Le Comité interministériel de l’Intelligence artificielle générative a remis au Président de la république le 13 mars 2024 son rapport reprenant 25 propositions sensées faire de la France dans un avenir proche « un acteur majeur de la révolution technologique de l’IA ».

L’Institut reviendra plus tard en détail sur certaines propositions plus spécifiques mais d’ores et déjà et sans surprise, nous pouvons affirmer qu’en ce qui concerne le point le plus sensible pour iDFrights, celui de la protection des données, ce document reflète la position des membres majoritaires qui composaient cette commission.  En effet, parmi ses 15 experts qui y ont siégé on retrouve :  Cédric O, ancien secrétaire du numérique et co-fondateur de Mistral IA, Yann Le Cun, Directeur du laboratoire d’Intelligence artificielle de Meta, Joëlle Barral, directrice scientifique au sein de Google, ou encore Arthur Mensch co-fondateur de Mistral IA. 

En ne s’attachant qu’à la seule section 2.2.3.1 du rapport – sur Les données personnelles, notons qu’il suggère de modifier l’encadrement des données personnelles pour « stimuler le développement de l’IA en France ». On comprend donc parfaitement les premières réactions de la CNIL qui a accueilli fraichement les propositions du Comité.  Elle a d’ailleurs précisé au journal Contexte qui l’interrogeait sur ce sujet   que « dans sa configuration actuelle, la CNIL s’attache déjà à promouvoir une innovation respectueuse des droits des personnes. C’est même de l’avis de l’Institut un affront très inquiétant qui lui est fait de remettre en cause ses compétences.

 Par exemple, ce rapport insiste sur la nécessité d’une gestion collective des données personnelles. C’est très dangereux, cela permettrait notamment d’utiliser les données personnelles sans consentement avec des règles très assouplies. Mais le Comité a fait de toute évidence un choix : “données personnelles = bien public” c’est très grave et en contradiction totale une résolution que la CNIL a initiée et signée avec ses homologues tunisien et suisse le 18 octobre 2018 à Paris sur la propriété sur les données personnelles (lien à la résolution ci-dessous) et qui définit les données personnelles comme des éléments de la personne avec des droits inaliénables.

Elle reprend notamment : Déclarons conjointement : « que les données à caractère personnel sont des éléments constitutifs de la personne humaine qui dispose, dès lors, de droits inaliénables sur celles-ci. »

Une telle approche de la collecte massive des données permettra à des outils qui participent (parfois contre leur gré) à leur diffusion sur le marché des données, de les croiser et de les utiliser à des fins de manipulation publicitaire ou politique.

 Le rapport va même jusqu’à vouloir orienter la CNIL vers des objectifs « d’innovation », qui feraient évoluer ses missions et il appelle le législateur à se pencher donc sur des modifications qui en fait ne feront que l’affaiblir de l’intérieur 

Le rapport va encore plus loin, notamment   lorsqu’il préconise que les données très sensibles telles que celle de la défense, de la justice ou de la police puissent entrer dans une « stratégie pluriannuelle ». Pour l’Institut, ceci est absolument inconcevable et ces fichiers doivent, pour des questions de sécurité nationale, restés encadrés par des règles précises, comme l’indique là encore la CNIL. 

L’Institut insiste sur le fait que rien ne doit être changé dans les missions de protection des données par les CNIL. Ces organisations européennes restent une garantie absolue du respect de la protection des données des citoyens européens et des entreprises européennes. D’ailleurs La Cour de Justice européenne (CJUE) ne s’y est pas trompée puisque pas plus tard que le 14 mars (soit un jour après la diffusion du rapport), dans un arrêt suite à un renvoi préjudiciel par une administration municipale hongroise, qui reprochait à l’autorité nationale de protection des données de son pays, de lui avoir infligé une amende pour avoir demandé des informations au trésor public hongrois afin de pouvoir attribuer des aides. La CJUE a ainsi conclu : « qu’en application de l’article 58 du RGPD sur les pouvoirs des autorités de contrôles les CNIL peuvent ordonner l’effacement de données à caractère personnel ayant fait l’objet d’un traitement illicite, même si elles ne proviennent pas des personnes concernées par la procédure et que celles-ci n’en n’ont pas fait la demande » La CJUE légitime donc ainsi et conforte les pouvoirs de la CNIL de manière irréfutable. 

Pour terminer, juste un mot sur le souhait de labellisation repris par le rapport: on tente de faire des labels depuis les années 1995 et ils  ont pratiquement tous échoués s’ils ne touchent pas un domaine très technique et vérifiable.

Et pour reprendre une autre disposition de la résolution de l’Association francophone de autorités des données personnelles, il faut garder à l’esprit que les lois doivent « permettre aux individus d’exercer pleinement les droits inaliénables attachés à leurs données personnelles, en leur garantissant un haut niveau de maîtrise sur celles-ci.

L’Institut regrette que ce rapport qui aurait pu être très utile à l’essor d’une IA européenne en  stimulant la recherche, renforçant ses capacités tout en garantissant la sécurité des droits fondamentaux souffre en fait d’une vision très caricaturale de la « startup nation ».

Cette approche du rapport officialisera des atteintes massives et systématiques à l’intégrité numérique des français.

Colette Bouckaert

Secrétaire générale iDFrights