Comments for Quel menu pour nourrir l’intelligence artificielle? Pouvez-vous passer la carte?

Maxime Corbeau ; Benjamin D'Andrea ; Romain Florins ; Amandine Goffin  
1) Y a-t-il un droit à l’explication des algorithmes dans les règles en matière de vie privée ? Avec les progrès récents et continus de l’intelligence artificielle (IA), il semble que l’on s’oriente de plus en plus vers un monde où des algorithmes de traitement assez complexes peuvent prendre en charge la plupart des aspects de la vie du citoyen et…
Read more

1) Y a-t-il un droit à l’explication des algorithmes dans les règles en matière de vie privée ?

Avec les progrès récents et continus de l’intelligence artificielle (IA), il semble que l’on s’oriente de plus en plus vers un monde où des algorithmes de traitement assez complexes peuvent prendre en charge la plupart des aspects de la vie du citoyen et du consommateur. Nos données personnelles font aujourd’hui l’objet d’algorithmes qui permettent de les relier entre elles et de créer ainsi une masse énorme de données identifiant les individus ou les rendant identifiables, ce qui risque de nuire à notre vie privée. Le danger d’un tel mécanisme n’est autre que celui de voir s’aggraver une “asymétrie”, une “distorsion” toujours plus importante entre le responsable du traitement, le concepteur de l’algorithme (c’est-à-dire celui qui en détermine la logique et les objectifs), et la personne concernée. Cette dernière se retrouve souvent incapable de comprendre les conditions dans lesquelles ses données sont traitées et comment les décisions qui correspondent à ses désirs et à ses besoins sont prises.

A cet égard, le nouveau règlement général sur la protection des données, qui entrera en application ce 25 mai (ci après, RGPD), se donne pour principe fondamental celui du contrôle des individus sur leurs données. Le considérant 39 stipule que “le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples”. L’accent est donc mis sur la transparence du traitement des données à caractère personnel qui doit être conçu et entrepris dans des conditions permettant aux personnes concernées d’en comprendre les tenants et les aboutissants, afin précisément de pouvoir exercer utilement le contrôle de leurs données.

On perçoit donc bien la difficulté à laquelle le responsable du traitement des données se trouve confronté. Il se doit, en vertu de ce principe de transparence, de fournir les informations “d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant” (voy. art. 12, 1, RGDP). Si, dans les cas les plus banals, ces informations ne devraient pas être trop difficiles à exprimer, un lourd obstacle pratique risque en revanche de se poser à l’égard des traitements qui mettent en jeu de puissants outils algorithmiques, et à plus forte raison encore, des mécanismes d’intelligence artificielle de type machine-learning, en permanente évolution. Or, il semble que ces traitements complexes soient les plus fréquents. Comment dès lors assurer une information valable sur la “logique sous-jacente du traitement” ? Faudra-t-il aller jusqu’à dévoiler aux personnes concernées les codes sources de ces outils et de ces mécanismes ? La question reste pour l’instant sans réponse. On l’a donc dit : un droit à l’explication des algorithmes existe mais sa mise en oeuvre reste pour l’instant incertaine. Il faudra attendre l’entrée en application du RGPD pour voir la manière dont les responsables du traitement des données vont tenter de s’y conformer.

2) Quelle est la pertinence des arguments juridiques invoqués par des opérateurs privés pour limiter l’accès aux algorithmes et/ou aux données ?

Avec la nouvelle réglementation, une information fondée sur la divulgation des algorithmes de traitement semble être imposée. Cependant, outre sa difficulté de mise en oeuvre, certains estiment qu’une telle divulgation n’est tout simplement pas nécessaire au regard des exigences du RGDP. Elle serait même, dans la majorité des cas, contre-productive. En effet, il semble qu’une telle divulgation se heurterait au respect du secret des affaires (cfr. question 3) et de la propriété intellectuelle. De plus, un algorithme performant est, de nos jours, un actif immatériel qui représente une valeur essentielle pour une entreprise. Sur ce point, on peut dès lors comprendre la position de certains opérateurs privés en faveur d’une limitation à l’accès aux algorithmes et aux données.

Le considérant 63 du règlement précise, concernant le droit d’accès, que “lorsque c’est possible, le responsable du traitement devrait pouvoir donner l’accès à distance à un système sécurisé permettant à la personne concernée d’accéder directement aux données à caractère personnel la concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte”.

De plus, certains sont d’avis qu’une retranscription intégrale de l’algorithme (ou son explication mathématique) est insusceptible de satisfaire aux conditions de clarté et d’accessibilité posées par le texte (voy. art. 12).

Ainsi, la meilleure approche nous semble être à cet égard une approche “fonctionnaliste”. Il s’agirait de fournir une information suffisante pour expliquer aux personnes concernées le fonctionnement de l’algorithme. C’est-à-dire une explication des objectifs poursuivis dans le traitement des données par l’algorithme, sans pour autant dévoiler les informations techniques de celui-ci. (Voy. A. AULAS, “Expliquer l’algorithme : droit à l’information et profilage sous le GDPR”, 8 novembre 2017, disponible sur https://aeonlaw.eu/expliquer-lalgorithme
-droit-a-linformation-profilage-gdpr/).

Les opérateurs privés peuvent-ils invoquer un droit de la propriété intellectuelle pour refuser “l’accès” à leurs algorithmes ? Les algorithmes ne disposent d’aucun régime juridique propre, par conséquent, il convient de recourir à des principes juridiques très divers.
Pour ce qui est du droit d’auteur, l’algorithme, en tant que simple principe mathématique, fait partie du domaine des idées et ne dispose d’aucune protection par le droit d’auteur, sauf si l’algorithme est intégré au code source d’un logiciel ou d’un programme protégeable par le droit d’auteur, pour autant que la condition d’originalité soit remplie. Toutefois, la principale limite de cette “protection par le droit d’auteur”, est que, en réalité, c’est le logiciel qui peut en bénéficier, en tant que “support” de l’algorithme, et non l’algorithme lui-même. Aussi, si un tiers réussit à extraire de façon légale l’algorithme contenu dans le logiciel même lorsque ce logiciel est protégé par droit d’auteur, il sera libre de l’utiliser (reverse-engineering). Il n’y a pas non plus de protection à partir de la directive sur les programmes d’ordinateur. Son article 1, 2 dispose que « les idées et principes qui sont à la base de quelque élément que ce soit d’un programme d’ordinateur, y compris ceux qui sont à la base de ses interfaces, ne sont pas protégés par le droit d’auteur en vertu de la présente directive ».

Au titre du brevet, le droit de la propriété intellectuelle exclut expressément de la brevetabilité “les théories scientifiques, les méthodes mathématiques ainsi que les programmes d’ordinateur de la brevetabilité” (art. XI. 4 CDE). L’algorithme serait alors exclu de la brevetabilité lorsqu’il n’est qu’une méthode mathématique destinée à traiter l’information. Cependant, à l’ère du numérique, l’algorithme est plus qu’une simple méthode mathématique appartenant au domaine des idées. Le plus souvent, l’algorithme est intégré à une invention brevetable. D’ailleurs, selon l’O.E.B., un algorithme peut être breveté indirectement dans la mesure où il est intégré à une invention et lui apporte une contribution technique. On le voit, il n’est pas simple de protéger un algorithme par un droit de propriété intellectuelle. Le secret d’affaires semble être l’alternative.

3) Faut-il revoir les exceptions aux secrets d’affaires et/ou à l’accès aux documents administratifs pour assurer la transparence des outils d’IA ?

Le savoir-faire d’une entreprise, ses secrets de fabrique ou d’affaires ou certaines informations qu’elle détient ne peuvent pas toujours faire l’objet d’un brevet ou d’un autre droit de propriété intellectuelle. Dans ce cas, la seule protection qui s’offre aux entreprises est le secret.
L’algorithme peut constituer un secret d’affaires de l’entreprise. La directive 2016/943 entend par « secret d’affaires », des informations qui répondent à toutes les conditions suivantes: (Article 2)
« a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles;
b) elles ont une valeur commerciale parce qu’elles sont secrètes;
c) elles ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes ».

Alors que le RGPD prévoit un principe de transparence, la directive sur la protection des secrets d’affaires permet d’empêcher la divulgation de l’algorithme protégé. Néanmoins, il existe certaines exceptions aux secrets d’affaires. L’article 5 de la directive prévoit que :
“États membres veillent à ce qu’une demande ayant pour objet l’application des mesures, procédures et réparations prévues par la présente directive soit rejetée lorsque l’obtention, l’utilisation ou la divulgation alléguée du secret d’affaires a eu lieu dans l’une ou l’autre des circonstances suivantes:
a) pour exercer le droit à la liberté d’expression et d’information établi dans la Charte, y compris le respect de la liberté et du pluralisme des médias;
b) pour révéler une faute, un acte répréhensible ou une activité illégale, à condition que le défendeur ait agi dans le but de protéger l’intérêt public général;
c) la divulgation par des travailleurs à leurs représentants dans le cadre de l’exercice légitime par ces représentants de leur fonction conformément au droit de l’Union ou au droit national, pour autant que cette divulgation ait été nécessaire à cet exercice;
d) aux fins de la protection d’un intérêt légitime reconnu par le droit de l’Union ou le droit national.”
Les dérogations prévues à cet article restent cependant très floues et donc difficiles à appliquer (Voy. notamment le problème de la protection des lanceurs d’alerte).

Est-il nécessaire de revoir les exceptions aux secrets d’affaires afin de permettre la transparence des algorithmes ? Nous ne le pensons pas. En effet, l’article 3 (2) prévoit que : “l’obtention, l’utilisation ou la divulgation d’un secret d’affaires est considérée comme licite dans la mesure où elle est requise ou autorisée par le droit de l’Union ou le droit national”. Cette exception nous semble donc offrir les outils nécessaires afin de garantir le respect de l’exigence de transparence prévue par le RGPD. Effectivement, une disposition qui oblige la divulgation du fonctionnement d’un algorithme dans le cadre de la protection de données personnelles pourra s’imposer aux opérateurs privés et rendre l’utilisation ou la divulgation du secret d’affaires licite.

Show less
Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use simple HTML tags to add links or lists to your comment:
<a href="url">link</a> <ul><li>list item 1</li><li>list item2</li></ul> <em>italic</em> <strong>bold</strong>