de choisir, je pense qu'elle est effectivement centrale, puisqu'on est en train de glisser doucement dans une espèce de servilité, mais ça, on l'a écrit depuis très longtemps. Est-ce qu'on ne va pas vers autre chose derrière cela ? Est-ce qu'on n'est pas en train de nous éduquer à être des moutons, c'est-à-dire nous dire, vous allez être très heureux, vous allez voir. Vous allez être très heureux. Tous les moutons marchent ensemble, mais tous n'ont pas le même prix. C'est toujours pareil. Donc vous allez être heureux avec une espèce de consensus mou. Donc moi, la question centrale, qu'est-ce que ça veut dire de consentir ? Est-ce que le consentement, ce n'est pas quelque chose qui se travaille ?
Speaker #1
D'abord, je vais garder historiquement. Je me suis rendu compte que le consentement est un concept qui vient relativement tard en matière de protection des données, dans la mesure où ce sont les Allemands qui l'ont introduit, en particulier en 1995, lors de... de l'adoption de la directive européenne en matière de protection des données. Je me pose la question de savoir si c'est encore quelque chose qui, effectivement, est important. Je crois que c'est important dans un certain nombre de cas qu'il y ait un consentement, mais qu'à ce moment-là, ce soit un vrai consentement. Mais quand vous voyez les conséquences qu'un consentement peut avoir par rapport à d'autres, je donne un exemple, parce que celui-là… J'ai mon assureur qui me dit « Monsieur le coulée, vous avez Phil comme étant un excellent conducteur, est-ce que vous nous permettez de mettre un certain nombre de capteurs dans votre voiture de manière à ce que nous puissions prendre un certain nombre de données sur votre façon de conduire et cela aboutira à évidemment une réduction de vos primes qui vous avantage pas ? » Il est clair que mon choix… personnel et individuel, risque, si je ne prends en compte que mon intérêt, d'être positif. Là derrière se pose la question de savoir quelle est la conséquence que tout cela va avoir par rapport à d'autres personnes, par rapport à d'autres personnes qu'en anglais assuré, qui bien évidemment, soit ne souhaiteront pas, ils seront considérés comme suspects, soit diront qu'il n'y a pas de question, je préfère évidemment ne pas… ne pas être suivi de façon de façon continue donc il y avait un article récent que j'aime beaucoup sur la double face de la notion d'autonomie l'autonomie ça n'est pas purement une décision individuelle c'est une décision individuelle avec des répercussions sur autrui et dès lors cette externalité du consentement devrait être prise en compte une réflexion J'ai écrit beaucoup sur cette notion de consentement et sur les limites du consentement. Je crois qu'il est plus que temps de revenir sur ce sujet.
Speaker #0
Est-ce que les algorithmes ne vont-ils pas être gouvernés par la loi du marché, in fine ?
Speaker #1
Ce qui est certain, c'est que pour le moment, les génératifs AI sont des produits américains. Ce produit américain, on commence à voir quelques produits chinois qui débarquent. De nouveau, on se pose la question de savoir où est l'Europe. L'Open AI est un produit Microsoft, Dell E est un produit, Bart sont des produits Google, et Amazon annonce effectivement aussi bientôt un générateur d'AI. Donc, lorsque l'Europe souhaite contrôler, gouverner...
Speaker #0
Les systèmes AI, on voit bien évidemment toutes les limites que cela peut avoir. C'est clair que la régulation AI est une régulation qui a des effets extraterritoriaux, puisque c'est applicable à tout AI qui est présent sur le marché européen. Mais est-ce que pour autant, l'Europe sera en mesure de négocier ce qui est développé par le marché américain, d'autant que Biden l'a répété ? Les États-Unis souhaitent bien évidemment travailler sur un modèle qui est un modèle beaucoup plus de co-régulation avec les grosses entreprises et de garder ainsi le leadership en matière d'EI. Donc voilà un petit peu le défi auquel l'Europe se lance. Est-ce qu'on peut réguler le marché contre la volonté des personnes qui sont plénipotentielles sur ce marché ? C'est le... C'est le pari que Trump fait sur le DMA, Digital Market Act. C'est le pari qu'il fait sur le DSA. C'est le pari qu'il fait en matière d'intelligence artificielle. Est-ce qu'il l'a gagné dans le cadre du RGPD ? Oui, les autorités de protection de données disent oui. Regardez, on a encore condamné Google, on a encore condamné Facebook. On n'est pas certain que les pratiques de Google et de Facebook ont été pour un moment... profondément modifié. Voilà, donc c'est pas certain que l'on puisse l'emporter. Le modèle européen qui repose quand même sur une responsabilisation des entreprises m'apparaît un bon modèle, mais à quelle mesure les outils de contrôle que l'Europe met à travers la standardisation, à travers ses autorités de notification, ses autorités de supervision, suffiront certainement.
Speaker #1
En fait, c'est toujours l'éternelle question, c'est est-ce que c'est la peur du gendarme ou est-ce que c'est la volonté d'être un acteur de confiance ? Un acteur de confiance, l'internaute, le consommateur moyen, à un moment donné, il réfléchit à la gravité des répercussions de ses traces numériques. Les traces numériques disent beaucoup de nous, parfois même ce que nous ignorons, elles disent beaucoup de nos enfants, elles disent beaucoup de notre cellule familiale, sans même que nous n'en ayons complètement conscience. Donc ça viendra peut-être des exigences des consommateurs qui vont peut-être vouloir être un peu moins transparents, mais ça sera peut-être réservé, hélas à quelques happy few. Moi ma crainte c'est qu'on évolue vers une société d'exclusion complète. C'est le grand risque. L'opacité pour certains, la transparence pour ceux qui ne seront pas en capacité de refuser ou de contrer la pression qui sera faite par un assureur, par un employeur. parce que c'est toujours très, très intrusif. Donc, c'est comment on va se positionner, outre la fameuse insidieuse fabrication des consentements, parce que personne ne veut renoncer aux friandises tendues par les GAFAM. Et donc, la question qui arrive derrière, c'est avec les casques que nous promet dans le bonheur technologique promu par Elon Musk, notamment, les fameux casques connectés. où on va collecter nos données subconscientes, est-ce que là on n'est pas peut-être en train d'aller trop loin ? Parce que, en tant que juriste, parce que nous on est là en tant que juriste, comment je vais rédiger des politiques d'information pour assurer la protection de données dont je n'ai même pas conscience, alors que la façon dont je fonctionne à 80% est déterminée par ce que je ne connais pas de moi ? Est-ce qu'on n'est pas en train de se tromper de frontière ?
Speaker #0
Vous avez 100 fois raison, je crois qu'on est en train, me semble-t-il, à travers... comme vous dites, des friandises, c'est-à-dire des gains immédiats en termes de facilité, éventuellement de possibilités, notamment en matière d'utilisation des génératifs AI pour pouvoir éventuellement faire des œuvres artistiques. On est en train de se livrer, puisque bien évidemment, derrière cette utilisation de génératifs AI et de l'intérêt que ça peut avoir... l'étudiant qui fait rédiger son mémoire ou éventuellement l'avocat qui fait rédiger sa prédoire.
Speaker #1
Assez risque et péril.
Speaker #0
Tout à fait, c'est un autre point. Par cas de l'épidémie, il n'y a rien à faire. C'est un avantage immédiat. Derrière ça se capte bien évidemment une possibilité pour ces sociétés de capter un certain nombre de données. Alors, est-ce qu'on peut appeler ça de l'exploitation de vulnérabilité ? Et donc à partir de ce moment-là... Et à Acte, il y a toute une série de réflexions et d'interdictions par rapport aux entreprises qui exploitent la vulnérabilité de quelqu'un. de personnes, c'est notamment le cas dans les Ausha de compagnons. Je ne sais pas si vous voyez.
Speaker #1
Oui, tout à fait. Le fameux film Her.
Speaker #0
Tout à fait. Vous avez, que ce soit Chai ou autre, qui vous disent, nous allons prendre soin de vous, nous vous aimons, nous allons vous suivre, nous allons vous dire ce qu'il faut faire, etc. Et puis, je suppose que vous connaissez ce fameux cas en Belgique, où un ingénieur... qui n'était conduite pas cette conversation addictive carrément au suicide. On se rend bien compte effectivement du danger que peut présenter la manipulation des gens à travers ces outils.
Speaker #1
Mais alors est-ce que finalement le philosophe Gunther Anders en 1956, lorsqu'il parle de l'obsolescence de l'homme, est-ce que ce n'est pas lui le précurseur ? Est-ce qu'on n'est pas face à une... La révolution peut être algorithmique ou pas, mais finalement la problématique c'est l'homme, ça restera l'homme. Et est-ce que finalement on n'est pas en train de clôturer un chapitre ?
Speaker #0
J'espère en tout cas que la gouvernementalité ne sera pas purement algorithmique.
Speaker #1
On va se battre Yves, on est d'accord, on va se battre.
Speaker #0
On va se battre, mais je crois qu'il faut le faire dans les lieux même où se discutent les développements de... d'intelligence artificielle. J'étais étonné parce que les chercheurs en Belgique faisaient une réunion sur l'intelligence artificielle, où ils présentaient leurs merveilleux produits d'intelligence artificielle. Trois des conférenciers, ils étaient six, donc la moitié, se sont tournés vers le régulateur en disant S'il vous plaît, intervenez. Nous nous rendons compte que nous ne sommes pas à même de décider. Il est temps que nous ayons des balises.
Speaker #1
Il est temps qu'on fasse appel à une vraie supervision humaine. Alors, comment est-ce que vous voyez, pour terminer, l'évolution du cadre juridique pour les prochaines années ? Qu'est-ce qu'on va faire ? Est-ce qu'il ne s'agirait pas d'être un peu plus pragmatique, plus simple, et de dire, voilà, il faut que ça soit explicable, il faut que ça soit transparent, il faut que ce soit accepté ? etc. Vous êtes responsable, vous gérez votre risque, c'est une chose. Mais il y a effectivement des frontières inacceptables qu'on ne traversera pas, gravées dans le marbre. Et puis il y a surtout la façon dont nous, en tant qu'individus, on va interagir demain avec les robots, demain avec des consciences, avec les morts qui seront peut-être toujours en train de nous parler. La mort numérique, c'est aussi des enjeux dont on parlera sur un autre podcast. Donc c'est volonté de toujours se dépasser. Est-ce qu'il ne faut pas qu'on se calme un petit peu et qu'on remette les garde-fous à l'ancienne ? Dieu, ce n'est pas l'algorithme. Encore une fois, Luc Julia dit même que ça n'existe pas, mais que le machin ne va pas nous dépasser. Mais c'est peut-être nous qui devons nos appétits, nos appétits qu'il va falloir réguler. Donc qu'est-ce qu'on peut faire ? Quelles seraient vos propositions concrètement ? Si vous aviez une baguette magique ?
Speaker #0
Je me suis dit en lisant, autant j'étais extrêmement dubitatif et même un peu triste du premier acte, autant je trouve que la réflexion du Parlement européen a été menée de façon, me semble-t-il, intéressante et donne des possibilités de réflexion. et d'actions réglementaires. Il y a d'abord l'affirmation dans laquelle il y a cette obligation de respecter un certain nombre de principes, le principe de la privé, le principe de la sécurité, le principe, vous connaissez les fameux sept principes qui avaient été énoncés par le groupe qui s'occupait de l'éthique et qui avait été nommé par… la Commission européenne, mais tout d'un coup, voilà, il se retrouve à l'intérieur du texte. Donc, c'est un premier point, il y a cette obligation. Et un deuxième point, je l'ai dit tout à l'heure, une obligation d'évaluation. Cette obligation d'évaluation, qui est une obligation d'évaluation pas uniquement formelle, mais une obligation d'évaluation avec un certain nombre de partenaires externes, m'apparaît comme quelque chose d'extrêmement intéressant. C'est peut-être intéressant de voir aussi. Cette obligation, elle n'est maintenant faite pas simplement à ceux qui développent les systèmes d'intelligence artificielle, mais surtout par les entreprises qui l'utilisent. En disant que les deployers, comme on appelle ça dans le jardin du Parlement européen, sont l'obligation de participer à cette évaluation, l'obligation de faire cette évaluation. Donc, ces deux points, il y a évidemment, me semble-t-il, également cette réflexion sur le fait qu'il y a un certain nombre de choses qui sont interdites. Alors, est-ce que c'est suffisant ? On voit bien qu'il y a des lobbies qui s'agissent de partout. On est là, oh là là, attention, au niveau de l'utilisation de données biométriques, vous avez été trop loin, etc. Mais il y a, me semble-t-il, une réflexion sur des choses qui doivent être interdites. Et alors, ce que je trouve intéressant dans la dernière proposition, c'est le fait qu'il y a dorénavant une espèce d'office en technologie assessment. Au niveau européen, la création d'un advisory board qui doit réfléchir et rendre des rapports publics et éventuellement conseiller l'Union européenne sur les enjeux d'un certain nombre d'outils d'IA. Donc il y a cette réflexion qui doit être une réflexion publique au niveau macro, plus cette réflexion qui est, on en parlait avant, une réflexion au niveau des entreprises qui utilisent des systèmes IA. Mais cette réflexion macro me paraît également quelque chose d'important. Voilà, maintenant, ce n'est pas parfait. On voit bien que les pays qui nous entourent adoptent, les États-Unis sont pour un modèle d'autorégulation avec simplement des obligations d'assessment interne. La Chine vient de sortir un texte réglementaire. Un texte réglementaire qui va assez loin. J'étais assez étonné de voir ce texte, même s'il commence par dire qu'il doit être au service de la société communiste chinoise. Mais pour le reste, il y a quand même une certaine limite, notamment en matière de protection des mineurs, qui sont intéressantes. Voilà, donc ne perdons pas espoir sur la possibilité pour la réglementation, mais pas une réglementation… contraignantes ou tout viendrait d'un contrôle de l'État, mais une réglementation qui est plus une fixation de balises et qui renvoie à cette démarche éthique, à savoir cette obligation pour les entreprises de se poser des questions en ce qui concerne leur respect d'un certain nombre de principes, qui sont des principes éthiques.
Speaker #1
Et oui, j'aime bien votre idée de droit souple finalement, mais être focus et ferme sur l'essentiel, en n'oubliant jamais que... L'État doit être transparent et l'individu opaque et pas l'inverse. Donc je tenais véritablement à vous remercier. Donc il s'agit, vous avez bien entendu Yves Poulet, c'était Franche Charvelier pour Data Ring. Il s'agit de construire une intelligence artificielle pour le bien. Et encore au-dessus, il faut s'entendre sur la définition du mot bien. Et donc que représente l'IA pour notre futur ? Quel futur allons-nous façonner pour nos enfants, pour les générations à venir ? S'intéresser aussi à la nature dont rien d'absolu ne nous sépare. Donc peut-être aussi de revenir aux fondamentaux et au réel. Donc c'était Franche Charmier pour Data Ring. Et puis merci Yves de ce moment partagé, parce que l'altérité, c'est ce qui nous rendra définitivement meilleurs. Et on va essayer d'avancer et de se battre tous ensemble.
Speaker #0
Merci d'avoir donné écho à mes réflexions.
Speaker #1
Elles sont très belles vos réflexions et on a envie d'en entendre encore davantage. Merci beaucoup et à bientôt pour de nouveaux épisodes de Data Ring. Et nous allons... finalement continuer notre série sur l'intelligence artificielle avec d'autres auteurs, d'autres professeurs. Et puis nous allons tous essayer de comprendre ce qui se passe en ce moment et d'y participer parce qu'on améliore bien que ce qu'on est en capacité de mesurer. Au revoir et à bientôt.

Chapters

Introduction

0sec

Nouvel épisode des Causeries Data

50sec

Qui est le Professeur Yves POULLET ?

1min

Parcours professionnel

2min

Pourquoi le droit du numérique ?

3min

Pourquoi l'IA ?

5min

En quoi consiste l'IA Générative ?

6min

Le problème de l'anonymisation

11min

Le problème de définition

12min

Les difficultés pour les entreprises

13min

La réflexion de l'UE : le principe d'accountability

15min

La fabrication du consentement et l'atteinte aux libertés

17min

Les difficultés de l'approche par les risques

19min

Éthique de l'IA : droit à l'intimité et droit au choix

21min

La tentation autour des données génétiques

25min

Le consentement

26min

La gouvernance du marché

28min

La place du consommateur

31min

Le problème de la frontière entre conscient et inconscient

32min

L'obsolescence de l'homme ?

35min

Quelles évolutions du cadre juridique dans les années à venir ?

36min

Conclusion

42min