Alors que nous nous apprêtons à célébrer le 5ème anniversaire de l’application du RGPD, les Commissions Informatiques & Libertés des pays européens réfléchissent à interdire l’accès à ChatGPT à l’instar du GDDP (Garante Per la Protezione dei Dati Personali). En effet, le régulateur italien dénonce une violation des règles posées par le règlement, telles que l’information préalable des finalités des traitements de données personnelles, la protection des usagers en particulier les mineurs ou encore la conservation limitée des données sur la vie privée des personnes citées dans les compilations générées par le robot.
Lors de la promulgation du RGPD en 2016, l’intelligence artificielle (IA) n’était pas aussi développée qu’aujourd’hui. La question se pose alors de l’adéquation du règlement à ces évolutions. Ne vaudrait-il pas mieux revoir le cadre réglementaire plutôt que de freiner l’avancée technologique, au risque que des innovations majeures se fassent en dehors du cadre de l’Union européenne?
Pour autant, l’Europe fait figure de leader avec l’élaboration du futur règlement IA[1] qui devrait voir le jour en 2023 pour une application directe dans les Etats membres en 2025. Mais n’est-ce pas trop tard ? En 2025, OpenAI[2] aura laissé le pas à d’autres startup créant des solutions toujours plus innovantes mais également controversées.
[1] Le règlement sur l’intelligence artificielle (RIA) a été proposé par la Commission européenne le 21 avril 2021 et donnera un cadre à l’approche par les risques pour encadrer les usages des systèmes d’intelligence artificielle et faciliter l’émergence de solutions innovantes et respectueuses des droits et libertés des personnes. La CNIL s’est prononcée avec ses homologues européens sur ce texte, et s’est positionnée pour assumer le rôle d’autorité de contrôle en charge de l’application du règlement en France.
[2] OpenIA est la société conceptrice de ChatGPT
1. L’IA au service du secteur bancaire et financier : des avancées de nature à compromettre certains principes du RGPD
Le monde bancaire et financier n’est en reste au regard des avancées technologique, notamment avec l’usage des technologies d’apprentissage automatique (machine learning), en particulier sur le fonctionnement des comptes de la clientèle, les opérations générées et les comportements des consommateurs bancaires.
En matière de risques, on pense bien sûr au scoring clients perfectionné par l’analyse fournie par l’IA prédisant les comportements de remboursements grâce au brassage de masses considérables de données (de sources internes et externes), accroissant le niveau de pertinence de la décision d’octroi des crédits et également accélérant cette dernière.
Toujours en matière de risques, l’Intelligence Artificielle rend possible la détection de comportements atypiques en matière de paiements en ligne améliorant la détection de la fraude. L’IA permet également à terme de mettre en œuvre une vigilance sur la biométrie comportementale analysant la manière dont les personnes utilisent leurs systèmes d’information ou téléphone mobile lors des transactions bancaires (vitesse et rythme de saisie, force de frappes…). Enfin, un autre exemple d’utilisation de l’IA réside dans les enjeux de conformité avec l’assistance apportée dans la mise en œuvre des obligations de connaissance de la clientèle (KYC) et de vérification des informations et documents fournis permettant d’améliorer la recherche de cohérence, ainsi que les obligations de vigilance et de détection des opérations inhabituelles, d’un montant anormalement élevé et sans justification économique apparente ou d’objet licite[1].
Or, pour rappel, le RGPD exige que certains traitements de données à caractère personnel fassent l’objet d’une étude d’impact sur la vie privée (EIVP ou PIA) qui peut aboutir à la mise en place de mesures permettant de réduire les risques sur la sphère privée des personnes concernées, voire menant à la demande d’une autorisation de la CNIL. Les critères d’élaboration des PIA reposent bien sûr sur le profilage ou la prise de décision gouvernée par une automatisation des données, mais avions-nous à l’époque anticipé la surveillance du comportement des tiers vis-à-vis des claviers d’ordinateurs et les mouvements d’une souris ?
De plus, le brassage de données personnelles met en péril le principe de minimisation découlant du RGPD et exigeant que seules les informations strictement nécessaires au traitement doivent être collectées et exploitées. Or, les algorithmes pour accroitre leur pertinence de prédiction et d’anticipation, doivent rassembler des masses de données et ne sont pas toujours sélectifs par rapport aux finalités des traitements.
[1] Selon l’article L561-10-2 du Code Monétaire et Financier exigeant l’examen renforcé
2. Une vigilance nécessaire de la part des régulateurs vis à vis de la protection des clients
Au-delà du Comité Européen de Protection des Données et des Commissions Informatiques & Liberté nationales veillant au respect de la sphère privée, les régulateurs bancaires et financiers se préoccupent également du recours à l’IA notamment dans le cadre des conseils prodigués aux clients ; que ce soit le conseil en investissement ou le devoir de conseil en assurance et en crédit, ils sont les fondements de la protection de la clientèle dans le cadre de la démarche commerciale. Ainsi, le Conseil de Stabilité Financière (Financial Stability Board _ FSB)[1] met en garde sur le risque d’uniformisation des réponses apportées par les « robot-advisors » qui serait alors contraire à la définition d’une recommandation personnalisée à apporter aux clients en adéquation avec leurs profils individualisés.
[1] Intelligence artificielle et apprentissage automatique – développement du marché et implications sur la stabilité financière, FSB, 1er novembre 2017.
3. L’usage de l’IA au service des contrôles du superviseur
Dans le cadre du contrôle prudentiel, le recours à l’IA a été contesté, cette fois-ci par une banque elle-même, sanctionnée par l’ACPR. Il s’agit de la Caisse régionale de Crédit agricole mutuel du Languedoc (CRCAM Languedoc)[1] soutenant « que les conditions d’utilisation du Logiciel à l’Usage du Contrôle assisté par l’Intelligence Artificielle (LUCIA) pour analyser les opérations de la clientèle ont affecté la régularité de la procédure disciplinaire en ce qu’elles n’ont pas respecté l’obligation de loyauté à laquelle la mission de contrôle était soumise et ont porté irrémédiablement atteinte aux droits de la défense (…) », soulignant le caractère inédit et disproportionné des moyens utilisés par LUCIA.
Ainsi, l’outil aura permis aux contrôleurs sur place de l’ACPR de traiter des quantités importantes de données sur la base des fichiers transférés d’une taille de 540 gigabits (GB) portant notamment sur 750 millions d’opérations de paiement effectuées par la clientèle de janvier 2018 à juin 2020. La décision prononcée par la Commission des Sanctions ACPR a rappelé que si « les contrôleurs sont soumis à une obligation de loyauté, ils ne sont pas tenus de faire connaître aux organismes contrôlés les caractéristiques des logiciels qu’ils peuvent être, le cas échéant, conduits à utiliser. En outre, rien ne permet, en l’espèce, de considérer qu’en raison du grand nombre de données que le logiciel LUCIA est capable de traiter, l’utilisation d’un tel instrument, pour la première fois à l’occasion d’un contrôle sur place, aurait été disproportionnée ou aurait affecté la loyauté du contrôle. »
Pour autant même si l’intérêt légitime prévaut dans ce cas notamment pour traiter les données personnelles des clients du CRCAM Languedoc, le recours à LUCIA change la donne et pourrait marquer une dissymétrie de moyens par rapports aux ressources techniques déployées par les banques, en particulier les établissements non complexes et de petite taille.
[1] Décision rendue le 1er décembre 2022 à l’encontre de la CRCAM Languedoc – lien https://acpr.banque-france.fr/sites/default/files/media/2022/12/07/20221207_decision_crcam_languedoc.pdf
4. De la nécessité de faire évoluer le cadre réglementaire[1]
[1] Se reporter aux références de l’article pour l’ensemble des textes cités.
Que ce soit pour optimiser les processus opérationnels des banques, ou les dispositifs de maitrise des risques ou encore la surveillance de la stabilité financière par les autorités de tutelle (en matière de LCB-FT ou de lutte contre les abus de marché, par exemple), l’IA est un bouleversement dont la progression est exponentielle. Plusieurs cadres réglementaires visant à préciser les conditions d’utilisation de l’intelligence artificielle sont actuellement en cours d’élaboration au niveau européen.
Tout d’abord, le règlement ePrivacy (évolution de la directive ePrivacy actuelle) précisera les règles du RGPD applicables dans la protection de la vie privée en ligne des citoyens. Il prévoit :
- Des règles de confidentialité qui s’appliqueront également aux nouveaux acteurs fournissant des services de communications électroniques tels que WhatsApp, Facebook Messenger et Skype.
- Cela garantira que ces services populaires garantissent le même niveau de confidentialité des communications que les opérateurs de télécommunications traditionnels.
- Des règles plus strictes: toutes les personnes et toutes les entreprises de l’UE bénéficieront du même niveau de protection de leurs communications électroniques grâce à ce règlement directement applicable.
- Les entreprises bénéficieront également d’un ensemble unique de règles dans l’ensemble de l’UE.
- S’agissant du contenu et métadonnées des communications, une confidentialité également garantie.
- Les métadonnées — données qui décrivent d’autres données, telles que l’auteur, la date de création et l’emplacement— ont un composant de confidentialité élevé et devraient être anonymisées ou supprimées si les utilisateurs n’ont pas donné leur consentement, à moins que les données ne soient nécessaires à la facturation.
- Pour les nouvelles opportunités d’affaires, une fois le consentement donné pour le traitement des données de communication, les opérateurs de télécommunications traditionnels auront davantage d’occasions de fournir des services supplémentaires et de développer leurs activités.
- Par exemple, ils pourraient produire des cartes de chaleur indiquant la présence d’individus. Celles-ci pourraient aider les pouvoirs publics et les entreprises de transport à développer de nouveaux projets d’infrastructure.
- Des règles plus simples sur les cookies:
- La disposition relative aux cookies, qui a entraîné une surcharge de demandes de consentement pour les internautes, sera rationalisée. La nouvelle règle sera plus conviviale car les paramètres du navigateur fourniront un moyen facile d’accepter ou de refuser les cookies de suivi et d’autres identifiants. La proposition précise également qu’aucun consentement n’est nécessaire pour les cookies non confidentiels qui améliorent l’expérience sur Internet, tels que les cookies pour mémoriser l’historique des achats-carts ou pour compter le nombre de visiteurs du site Web.
- Une protection contre le spam, interdisant les communications électroniques non sollicitées par courrier électronique, SMS et machines automatiques d’appel.
- Selon la législation nationale, les personnes seront protégées par défaut ou pourront utiliser une liste de non-appel pour arrêter la commercialisation des appels téléphoniques. Les appelants marketing devront afficher leur numéro de téléphone ou utiliser un préfixe spécial qui indique un appel marketing.
- Une mise en œuvre plus efficace:
- L’application des règles de confidentialité dans le règlement relèvera de la responsabilité des autorités chargées de la protection des données, déjà responsable du respect des règles prévues par le RGPD.
Le Digital Markets Act (DMA), le Digital Services Act (DSA), et le Data Governance Act (DGA), encadreront dès 2023 le marché des grandes plateformes numériques. Selon la CNIL, le règlement sur les services numériques (DSA), a notamment, pour objectif d’accentuer la transparence et la responsabilisation (accountability), des plateformes envers les usagers. Ce texte pourrait également avoir des conséquences sur les plateformes utilisant des algorithmes de recommandation. Plus récemment introduit, le Data Act, vise à faciliter les échanges de données au sein de l’Europe. Ces textes viennent compléter le projet de règlement sur l’intelligence artificielle (RIA) de l’Union européenne citée plus haut et seront mis en cohérence avec le RGPD.
Charge à cette règlementation d’être pro-active, mais surtout concertée à l’échelon mondial en vue d’en garantir l’efficacité d’ensemble et afin d’éviter de nouveaux scandales ou de nouvelles crises sans brider ces évolutions technologiques.
Références
- RGPD, Règlement Général sur la Protection des Données – Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, applicable depuis le 25 mai 2018.
- RIA, futur Règlement européen sur l’Intelligence Artificiel proposé par la commission européenne le 21 avril 2021.
- Règlement ePrivacy, Proposition de règlement du Parlement européen et du conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»), finalisé le 10 février 2021 par le Conseil de l’Union européenne.
- Digital Markets Act (DMA), règlement sur les marchés numériques, présenté fin 2020 par la Commission européenne, définitivement voté par le Parlement européen et approuvé par le Conseil de l’UE en juillet 2022. Publié le 12 octobre 2022. Le DMA sera applicable au 2 mai 2023.
- Digital Services Act (DSA), règlement sur les services numériques, présenté fin 2020 par la Commission européenne, définitivement voté par le Parlement européen en juillet 2022 et approuvé par le Conseil de l’UE le 4 octobre 2022. Publié le 27 octobre 2022. Le DSA sera applicable en février 2024, sauf pour les très grandes plateformes en ligne et les très grands moteurs de recherche qui seront concernés dès 2023. La Commission européenne doit encore prendre des actes délégués.
- Data Governance Act (DGA), règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), sera applicable en septembre 2023.
- Data Act, Proposition de règlement du Parlement européen et du conseil fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données) du 23 février 2022.
- FSB, Fonds de Stabilité Financière – Intelligence artificielle et apprentissage automatique – développement du marché et implications sur la stabilité financière, 1er novembre 2017.
- ACPR, Intelligence artificielle : enjeux pour le secteur financier, Document de réflexion, décembre 2018.