Actuellement, l’usage des intelligences artificielles est entré dans le quotidien d’une part importante des Français. Il s’agit d’un marché mondial en expansion, ayant une croissance de 1400% prévue dans les sept prochaines années.
Cependant, malgré l’usage généralisé des intelligences artificielles, ce terme reste une notion abstraite et difficile à définir. Le Règlement sur l’intelligence artificielle (RIA) du 13 juin 2024 a tenté de définir ce terme. L’intelligence artificielle est définie comme étant : « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels » (article 3 RIA). Cette définition complexe renvoie essentiellement à la capacité d’une machine de reproduire des comportements humains.
Le droit à l’oubli, quant à lui, désigne la possibilité pour chaque individu de demander la suppression de ses données à caractère personnel ayant été transmises, notamment à des plateformes ou à des sites internet. L’article 17 du Règlement général sur la protection des données (RGPD) consacre ce droit à l’oubli et liste limitativement les situations dans lesquelles il est possible d’obtenir l’effacement de ces données.
L’intelligence artificielle étant basée sur le machine learning, elle a besoin d’un nombre conséquent de données afin de pouvoir fonctionner. Plusieurs problématiques résultent de cela : Comment une personne peut-elle obtenir l’effacement de ses données personnelles ? Une intelligence artificielle peut-elle oublier des données sur lesquelles elle s’est entraînée ?
La consécration du droit à l’oubli par la Cour de justice de l’Union européenne
Antérieurement à l’entrée en vigueur du RGPD, la Cour de justice de l’Union européenne a consacré le droit à l’oubli, ou aussi appelé le droit au déréférencement.
En effet, dans un arrêt du 13 mai 2014 (Google Spain), la Cour admet pour la première fois qu’une donnée périmée peut être retirée des résultats d’un moteur de recherche. Le droit au déréférencement n’offre pas un droit de suppression mais un droit à ce que l’information ne soit plus accessible sur un moteur de recherche, en l’occurrence sur Google.
Le droit à l’oubli doit aussi être mis en perspective par rapport à d’autres droits qui sont mis en cause, comme par exemple le droit du public à l’information.
Actuellement, le droit à l’oubli figure dans le Règlement général de protection des données. Le corollaire du droit à l’oubli est le droit à la rectification, permettant à toute personne de pouvoir rectifier les données qu’un responsable de traitement détient.
L’intelligence artificielle et le Règlement général de protection des données, un lien essentiel
Il existe deux moments au cours desquels l’intelligence artificielle collecte des données. Les données sont collectées d’une part massivement pour fabriquer le modèle d’IA et elles le sont aussi d’autre part lors de l’utilisation de l’IA par tout un chacun.
Cette collecte de données par les différentes intelligences artificielles entraîne donc un lien étroit entre le Règlement général sur la protection des données (RGPD) et le Règlement sur l’intelligence artificielle. Ainsi, la CNIL (Commission nationale de l’informatique et des libertés) a publié des fiches pratiques afin de rendre plus accessibles ces deux règlements et d’expliquer comment ils interagissent ensemble.
Plusieurs obligations sont donc imposées aux entreprises exploitant des intelligences artificielles. Elles ont une obligation d’information à l’égard des personnes faisant l’objet d’un traitement de données à caractère personnel (art. 13 et suivants du RGPD). Elles doivent également permettre l’exercice des droits des personnes concernées par le traitement de données. Il s’agit notamment du droit d’accès, à la rectification et à l’effacement (art. 16 et suivants RGPD).
L’intelligence artificielle et le traitement des données périmées
L’intelligence artificielle collecte donc des données à différents moments de son existence. Les données détenues sur une personne peuvent changer avec le temps et peuvent donc devenir obsolètes. Le fait que l’IA continue à traiter ces données périmées peut avoir des conséquences sur la vie privée et professionnelle de la personne concernée.
Malgré la protection juridique des données personnelles en théorie, il peut s’avérer difficile en pratique de contraindre une intelligence artificielle à oublier les données qu’elle a traité. Lorsque l’intelligence artificielle apprend sur une base de données périmée, il sera difficile pour une personne d’obtenir l’effacement de certaines données d’une intelligence artificielle.
Il serait donc nécessaire de contraindre une intelligence artificielle à désapprendre voire à oublier les données périmées qu’elle a collectées.
En conclusion, même si le droit à l’oubli a été consacré par la CJUE et par le RGPD, il reste difficile à mettre en œuvre en pratique, car une intelligence artificielle ne peut pas simplement oublier une donnée sur laquelle elle s’est entraînée.
Julie Branco de Véra
M2 Cyberjustice – Promotion 2024-2025
Sources :
Règlement – UE – 2024/1689 – EN – EUR-Lex (europa.eu)
46 Statistiques sur l’Intelligence Artificielle (IA) en 2024 (lesmakers.fr)
Règlement – 2016/679 – EN – rgdp – EUR-Lex (europa.eu)
Les fiches pratiques IA | CNIL
