Depuis ces deux dernières années, les projets de normes se multiplient pour tenter de faire face aux risques potentiels engendrés par des usages malintentionnés ou incontrôlés de l’IA. Le dernier en date est une recommandation sur l’éthique de l’Intelligence Artificielle, adoptée par l’UNESCO le 24 novembre 2021. Il est en effet nécessaire d’encadrer l’Intelligence Artificielle qui nous accompagne dans de nombreuses situations de notre vie. Pour autant ces réglementations, visant à garantir une éthique de l’IA, ne sont-elles pas aussi un frein à l’innovation et à la compétitivité ? Tous les pays ne s’alignant pas sur ces textes, un fossé ne risque-t-il pas de se creuser entre ceux acceptant l’accompagnement du développement de l’IA et ceux se situant en marge de ces réglementations ?
Le RGPD comme inspiration…mais seulement en surface
Etats-Unis, Chine et Europe, trois entités géographiques et autant de manières, façonnées par l’histoire, d’appréhender l’éthique et de définir un cadre moral. La gestion des données, plus spécifiquement leur utilisation et leur protection, n’échappent pas à ces différentes visions. L’IA étant étroitement liée à celles-ci, il est intéressant de s’attarder sur cette relation entre données et éthique dans les différentes régions du monde.
En réalité, cela signifie que la majorité des données des consommateurs chinois ne peuvent être stockées et traités que sur leur sol national.
Le 20 août 2021, le Comité Permanent de l’Assemblée Nationale Populaire chinoise a officiellement approuvé une nouvelle loi : la Personal Information Protection Law (PIPL). Si certaines similitudes, définition de la donnée à caractère personnel par exemple, semblent émerger entre le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne et le PIPL chinois, les divergences n’en sont pas moins majeures. Dans l’Empire du Milieu, les données sont ainsi considérées comme un facteur de production au même titre que le travail, le capital ou le foncier. Leur transfert vers l’étranger est donc soumis à un cadre réglementaire défini par un terme à la fois strict et vague. En effet, celles-ci ne peuvent être traitées hors du pays que si elles ne portent pas atteinte « à la sécurité nationale ». En réalité, cela signifie que la majorité des données des consommateurs chinois ne peuvent être stockées et traités que sur leur sol national. Mais si la Chine semble réguler l’utilisation des données, ces lois ne s’appliquent en réalité qu’aux entreprises, l’Etat gardant toujours les mains libres en ce qui concerne leur traitement. Il y a donc un écart entre la protection des données telle qu’elle est appliquée en Chine et telle que nous la concevons en Europe.
En Europe, le RGPD est un maillon essentiel de cette chaîne législative qui commence à se mettre en place autour des algorithmes. Avec cette norme, la collecte des données est encadrée mais autorisée. Les principales mesures portent sur le droit à l’oubli, la portabilité des données, l’accord clair et explicite de l’internaute quant à la collecte et au traitement de ses données ou encore le profilage. Son principal objectif est de lever des zones d’ombres pouvant exister sur la question des data, en instaurant une relation de confiance des citoyens sur l’utilisation de leurs données à caractère personnel. Là où la Chine prohibe le transfert des données de ses citoyens vers l’étranger, le RGPD stipule la libre circulation de la data au sein des pays membres. Cette autorisation revêt une importance fondamentale tant d’un point de vue compétitif qu’économique.
La Chine et le PIPL, l’Europe et le RGPD, reste la question des Etats-Unis. Là encore l’Europe fait figure de point de comparaison intéressant. Au pays de l’Oncle Sam, malgré des demandes en ce sens, aucun cadre fédéral n’a encore vu le jour. Les Etats ont donc chacun adopté des lois sur la question de la data. La Californie est un précurseur avec le vote, en juin 2018, du California Consumer Privacy Act (CCPA). Ses principales mesures portent sur un régime de sanctions à l’encontre des entreprises fraudeuses et de nouveaux droits en faveur des consommateurs, comme celui de connaître la manière dont ses données sont utilisées. Pour autant ces deux textes se distinguent par leur paradigme, dans la mesure ou le CCPA offre une protection aux consommateurs au sein du système économique alors que pour le RGPD c’est davantage la protection morale du citoyen qui est visée. Les différences culturelles entre les Etats-Unis et l’Europe peuvent expliquer ces différentes approches. En effet, en Californie, seules les entreprises à but lucratif dont le revenu dépasse les 25 millions de dollars, ou qui détiennent des informations sur au moins 50 000 consommateurs, ou génèrent plus de 50% de leur chiffre d’affaires via la vente de données sont concernées.
Le pouvoir entre les mains des utilisateurs et des régulateurs
En Europe, grâce au RGPD, les individus ont un certain pouvoir sur la gestion de leurs données personnelles, essentielles pour calibrer les algorithmes de l’IA. Lorsque les utilisateurs acceptent des conditions « en conformité avec le RGPD », ils autorisent la collecte et l’usage de données destinées notamment à entraîner ces algorithmes : nous donnons notre data en échange de l’utilisation de certains outils. Comprendre ce pouvoir qui est entre nos mains est important et c’est cette éducation qu’Aurélie Jean, scientifique numéricienne, appelle de ses vœux « pour comprendre les discours alarmants et dangereux il faut d’abord comprendre les tenants et les aboutissants de l’IA » dans son livre Les algorithmes font-ils la loi ?
Ce renforcement du positionnement de l’Europe pour un traitement éthique des données est aussi un atout intéressant d’un point de vue de la compétitivité. On peut prendre l’exemple du label bio pour les fruits et les légumes : le consommateur est prêt à payer plus cher pour un produit de meilleure qualité.
L’IA est une véritable révolution au même titre que la révolution industrielle au XIXème siècle, à ceci près qu’elle est abstraite pour bon nombre d’entre nous : nous utilisons des algorithmes dans notre vie de tous les jours sans forcément le savoir ni comprendre leur fonctionnement. Nous avons donc besoin « d’un traducteur en IA », les scientifiques notamment, pour mieux comprendre la logique des algorithmes. Mais les algorithmes ont cette particularité qu’ils touchent à bien d’autres domaines que la science ; on peut avoir une approche éthique de la donnée, par exemple, et rentrer ainsi dans des considérations davantage philosophiques. D’où la nécessité d’avoir une approche transdisciplinaire de l’IA, notamment en ce qui concerne la rédaction des normes. L’IA est aussi un sujet particulièrement mouvant, ce qui renforce la difficulté de l’encadrer par des textes juridiques, qui ont tendance à arriver en retard par rapport aux pratiques sociales. Il faut donc arriver à se projeter dans le futur sans pour autant sacrifier l’innovation et le progrès. D’où l’importance, pour les régulateurs, de comprendre et de maîtriser les nuances des algorithmes.
En avril 2021, la Commission Européenne s’est positionnée sur un projet de réglementation sur l’usage de l’IA avec comme objectif « une IA digne de confiance ». Ce renforcement du positionnement de l’Europe pour un traitement éthique des données est aussi un atout intéressant d’un point de vue de la compétitivité. On peut prendre l’exemple du label bio pour les fruits et les légumes : le consommateur est prêt à payer plus cher pour un produit de meilleure qualité. On peut donc imaginer le même phénomène avec un éventuel label européen sur l’éthique et la confiance dans le traitement des données. Cette perspective rejoint l’objectif de l’UE : susciter l’adhésion autour d’un sujet controversé tel que l’IA, mais avec un fort potentiel pour l’amélioration de la qualité de vie des humains.