Qant. Certains considèrent que le RGPD a échoué, et l’Europe avec lui. Certes, Meta a écopé d’une première amende de 265 millions d’euros en novembre dernier, puis 390 millions en janvier, puis 1,16 milliard d’euros, 1% de son chiffre d’affaires… Mais il a fallu tordre le bras à l’autorité irlandaise et, dans les pratiques, rien ne semble avancer. Au moment où l’IA rebat les cartes, le RGPD a-t-il un avenir ?
Elise Dufour. La question est effectivement de savoir si le RGPD est efficace contre les entités qu’il vise en priorité, extrêmement puissantes et généralement étrangères. Mais en tout cas, cela a permis de montrer aux autres acteurs économiques que la question des données personnelles est lourde de conséquences et qu’elle doit être traitée correctement. C’est un facteur de confiance pour les personnes concernées. Les utilisateurs semblent de plus en plus enclins à confier leurs données à des entités basées en Europe ou qui adoptent des comportements responsables. Il semble qu’une régulation par le marché soit en marche.
Le processus est long, mais il ne faut pas oublier que c’est une matière qui est jeune dans l’histoire du droit. Le RGPD vise des acteurs qui ne sont pas forcément établis en Europe mais qui s’adressent à un public européen. On le voit bien avec ChatGPT : OpenAI va devoir se conformer aux règles européennes. Il n’y a pas vraiment d’alternative : soit je me plie aux règles car je veux proposer des services aux Européens, soit j’oublie ce marché. Or, le fait d’ignorer le premier marché du monde serait économiquement une erreur.
Qant. On peut renverser l’argument. Combien de temps il Garante, l’autorité italienne, allait-elle pouvoir interdire ChatGPT en Italie ? Aucun gouvernement, et encore moins une autorité administrative, ne peut imaginer empêcher les Européens d’accéder à Facebook, Twitter, Instagram, Tik-Tok ou ChatGPT…
Elise Dufour. C’est vrai, et en même temps pour l’instant les pays européens ont aujourd’hui la capacité d’empêcher l’accès à un service qui ne respecterait pas la réglementation locale. Je suis d’accord que c’est une approche très autoritaire, mais c’est ce qu’a fait l’Italie en empêchant les adresses IP italiennes d’avoir accès à ChatGPT.
Qant. Justement, dans ce cas-là, qui est perdant : les Italiens ou OpenAI ? On aurait pu parier à l’avance que l’autorité italienne se serait satisfaite des réponses d’Open AI…
Elise Dufour. C’est un combat où les Européens sont très ambitieux et veulent imposer leurs vues sans en avoir toujours les moyens. Parfois le service est plus fort que la réglementation. Mais ce n’est pas du tout une règle universelle ! Au contraire, le RGPD reste un modèle pour de nombreux pays, et même une partie de l’opinion publique américaine. Le rapport de forces avec les grandes sociétés du numérique n’est pas univoque, et il est très variable dans le temps.
Qant. Qu’est-ce qui change avec l’IA ?
Elise Dufour. Ce qui est intéressant dans les questions posées par l’autorité allemande (lire Qant du 5 juin et du 9 juin), c’est de se demander quel est l’objectif du traitement des données. L’enjeu est bien différent lorsqu’on envisage les données comme l’alimentation d’un système d’IA : l’équilibre entre l’humain et le traitement qui est fait de ses données n’est plus respecté. C’est cela que l’article 22 du RGPD essaye de garantir. C’est un droit fondamental, pour que les gens ne soient pas écrasés par les traitements et impuissants face à une décision automatisée.
Qant. L’Europe fait la distinction entre les données personnelles, les données soumises au droit d’auteur et les autres données. Mais pour les LLM, la vraie distinction passe entre les données d’entraînement et celles des prompts. Peut-on imaginer soumettre OpenAI au RGPD sur ces dernières, et passer l’éponge sur l’entraînement de GPT-4 ?
Elise Dufour. D’un point de vue juridique, la prescription n’est pas encore acquise pour le passé. On pourrait donc en théorie agir et sanctionner, mais pour cela il faudrait pouvoir identifier les informations et les données utilisées sans autorisation. Il faudrait pouvoir analyser les systèmes, comprendre comment ils ont été entrainés et alimentés.
Il ne faut en effet pas oublier que les informations et les données ne suivent pas nécessairement le même régime et que pour l’heure une information est libre de droit et peut être librement réutilisée. Quant aux éléments littéraires ou artistiques, certains ne sont pas ou plus protégés par le droit d’auteur et donc librement exploitables. C’est là où il y a une grande difficulté, l’enjeu pour OpenAI sera d’assurer plus de transparence dans l’utilisation des données qu’elle exploite.
Qant. OpenAI et les autres grands de l’IA réclament une agence internationale de l’intelligence artificielle, sur le modèle de celle de l’énergie atomique. La France et l’Europe n’auraient-elles pas tout intérêt à une forme de multilatéralisme dans la règlementation du numérique ?
Elise Dufour. Indéniablement ! Si on regarde le passé, on apprend beaucoup des erreurs qu’on a pu commettre, notamment avec les noms de domaine où on a laissé la main aux Américains. Dans des services d’intelligence artificielle, ou demain dans le Web3 ou le métavers, les frontières nationales n’ont plus de sens. Une agence internationale de l’IA pourrait devenir un forum de concertation, où les parties prenantes les plus importantes se coordonnent avec des principes communs à respecter, notamment en termes d’éthique. Mais ce ne sera ni simple ni facile.
Il suffit d’observer et d’analyser les discussions entre la Commission européenne et les Etats-Unis sur l’adéquation de la protection des données, visant à organiser le transfert des données de l’Union européenne vers les Etats-Unis. Les Américains ont pensé faire une concession phénoménale en instituant un juge qui supervise la collecte de données en créant un recours pour les citoyens non américains, et en instaurant un début de principe de minimisation des données, sans collecte de données permanente, sans finalité, ni limitation de durée. Mais pour la Commission européenne, les mesures proposées sont encore très éloignées des standards européens.
C’est un problème de compréhension des concepts et de ce qui sera attendu en termes de transparence, d’information et de respect du principe de minimisation. Ce dialogue de sourds risque de devenir d’autant plus handicapant qu’on s’ouvre à des sujets plus vastes, avec des parties prenantes plus nombreuses et des enjeux plus impactants.
Propos recueillis par Jean Rognetta, avec Maurice de Rambuteau
Source archive Kessel : https://qant.kessel.media/posts/pst_baf48dec0efe4af8a58dbbf3a6588746