Si la CNIL italienne avait décidé de frapper fort en suspendant provisoirement l’accès à ChatGPT du pays, son homologue français a choisi la voie d’une régulation plus douce et réfléchie. Comme l’indique Marie-Laure Denis, présidente de la Cnil, dans un entretien aux Echos, « la Cnil n’a pas découvert l’IA avec ChatGPT ». Il n’empêche la fulgurance de l’outil d’OpenAI a provoqué une accélération du développement des IA génératives (Bard de Google, Dall-E, Midjourney, Stable AI, Bloom, Vall-E, Character AI, etc.).

Une régulation réfléchie et collaborative

Face à cette déferlante, la Cnil a élaboré un plan d’action pour réguler ce foisonnement d’initiatives en s’assurant d’un équilibre entre innovation et protection des données personnelles. Dans ce cadre, la régulation proposée se fixe 4 objectifs. Le premier réside dans la compréhension du fonctionnement des systèmes d’IA et l’impact sur les personnes. Des travaux menés par le LINC (laboratoire d’innovation numérique de la Cnil) soulèvent plusieurs points comme la transparence des modèles d’IA, l’usage du scraping des données personnelles sur le web pour alimenter les modèles, les conséquences sur les droits des personnes sur leurs données, etc.

En seconde position, le régulateur doit fixer un cadre pour expliciter notamment le RGPD face au développement des IA génératives. Les récentes annonces de Google lors de sa conférence développeur I/ le montrent. Les améliorations du chatbot Bard ne sont pas disponibles en Europe, car la firme américaine a des doutes sur sa compatibilité avec le RGPD et s’interroge aussi sur la réglementation européenne sur l’IA en cours de discussion. La Cnil prévoit plusieurs publications d’ici l’été autour de la conception de systèmes d’IA et la constitution de bases de données pour l’apprentissage automatique. Par ailleurs, elle va engager une consultation sur un guide sur les règles applicables au partage et à la réutilisation des données.

Un accompagnement et une vigilance constante

La troisième brique du plan d’action fait la part belle à l’accompagnement des initiatives et des projets en IA pour vérifier leur compatibilité avec les règles de protection des données personnelles. Cela passe par exemple par les « bacs à sable » organisés par la Cnil sur des programmes IA de certaines sociétés notamment dans la santé. En complément, le régulateur a ouvert cette année le programme « d’accompagnement renforcé » pour assister des entreprises innovantes dans leur conformité au RGPD.

Si les efforts sont mis sur la dynamique de développement des IA, la Cnil reste vigilante sur les dérapages. On ne s’étonnera donc pas que le dernier volet du plan d’action porte sur les contrôles et l’audit des systèmes d’IA. La Commission a été saisie par plusieurs plaintes liées à ChatGPT d’OpenAI dont une saisine par le député renaissance Eric Bothorel. La Cnil a envoyé un questionnaire à la start-up américaine qui selon Marie-Laure Denis « a une approche légaliste ». Ce n’est pas le cas pour toutes les sociétés. Ainsi, Clearview a vu son amende augmentée pour ne pas avoir réglé sa sanction initiale, ni répondu à sa mise en conformité au RGPD.