Intelligence artificielle : pourquoi il faut légiférer

Du filtre antispam de notre boîte à courriels aux réponses aux requêtes que nous lançons dans un moteur de recherche, en passant par les recommandations d’achats ou de contenus proposées par de nombreuses plateformes en ligne, les technologies de l’intelligence artificielle (IA) sont omniprésentes dans nos vies connectées. La paternité de la locution « intelligence artificielle » est attribuée à l’Américain John McCarthy, qui la proposa en 1956 lors d’un atelier de recherche scientifique réunissant les pionniers du domaine, parmi lesquels Claude Shannon, Marvin Minsky et Ray Solomonoff. La définition de l’IA a évolué au fil des décennies et des avancées technologiques. Aujourd’hui, elle désigne des systèmes informatiques caractérisés par leur autonomie – c’est-à-dire disposant d’une capacité à exécuter des tâches complexes sans que l’utilisateur·rice intervienne de manière constante – et leur adaptabilité – un concept qui fait référence à la capacité d’un programme à améliorer ses performances grâce à un apprentissage par l’expérience[1.Voir Elements of AI, un programme d’e-learning conçu par l’Université d’Helsinki.].

Du privé au public : l’IA se développe en Belgique

Les États-Unis et la Chine s’affichent en leaders mondiaux de l’IA : entre les laboratoires aux moyens colossaux pilotés par les Gafam et les investissements massifs au service d’un pouvoir autoritaire et de son programme de surveillance de masse des citoyen·nes, l’Europe fait-elle le poids dans ce qu’il est convenu d’appeler une course à l’IA ? Selon un rapport publié début de cette année par le Center for Data Innovation, un groupe de réflexion basé à Washington, le Vieux Continent souffre d’un manque de moyens financiers, malgré une proactivité dans le secteur de la recherche et du développement[2.“Who is winning the AI race?”.]. Le premier pays européen à figurer au classement de l’index global de l’intelligence artificielle est l’Allemagne[3.Global AI Index.], au septième rang. La Belgique occupe la vingt-troisième position. Chez nous, les entreprises actives dans le domaine de l’intelligence artificielle le sont principalement dans les secteurs du big data, de la robotique, de la vision par ordinateur, de la fintech, de l’internet des objets, de la santé, de la mobilité et de la sécurité[4.Question écrite à propos des brevets en matière d’intelligence artificielle, La Chambre, 12/02/2019. ]. L’inventaire réalisé par AI for Belgium, une coalition qui réunit les acteurs clés de l’IA issus du secteur privé, public, du monde académique et de la société civile, en dénombre 399[5.Panorama de l’IA en Belgique : www.ai4belgium.be/fr/panorama-de-l-ia.] dont 55,4 % sont situées en Flandre, 22 % en Région bruxelloise, et 22,6 % en Wallonie.

Les technologies de l’IA ne sont pas l’apanage du secteur privé. Dans les services régionaux pour l’emploi et la formation professionnelle, un algorithme de matching est utilisé pour optimiser la correspondance entre demandeurs d’emploi et entreprises. Le SPF Finances a mis au point des chatbots (agents conversationnels) pour répondre aux questions de contribuables. Chez Infrabel, l’IA permet d’aider à la maintenance du réseau ferroviaire ou de détecter des scènes dangereuses. Plusieurs dispositifs y ont également été développés dans le contexte de la pandémie de covid-19, tels que la vérification de la température corporelle des travailleurs, ou le contrôle du nombre de personnes dans un espace fermé et de l’utilisation correcte des masques faciaux. L’usage de l’IA dans l’espace public, c’est le placement de caméras « intelligentes » pour détecter l’usage du GSM au volant ou le respect des zones de basse émission. Ce sont aussi des véhicules équipés de systèmes de reconnaissance de plaques d’immatriculation qui traquent les automobilistes en infraction de stationnement. C’est encore le système de reconnaissance faciale mis en place par la police fédérale à Brussels Airport, en vue de lutter contre le terrorisme et la criminalité organisée.

La problématique de l’IA concerne donc autant le secteur privé que public et questionne la confiance que peuvent lui porter les citoyen·nes dans la gestion de leurs données personnelles notamment. C’est en ce sens que la coalition AI for Belgium plaide pour un cadre juridique solide et actualisé, se fondant sur des principes éthiques et une plus grande transparence[6.Voir www.ai4belgium.be/fr/recommandations.]. De son côté, la Ligue des droits humains pointe les dérives potentielles de ces outils technologiques « tant ceux-ci portent les germes d’atteintes majeures à nos droits fondamentaux comme à notre système politique[7.Ligue des droits humains, Carte blanche « Collecte des données personnelles : Pantagruel ou Gargantua ? », Le Soir, 11 mai 2020.] ». Car ce sont bel et bien les droits humains qui se trouvent au centre des enjeux et la menace proviendrait moins des Gafam que de nos autorités.

Un intérêt politique restreint, une législation faible

Toutefois, dans le monde politique, le développement des technologies de l’IA ne se trouve pas particulièrement au centre des débats. Au cours de ces quatre dernières années, moins d’une quarantaine de questions écrites ont été posées à ce sujet dans nos deux assemblées parlementaires fédérales – la Chambre des représentants et le Sénat. Une analyse de leurs contenus met en avant deux des enjeux fondamentaux liés à ces technologies : la protection de la vie privée et le respect du principe de non-discrimination. Ces inquiétudes sont d’autant plus légitimes qu’il n’existe pas, à l’heure actuelle, de législation spécifique pour encadrer les technologies de l’intelligence artificielle. Les instruments législatifs derrière lesquels se retranchent les ministres compétents sont la loi caméra du 25 mai 2018, qui balise de manière stricte l’usage de caméras de surveillance ; et le Règlement général sur la protection des données (RGPD), règle européenne transposée dans la loi du 5 septembre 2018, qui règlemente l’utilisation et la circulation des données à caractère personnel.

Pour fonctionner, l’IA a besoin de données, de beaucoup de données. Le RGPD[8.Voir : https://urlz.fr/gJBL.] prévoit le consentement « explicite » et « positif » de la collecte de données personnelles. Il accorde au citoyen le droit de consultation de ses données et, en préalable, d’obtenir des informations à propos de leur traitement. Il devrait également être tenu informé « de l’existence d’un profilage et des conséquences de celui-ci ». Ces dispositions s’appliquent autant aux technologies « intelligentes » qu’à l’ensemble des dispositifs numériques. C’est pourquoi les préoccupations de nos parlementaires trouvent un écho bien plus large. Prenons l’exemple de la pandémie de covid-19. Lorsqu’un individu réalise un test de dépistage, est-il toujours bien informé du trajet qu’emprunteront ses données et de la manière dont elles seront utilisées ? En février dernier, Alexandra Jaspar, codirectrice de l’Autorité de protection des données (APD) s’inquiétait : « On ne nous dit pas avec suffisamment de précision qui ou quelle autorité de l’État peut utiliser ces données. Pourquoi ? Et combien de temps elle peut les conserver[9.RTBF, « La codirectrice de l’APD inquiète des “données sensibles sur les gens” récoltées par l’État pendant la crise du coronavirus », 22/02/2021.] ».

Sept mois plus tard, avec l’arrivée d’un pass sanitaire – le fameux Covid Safe Ticket (CST) d’abord à Bruxelles et ensuite en Wallonie et Flandre –, l’APD rendait un avis qui soulignait que cette obligation « constitue une ingérence particulièrement importante dans le droit au respect de la vie privée et le droit à la protection des données à caractère personnel ». Nos autorités pècheraient-elles par excès de zèle ? Ou d’autorité ? Dans l’écosystème de l’intelligence artificielle, les systèmes de reconnaissance automatisée amplifient les questions liées à la protection de données à caractère privé. En Région bruxelloise, le gouvernement (où les partis de gauche sont majoritaires, faudrait-il le rappeler) a pour projet de mettre en œuvre une taxe kilométrique « intelligente », dont l’objet est de taxer l’automobiliste en fonction du nombre de kilomètres parcourus. Dans ce dossier également, l’APD a recalé les autorités, estimant que le traitement des données personnelles du système de taxation est démesuré par rapport à l’objectif poursuivi, et qu’il consiste en « une ingérence particulièrement importante dans le droit au respect de la vie privée ».

Qui dit collecte de données privées dit exploitation potentielle non désirée mais aussi stockage de ces données. Mais sont-elles bien protégées ? En juillet dernier, une faille de sécurité a laissé s’échapper les résultats de dix centres de testing aux Pays-Bas et de trois en Belgique. En octobre, l’application CovidScan, dont l’objet est de vérifier les CST, était accusée d’être une source potentielle de fuite de données privées. Et que penser des milliers de kilomètres parcourus par les données médicales de certains hôpitaux belges dans des pays qui ne sont pas soumis aux mêmes règles de confidentialité[10.Q. Noirfalisse et C. Vallet, « Les données de santé des Belges, mal protégées, s’échappent en Russie », Médor, 22/03/2021. ] ?

Dernier scandale en date : les failles avérées de la plateforme Helena, un système d’authentification reconnu par l’État pour se connecter à eHealth ou au portail MyPension.be. Avec cet outil d’authentification, il était, jusqu’au 26 octobre dernier, possible d’accéder à un dossier médical sans prouver son identité et sans lien thérapeutique avec un médecin. Ce dossier politiquement sensible a embarrassé tous les cabinets ministériels de la santé et remis au centre de l’attention Frank Robben – le patron de la Banque Carrefour de sécurité sociale et de eHealth, les deux plateformes qui organisent les échanges de don­nées de sécurité sociale et de santé en Belgique –, pour finalement donner lieu à un débranchage en règle d’Helena comme mode d’authentification[11. Voir le dossier du Soir du 26/10/2021 : « Comment Frank Robben a ouvert une brèche dans l’accès à nos données santé et pension ».].

À cette liste s’ajoutent les actes de piratage informatique, une réalité avec laquelle il faut également composer. Le secrétaire d’État au numérique tient régulièrement des propos rassurants à propos de la sécurité de nos données. « Aujourd’hui, les bases de données sont sécurisées. La gestion des données n’est pas le problème. Le RGPD s’impose à tous, et donc ces bases de données respectent bien le RGPD[12.Matin Première, RTBF, 09/02/2021.]. » Mais la question reste bel et bien de savoir si nous pouvons avoir confiance en nos autorités lorsqu’elles nous martèlent que nos données personnelles sont en sécurité et que le règlement sur la protection des données est, dans tous les cas, respecté. Le droit d’explication, pourtant prévu par le RGPD, ne semble pas davantage acquis, et cela d’autant plus qu’une certaine opacité entoure la manière dont nos données personnelles sont collectées et traitées. Pour toutes ces raisons également, le projet d’offrir un portefeuille numérique, qui serait accessible via le smartphone de chaque citoyen belge d’ici 2023, n’a rien de très rassurant.

Une approche fondée sur l’évaluation des risques

Depuis le vingtième siècle, les évolutions technologiques sont perçues comme inéluctables et comme un remède aux maux dont souffrent la société[13. F. Jarrige, Technocritiques. Du refus des machines à la contestation des technosciences, Paris, La Découverte, 2014.]. « La technique nous est dorénavant présentée comme la seule solution à tous nos problèmes collectifs (le chômage, la misère du tiers monde, la crise, la pollution, la menace de guerre) ou individuels (la santé, la vie familiale, et même le sens de la vie) […] Il s’agit bien de bluff, parce que dans ce discours, l’on multiplie par cent les possibilités effectives des techniques et l’on en voile radicalement les aspects négatifs », écrivait déjà le philosophe Jacques Ellul en 1954[14.J. Ellul, La technique ou l’enjeu du siècle, Paris, Armand Colin, 1954.]. Aujourd’hui, les discours à propos des systèmes d’intelligence artificielle sont bien plus nuancés. Comprenez qu’en elles-mêmes, ces technologies ne sont pas le problème, mais bien ce que les humains en font. Côté face, elles peuvent aider à améliorer le diagnostic et la prise en charge de certaines maladies, à répondre aux défis climatiques, à lutter contre le terrorisme. Côté pile, elles peuvent prendre des décisions biaisées ou discriminatoires, contribuer à l’émission de gaz à effet de serre[15.Voir le livre blanc « Intelligence artificielle et protection de l’environnement », de l’association française Alliance Green IT. ], ou soutenir des politiques d’hyper surveillance.

Considérant que le premier danger de l’IA est celui des atteintes à la vie privée, les Nations Unies viennent de réclamer un moratoire sur la vente et l’utilisation des systèmes présentant un « risque grave » pour les droits humains. Sont notamment visées les technologies de profilage, de prise de décision automatisée et de surveillance biométrique dans l’espace public, lesquelles sont susceptibles d’affecter « le droit de la population à la vie privée et d’autres droits, notamment les droits à la santé, à l’éducation, à la liberté de mouvement, à la liberté de réunion pacifique et d’association, et à la liberté d’expression[16.Voir : https://urlz.fr/gJD2. ] ». De son côté, la Commission européenne a entrepris un travail de fond, en vue d’encourager des usages de l’IA éthiques et responsables. Mais ici, il s’agit surtout d’une manière de se positionner en tant que « pôle mondial d’excellence » face à la concurrence américaine et chinoise.

Dans cet esprit, le projet de règlement européen d’Artificial Intelligence Act, présenté en avril 2021, établit un catalogue des risques conditionnant l’interdiction ou l’autorisation moyennant une mise en conformité avec des obligations strictes. Les risques inacceptables concernent les systèmes considérés comme une menace pour la sécurité, les moyens de subsistance et les droits des personnes. « Il s’agit notamment des systèmes […] qui manipulent le comportement humain pour priver les utilisateurs de leur libre arbitre (par exemple, des jouets utilisant une assistance vocale incitant des mineurs à avoir un comportement dangereux) et des systèmes qui permettent la notation sociale par les États ». Les risques élevés portent sur les systèmes utilisés dans les infrastructures de transport, susceptibles de mettre en danger la sécurité et la vie des citoyen·nes, mais aussi sur ceux utilisés dans la formation professionnelle, le recrutement, l’octroi de crédits bancaires, le maintien de l’ordre, l’administration de la justice et la gestion de la migration, de l’asile et des contrôles aux frontières. Les risques limités et minimes concernent, quant à eux, la majorité des systèmes actuels.

Ces principes européens fonderont des législations nationales qui permettront de mieux encadrer les développements et usages des technologies de l’IA. Mais pour Amnesty International, la proposition européenne ne règle pas leur « vaste potentiel d’atteintes aux droits humains. Aux termes des conditions d’interdiction proposées, la police pourra toujours utiliser des logiciels de reconnaissance faciale a posteriori avec des caméras de surveillance pour suivre nos moindres mouvements et prélever des images sur des comptes de réseaux sociaux sans le consentement des personnes concernées[17.Voir : https://urlz.fr/gJDm.] ». De plus, elle comporte « des lacunes considérables » en ce qui concerne de nombreuses autres formes de télésurveillance biométrique, ainsi que des dispositions « permettant la police prédictive et l’utilisation de systèmes d’intelligence artificielle lors des contrôles aux frontières ».

Pour les gouvernements, il s’agira non seulement d’équilibrer droits humains et bénéfices de l’innovation, mais aussi de mettre l’IA en débat d’une manière plus ouverte, plus transparente, plus participative aussi. Il y a urgence et nécessité : les utopies de nos autorités ne peuvent, en aucun cas, devenir les dystopies de notre société.

(Image de la vignette et dans l’article sous CC-BY 2.0 ; Machine Learning & Artificial Intelligence, réalisé en 2018 par Mike MacKenzie.)