La protection des données dans le rapport sur l’IA du 13 mars 2024 du Comité Interministeriel de l’IA générative
25 mars 2024

Le Comité interministériel de l’Intelligence artificielle générative a remis au Président de la république le 13 mars 2024 son rapport reprenant 25 propositions sensées faire de la France dans un avenir proche « un acteur majeur de la révolution technologique de l’IA ».

L’Institut reviendra plus tard en détail sur certaines propositions plus spécifiques mais d’ores et déjà et sans surprise, nous pouvons affirmer qu’en ce qui concerne le point le plus sensible pour iDFrights, celui de la protection des données, ce document reflète la position des membres majoritaires qui composaient cette commission.  En effet, parmi ses 15 experts qui y ont siégé on retrouve :  Cédric O, ancien secrétaire du numérique et co-fondateur de Mistral IA, Yann Le Cun, Directeur du laboratoire d’Intelligence artificielle de Meta, Joëlle Barral, directrice scientifique au sein de Google, ou encore Arthur Mensch co-fondateur de Mistral IA. 

En ne s’attachant qu’à la seule section 2.2.3.1 du rapport – sur Les données personnelles, notons qu’il suggère de modifier l’encadrement des données personnelles pour « stimuler le développement de l’IA en France ». On comprend donc parfaitement les premières réactions de la CNIL qui a accueilli fraichement les propositions du Comité.  Elle a d’ailleurs précisé au journal Contexte qui l’interrogeait sur ce sujet   que « dans sa configuration actuelle, la CNIL s’attache déjà à promouvoir une innovation respectueuse des droits des personnes. C’est même de l’avis de l’Institut un affront très inquiétant qui lui est fait de remettre en cause ses compétences.

 Par exemple, ce rapport insiste sur la nécessité d’une gestion collective des données personnelles. C’est très dangereux, cela permettrait notamment d’utiliser les données personnelles sans consentement avec des règles très assouplies. Mais le Comité a fait de toute évidence un choix : « données personnelles = bien public » c’est très grave et en contradiction totale une résolution que la CNIL a initiée et signée avec ses homologues tunisien et suisse le 18 octobre 2018 à Paris sur la propriété sur les données personnelles (lien à la résolution ci-dessous) et qui définit les données personnelles comme des éléments de la personne avec des droits inaliénables.

Elle reprend notamment : Déclarons conjointement : « que les données à caractère personnel sont des éléments constitutifs de la personne humaine qui dispose, dès lors, de droits inaliénables sur celles-ci. »

Une telle approche de la collecte massive des données permettra à des outils qui participent (parfois contre leur gré) à leur diffusion sur le marché des données, de les croiser et de les utiliser à des fins de manipulation publicitaire ou politique.

 Le rapport va même jusqu’à vouloir orienter la CNIL vers des objectifs « d’innovation », qui feraient évoluer ses missions et il appelle le législateur à se pencher donc sur des modifications qui en fait ne feront que l’affaiblir de l’intérieur 

Le rapport va encore plus loin, notamment   lorsqu’il préconise que les données très sensibles telles que celle de la défense, de la justice ou de la police puissent entrer dans une « stratégie pluriannuelle ». Pour l’Institut, ceci est absolument inconcevable et ces fichiers doivent, pour des questions de sécurité nationale, restés encadrés par des règles précises, comme l’indique là encore la CNIL. 

L’Institut insiste sur le fait que rien ne doit être changé dans les missions de protection des données par les CNIL. Ces organisations européennes restent une garantie absolue du respect de la protection des données des citoyens européens et des entreprises européennes. D’ailleurs La Cour de Justice européenne (CJUE) ne s’y est pas trompée puisque pas plus tard que le 14 mars (soit un jour après la diffusion du rapport), dans un arrêt suite à un renvoi préjudiciel par une administration municipale hongroise, qui reprochait à l’autorité nationale de protection des données de son pays, de lui avoir infligé une amende pour avoir demandé des informations au trésor public hongrois afin de pouvoir attribuer des aides. La CJUE a ainsi conclu : « qu’en application de l’article 58 du RGPD sur les pouvoirs des autorités de contrôles les CNIL peuvent ordonner l’effacement de données à caractère personnel ayant fait l’objet d’un traitement illicite, même si elles ne proviennent pas des personnes concernées par la procédure et que celles-ci n’en n’ont pas fait la demande » La CJUE légitime donc ainsi et conforte les pouvoirs de la CNIL de manière irréfutable. 

Pour terminer, juste un mot sur le souhait de labellisation repris par le rapport: on tente de faire des labels depuis les années 1995 et ils  ont pratiquement tous échoués s’ils ne touchent pas un domaine très technique et vérifiable.

Et pour reprendre une autre disposition de la résolution de l’Association francophone de autorités des données personnelles, il faut garder à l’esprit que les lois doivent « permettre aux individus d’exercer pleinement les droits inaliénables attachés à leurs données personnelles, en leur garantissant un haut niveau de maîtrise sur celles-ci.

L’Institut regrette que ce rapport qui aurait pu être très utile à l’essor d’une IA européenne en  stimulant la recherche, renforçant ses capacités tout en garantissant la sécurité des droits fondamentaux souffre en fait d’une vision très caricaturale de la « startup nation ».

Cette approche du rapport officialisera des atteintes massives et systématiques à l’intégrité numérique des français.

Alexis Roussel

Alexis Roussel

Directeur des Opérations Nym Technologie SA

Membre du Conseil d’Orientation stratégique iDFrights

Colette Bouckaert

Colette Bouckaert

Secrétaire générale iDFrights

Retrouvez plus d'articles sur : #Data | #intelligenceartificielle | #propriété | #souveraineté | IA

Suivez-nous

Sur Linkedin

Plus d’articles

Le processus de désignation du chef de l’exécutif européen

Le processus de désignation du chef de l’exécutif européen

Le/la président(e) de la Commission européenne est élu(e) pour un mandat de cinq ans renouvelable une fois. Son mandat débute six mois après les élections du Parlement européen.
Son mode d’élection a subi plusieurs changements au fil des législatures. Avant 1999, le Président de l’Institution était nommé à la discrétion des Chefs d’Etat des Etats membres qui s’accordaient autour d’une personnalité consensuelle.

lire plus
Retour sur la carrière d’Ursula Von Der Leyen, Présidente de la Commission européenne

Retour sur la carrière d’Ursula Von Der Leyen, Présidente de la Commission européenne

Ursula von der Leyen n’a commencé que tardivement sa carrière politique.
En 2003, elle était ministre régionale des Affaires sociales, des droits des femmes, de la famille et de la santé en Basse-Saxe. Elle devient 2005 ministre de la famille dans le gouvernement dirigé par la chancelière Angela Merkel, puis Ministre du travail et des affaires sociales en 2009, et enfin ministre de la défense en 2013, toujours au sein du gouvernement d’Angela Merkel.

lire plus
L’analyse de Michel Foucher sur le rapport de Mario Draghi

L’analyse de Michel Foucher sur le rapport de Mario Draghi

Le rapport remis le 9 septembre 2024, à Bruxelles, par Mario Draghi, ancien président de la Banque centrale européenne, à la présidente de la Commission européenne, Ursula von der Leyen, à l’aube de son deuxième mandat, s’intitule : L’avenir de la compétitivité européenne (titre originel : The future of European competitiveness).

lire plus