IA ET RGPD
Quelques cas d’espèces…

Les exemples suivants mettent en lumière l’interconnexion inévitable de ces deux matières et l’importance d’encadrer l’intelligence artificielle à l’aune de la règlementation en matière de protection des données.

JUIN 2023
Open AI a été accusé d’avoir volé et utilisé, sans le consentement des personnes concernées, les données personnelles de millions d’Américains pour entraîner son outil, dont des données relatives à leurs croyances religieuses, opinions politiques ou orientations sexuelles. Les requérants invoquent plusieurs infractions dans leur plainte, telles que des violations de l’Electronic Communications Privacy Act, du California Invasion Privacy Act et du Computer Fraud and Abuse Act et demandent une réparation à hauteur de 3 millions de dollars.

AVRIL 2023
En France, deux plaintes ont été déposées auprès de la CNIL, notamment au regard de l’absence d’informations fournies aux utilisateurs dans une politique de confidentialité ou des conditions générales d’utilisation (articles 12, 13 et 14 du RGPD), ainsi que l’impossibilité d’exercer le droit d’accès aux informations collectées par Open AI (article 15 du RGPD).

MARS 2023
En mars dernier, l’autorité italienne avait déjà pris la décision de bloquer le robot conversationnel afin de limiter le traitement des données des utilisateurs italiens vis-à-vis d’Open AI en raison notamment de l’absence de base légale justifiant le recueil et la conservation des données (article 6 du RGPD) mais également au regard de l’absence de filtre pour vérifier l’âge des utilisateurs.

Les risques liés à l’IA au regard des données sont nombreux

• Risque d’opacité et de manque d’informations fournies aux personnes concernées dans le développement d’un système d’IA
• Risques de failles des systèmes d’IA et d’atteinte à la sécurité et à la vie privée des personnes en raison de la collecte massive de données
• Risques d’atteinte aux données sensibles des personnes concernées (opinions politiques, religieuses, orientation sexuelle…)
• Risques d’effets intrusifs injustifiés dans la vie privée des personnes concernées

Les bonnes pratiques à mettre en place pour pallier aux risques de l’IA

Exigences générales

Tout comme le traitement de toute donnée, tout système d’IA se doit de respecter les principes fondamentaux du RGPD. Pour tout traitement, il convient dès lors de :

• Définir une finalité ;
• Etablir une base légale ;
• Minimiser les données et n’utiliser que les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard de l’objectif défini ;
• Définir une durée de conservation ;
• Permettre l’exercice des droits des personnes concernées.

Exigences propres aux systèmes d’IA

Au regard de sa nature, l’IA nécessite de mettre en place des mesures spécifiques, telles que :

• Mettre en place des mesures de sécurité et confidentialité spécifiques pour se prémunir des risques d’attaques des systèmes d’IA (attaques par inférence d’appartenance, attaque par exfiltration de modèle ou attaque d’inversion de modèle) ;
• S’assurer d’éviter toutes discriminations propres aux systèmes d’IA ;
• Encadrer la prise de décision automatisée ;
• Promouvoir la transparence du système tout au long de son utilisation.

Pour conclure…

Bien que l’Europe ait posé les jalons à la mise en œuvre d’une stratégie européenne de l’IA en 2018, que de nombreux travaux aient été menés et qu’un projet de Règlement sur l’intelligence artificielle («  RIA  ») soit dans les fourneaux de l’Union européenne, il n’en demeure que l’actualité dépasse très largement la vitesse normative de l’UE.

La prise en compte de la protection des données dans les réflexions sur l’intelligence artificielle sont indispensables, tant ces domaines sont indissociables l’un de l’autre.

À cet égard, le Conseil d’Etat avait déjà noté, dans une étude datant de 2022, « la très forte adhérence entre la régulation des systèmes d’IA [à venir] et celle des données, en particulier des données à caractère personnel ».

La Commission nationale Informatique et Libertés («  CNIL  ») était alors recommandée comme l’autorité nationale de contrôle des systèmes d’IA au titre du projet de RIA. Il ne peut être qu’espéré que les différentes affaires présentées et à venir inspirent le législateur et le pousse à intégrer tous les risques connus de l’IA dans la future règlementation.

Les enjeux de la conformité pour les entreprises du secteur seront importants et une analyse plus approfondie du texte final sera nécessaire pour mettre en exergue toutes les obligations prévues.

IA ET PROPRIÉTÉ INTELLECTUELLE
Quelques cas d’espèces…

L’actualité a aussi mis en exergue le lien étroit entre intelligence artificielle et propriété intellectuelle.

AOÛT 2023
Dans une décision du 18 août 2023, un tribunal américain (tribunal de district de Columbia aux Etats-Unis) a rendu une décision concernant la question de la protection par le droit d’auteur des contenus générés par une IA. Cette décision fait suite à la demande de protection du droit d’auteur d’une œuvre créée de manière autonome par l’IA “Creativity Machine” développée par Stephen Thaler. Cette demande avait été rejetée par l’US Copyright Office au motif que le lien entre l’esprit humain et l’expression créative est un élément essentiel du droit d’auteur. Le tribunal retient cette argumentation et conclut que l’absence d’implication humaine ne permet pas une protection de l’œuvre au titre du droit d’auteur.

AOÛT 2023
Alors qu’Open AI et le New York Times étaient en négociation afin d’autoriser l’utilisation des articles du journal par Open AI, le New York Times a menacé de poursuivre la start-up estimant que Chat GPT reprenait illégalement ses articles pour composer sa base de données. Si la plainte aboutit, les risques sont doubles pour Open AI : la reconnaissance de la violation de droits d’auteur et la condamnation à de lourdes sanctions pécuniaires.

JUILLET 2023
Open AI faisait également l’objet d’une plainte par deux romanciers américains, Paul Tremblay et Mona Awad, l’accusant d’exploiter leurs œuvres dans le cadre de l’apprentissage automatique de Chat GPT, documents acquis sur des sites illégaux dits de “shadow library”.

Que faut-il retenir ?

Ces affaires posent deux questions majeures :

Dans quelles mesures les contenus utilisés et produits par l’IA portent atteinte aux droits d’auteur ?

Conformément à l’article L. 111-1 du Code de la propriété intellectuelle (CPI), « l’auteur d’une œuvre de l’esprit jouit sur cette œuvre, du seul fait de sa création, d’un droit de propriété incorporelle exclusif et opposable à tous ». Cette protection appartient à l’auteur, celui sous le nom duquel l’œuvre est divulguée. À cet égard, l’auteur dont l’œuvre est utilisé par une IA sans son consentement peut faire valoir ses droits sur différents fondements dont l’action en contrefaçon. Se pose également la question de la responsabilité de l’utilisateur de telles IA, lorsque les contenus générés violent des droits d’auteur…

Est-ce que le contenu produit par une IA pourrait être protégé ?

Sont aujourd’hui protégés au titre du droit d’auteur « toutes les œuvres de l’esprit, quels qu’en soient le genre, la forme d’expression, le mérite ou la destination. » (article L. 112-1 du CPI) L’article L. 112-1 du CPI dresse quelques exemples de telles œuvres, parmi lesquelles ne figurent pas (encore) les contenus générés par IA – contenus entrant en contradiction avec le concept d’œuvre de l’esprit. Nous n’avons pas d’autres choix que d’attendre qu’une première décision nous aiguille sur l’avenir de l’IA et la PI.

Pour conclure…

L’enjeu de la protection du droit d’auteur est crucial pour nombre d’auteurs dont les œuvres se retrouvent utilisées illicitement par certaines IA, dans le cadre de leur apprentissage eu égard au nombre infini de données utilisées par ces systèmes. Au regard des affaires récentes, il ne fait aucun doute que le contentieux en la matière est voué à croître. Sur la protection des œuvres générées par une IA, des incertitudes demeurent. En effet, si la décision du tribunal de district de Columbia rejette la protection au titre du droit d’auteur de l’œuvre générée par IA, qu’en sera-t-il des œuvres reposant sur l’IA mais impliquant une intervention humaine créative préalablement ? En Europe, la Cour de justice de l’Union européenne a déjà affirmé que le droit d’auteur impliquait l’intervention humaine (arrêt du 16 juillet 2009, Infopaq (C-5/08 Infopaq International A/S c. Danske Dagbaldes Forening) ; reste à voir l’orientation que prendront la Cour de justice de l’Union européenne et les tribunaux français dans les années à venir.