Conscient que la communication sur la réglementation des drones est fondamentale, SELENE Avocats (membre du Conseil pour les drones civils) est heureux de pouvoir vous faire profiter de quelques conseils à l’occasion d’un article paru dans Dossier Familial.
Chargée par la loi pour une République numérique de mener une réflexion sur les questions éthiques et de société posées par les nouvelles technologies, la CNIL s’est intéressée au thème des algorithmes à l’heure de l’intelligence artificielle. Dans un rapport publié en décembre 2018, elle dresse un état des lieux de l’ensemble des enjeux éthiques soulevés, en s’appuyant notamment sur les résultats d’un débat public qu’elle a animé de janvier à octobre 2017.
Les champs d’exploration des algorithmes ne cessent de croître (médias, vie publique et politique, éducation, santé, culture, justice etc.). Des tâches, de la plus simple à la plus critique, sont ainsi déléguées à des systèmes de plus en plus autonomes à mesure que les techniques d’apprentissage propres à l’intelligence artificielle se développent. Ces usages multiples et croissants, indissociables des masses de données à disposition dans tous les secteurs, soulèvent de nombreuses questions : quelles réponses éthiques au développement des algorithmes et de l’intelligence artificielle ?
Le débat public organisé par la CNIL a permis de faire remonter six problématiques essentielles, sur lesquelles s’est basé le rapport.
Deux principes fondateurs ont été dégagés au cours des débats, pour répondre à l’objectif d’une intelligence artificielle au service de l’homme.
Le premier est le principe de loyauté, selon lequel l’intérêt des utilisateurs doit primer. En d’autres termes, tout algorithme, qu’il traite ou non des données personnelles, doit être loyal envers ses utilisateurs, non pas seulement en tant que consommateurs, mais également en tant que citoyens, voire envers de grands intérêts collectifs dont l’existence pourrait être directement affectée.
Le second, le principe de vigilance, conduit à organiser un questionnement régulier, méthodique et délibératif à l’égard de ces objets mouvants. Pour ce faire, l’ensemble des maillons de la chaine algorithmique (concepteurs, entreprises, citoyens) doivent être mobilisés et, des procédures concrètes mises en place (ex : comité d’éthique pour dialogue entre les différentes parties prenantes).
Selon la CNIL, « ces principes pourraient s’inscrire dans une nouvelle génération de garanties et de droits fondamentaux à l’ère numérique ».
La CNIL décline ces principes de loyauté et de vigilance en six principes organisationnels ayant trait à l’intelligibilité, à la responsabilité et à la nature de l’intervention humaine dans les systèmes algorithmiques.
Elle insiste, entre autres, sur la nécessité de former à l’éthique tous les acteurs-maillons de la chaîne algorithmique. Chaque humain doit comprendre les ressorts de la machine. Par ailleurs, elle recommande de rendre les systèmes algorithmiques compréhensibles en renforçant les droits existants et en organisant la médiation avec les utilisateurs. Elle encourage également un renforcement de la fonction éthique au sein des entreprises.
Ainsi, par ce rapport, la CNIL souhaite participer à l’élaboration d’un modèle français de gouvernance éthique de l’IA, qui garantisse que l’IA augmente l’homme, plutôt qu’elle ne le supplante.
Le philosophe Armen Khatchatourov souligne toutefois les limites que présente l’intégration de réflexions éthiques au sein des algorithmes. Il indique que ce processus mène nécessairement à des dilemmes, ce qui rend impossible l’identification de règles universelles.
Pokémon Go : « Si c’est gratuit, c’est vous le produit » ?
Sorti officiellement en France le 24 juillet 2016, ce jeu gratuit en réalité augmentée permet au joueur de capturer et dresser des Pokémon sur son Smartphone, lesquels apparaissent sur une carte en fonction de la localisation du téléphone.
Un concept innovant, qui a instantanément séduit des millions de joueurs, bien plus intéressés par la capture de Pikachu, que par la protection de leurs données personnelles !
Outre l’accès à l’appareil photo et la localisation de l’appareil, le joueur autorise l’application à recueillir des données à caractère personnel tel que l’adresse e-mail avec laquelle il accède au jeu, la date de naissance du joueur, le nom d’utilisateur, les messages envoyés à d’autres utilisateurs, le pays, la langue, le carnet d’adresse de l’appareil ou la page Web qu’un utilisateur a consultée avant d’accéder au jeu.
Le placement d’un Pokémon dans un espace physique commercial permet à l’application d’attirer des joueurs chez ses partenaires commerciaux. Ces derniers rémunèrent l’application selon la qualité des profils qui franchiront leur porte. Ainsi, la CNIL considère que « plus les données collectées par l’application sont précises, plus le profilage du joueur/consommateur est fiable, meilleure sera la rémunération de l’éditeur ».
Le député européen Marc Tarabella, arguant d’une violation du droit européen relatif à la protection des données à caractère personnel et souhaitant qu’une enquête soit menée en ce sens, devrait saisir sous peu la Commission européenne.
Protection des données nominatives dans l’Union : invalidation de la décision Safe Harbor. A l’origine de cette jurisprudence, l’autorité irlandaise de protection des données a refusé d’enquêter sur une plainte de M. Schrems relative au transfert de ses données nominatives par Facebook vers les Etats-Unis (CJUE, 6 octobre 2015, Schrems c. Data Protection Commissioner, Aff. C-362/14).
La directive n°95/46/CE a instauré un système garantissant, sur le territoire de l’Union, un traitement des données nominatives respectueux des droits fondamentaux de la personne. Les transferts de données hors de l’Union Européenne (UE) sont envisageables lorsque l’environnement juridique et sectoriel du pays destinataire assure une protection adéquate des données. La Commission Européenne a certifié que les entreprises américaines, offraient un niveau de protection suffisant. Ce système reposait sur un mécanisme d’auto-certification des entreprises américaines (Décision 2000/520 dite « sphère de sécurité » ou Safe Harbor).
Le 6 octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) a annulé la décision Safe Harbor. La High Court of Ireland avait saisi la CJUE d’une question préjudicielle : une autorité nationale de contrôle peut-elle enquêter sur une plainte alléguant qu’un pays n’assure pas un niveau de protection adéquat des données personnelles, malgré l’auto-certification de la Commission ?
La CJUE considère que l’auto-certification octroyée par la Commission ne limite pas les pouvoirs de contrôle des autorités nationales. Ces dernières doivent examiner, en toute indépendance, si le transfert des données nominatives est conforme à la Charte des droits fondamentaux de l’UE.
En pratique, la décision Safe Harbor consacrait la primauté des impératifs de sécurité nationale et des lois des Etats-Unis, au détriment du droit au respect de la vie privée. Les autorités publiques américaines pouvaient accéder, de manière généralisée, au contenu des communications électroniques. Cette atteinte était d’autant plus grave que le justiciable ne disposait pas de voie de droit lui permettant d’accéder, rectifier ou supprimer ses données, portant une grave atteinte au droit à une protection juridictionnelle effective.
La décision 2000/520 est donc invalide.
La disparition de cette décision met un certain nombre d’entreprises dans l’embarras. Les effets de cet arrêt seront effectifs à compter du 1er février 2016.
En attendant les conclusions du groupe de travail du G29 sur les conséquences juridiques de cet arrêt, les entreprises sont tenues de procéder à une déclaration normale accompagnée de la signature des clauses contractuelles types ou de la mise en place de règles internes d’entreprise validées par la CNIL.