[Tribune] Le RGPD pourrait freiner les ambitions de l'Europe en matière d'intelligence artificielle
Publié par Mathilde Gérot (Signature Litigation) et Winston Maxwell (Institut Polytechnique de Paris) le - mis à jour à
Le RGPD européen comporte un certain nombre d'incertitudes liées à la protection des données personnelles et de points de friction avec l'innovation technologique, selon les experts Mathilde Gérot et Winston Maxwell.
La Commission européenne a récemment annoncé sa stratégie en matière de données et IA. L'Europe aurait selon la Commission un potentiel et des perspectives importantes en matière d'IA dans le secteur des applications industrielles et B to B. Néanmoins, et la Commission se garde bien d'évoquer cet aspect, il est probable que le RGPD entrave, au moins partiellement, les ambitions de cette dernière en la matière.
Le RGPD constitue l'étalon d'or en matière de protection des données à travers le monde, mais plusieurs de ses principes sont antinomiques à la création de grands ensembles de données nécessaires à la phase d'"apprentissage" du machine learning. Des concepts du RGPD, tels que l'intérêt légitime ou l'intérêt public, qui permettraient en théorie d'innover, sont si vagues qu'ils offrent en pratique peu de sécurité juridique.
Comment la Commission devrait-elle gérer les frictions entre le RGPD et l'innovation en matière d'IA?
La première étape serait, pour la Commission, de reconnaître l'existence de ces frictions puis de se concentrer davantage sur la réduction des obstacles tout en préservant les principes essentiels du RGPD. La Commission pourrait ensuite élaborer des lignes directrices sur l'interprétation des dispositions vagues du RGPD, à l'aune du Traité sur le fonctionnement de l'Union européenne et en particulier de ses objectifs en matière de compétitivité et d'innovation. La Commission a déjà émis une recommandation sur l'Internet des objets à la lumière de la Directive sur la protection des données de 1995. Une recommandation similaire pourrait être publiée pour le machine learning à la lumière des contraintes du RGPD.
Plus précisément, le RGPD contient trois zones d'incertitude sur lesquelles la Commission pourrait apporter des éléments de clarification.
Premièrement, une incertitude demeure sur ce que constitue des données personnelles et la façon dont des "catégories spéciales" peuvent être utilisées pour l'apprentissage et les tests en matière d'IA. Sachant qu'il devient de plus en plus facile d'établir une corrélation entre une donnée anonymisée et un petit groupe de personnes, exclure les données personnelles du champ du machine learning semble irréaliste. La plupart des données qui proviennent des voitures ou de dispositifs médicaux peuvent être reliées à un individu unique. Les données provenant d'objets connectés peuvent également être couvertes par la directive "vie privée et communications électroniques".
Alors que de vastes ensembles de données personnelles, comprenant divers groupes de population, sont nécessaires pour entrainer les algorithmes et éviter les biais, les dispositions du RGPD sont perçues comme faisant obstacle aux essais de cette sorte en Europe. La Commission pourrait examiner, en conformité avec le RGPD, la création de bases de données représentatives et de mécanismes de tests destinés à éviter les comportements discriminatoires des algorithmes.
Deuxièmement, le RGPD comprend des dispositions relatives aux recherches scientifiques et traitements statistiques susceptibles de s'appliquer aux recherches en matière d'IA, mais dont la définition reste ambiguë. En outre, il existe un risque de forum shopping lié à la marge de manoeuvre laissée aux Etats-membres par le RGPD dans ce domaine. Il serait donc souhaitable que la Commission clarifie la manière dont les dispositions du RGPD en termes de recherches scientifiques et de traitements statistiques pourraient faciliter l'innovation en matière de machine learning.
Troisièmement, il existe une incertitude relative aux garanties et au niveau de protection appropriés à mettre en place, tel que l'exige le RGPD, pour effectuer une recherche scientifique ou des études statistiques. Concernant la recherche médicale, le législateur français et la Cnil ont défini les mesures appropriées devant être mises en place afin de protéger les données de santé. Cependant, cette approche ne fonctionne pas en dehors de la France, rendant les recherches transfrontières difficiles. Pour les autres types de recherche, les garanties à mettre en place demeurent incertaines.
En conclusion, il serait utile que la Commission identifie les points de friction entre le RGPD et l'innovation en matière d'IA et adopte une recommandation propre à favoriser l'innovation en la matière. D'autres zones de friction pourraient quant à elles nécessiter une modification du RGPD, ou l'adoption de règlements européens spécifiques.
Mathilde Gérot est collaboratrice senior chez Signature Litigation et Winston Maxwell, directeur d'études, droit et numérique au sein de Télécom Paris - Institut Polytechnique de Paris.