Avec son plan d’action portant sur l’IA adopté en 2023, la Commission nationale de l’informatique et des libertés (Cnil) s’est donné pour mission de favoriser l’émergence d’intelligences artificielles innovantes et respectueuses de la vie privée et des données personnelles. Tour d’horizon avec Thomas Dautieu, directeur de l’accompagnement juridique de la Cnil.

Décideurs RH. Pouvez-vous commenter le cadre juridique en vigueur concernant les IA ?

Thomas Dautieu. Le règlement européen sur l’IA, l’IA Act, publié début août, est le texte majeur en la matière. Il s’applique aux concepteurs et aux utilisateurs d’IA, dans le but de renforcer la relative sécurité des technologies mises sur le marché. Il a vocation à entrer en application de manière échelonnée. Ainsi, d’ici à janvier, les dispositifs interdits – notation sociale fondée sur le comportement ou les caractéristiques personnelles des individus ; reconnaissance biométrique en temps réel, sauf exceptions très encadrées ; modèles d’IA ayant recours à des techniques de manipulation du comportement humain – devront être abandonnés. D’ici à août 2025, les règles relatives à la gouvernance de l’IA seront implémentées, et un code de conduite doit être adopté pour les modèles d’IA à usages général, qui sont à la base des systèmes d’IA génératives. Enfin, d’ici à août 2026, les dispositions prévues pour les systèmes à hauts risques devront être mises en application.  

Les entreprises qui ont déjà recours à des solutions d’IA doivent donc anticiper l’entrée en vigueur du règlement européen et avoir une vision du niveau de risques posés par les outils auxquels elles ont recours. Si des IA “à hauts risques” sont utilisées, celles-ci devront répondre à un ensemble d’exigences. Pour être conformes au règlement, les utilisateurs de ces systèmes devront donc être vigilants à ce que les systèmes qu’ils ont achetés remplissent bien ces conditions.

Par ailleurs, le règlement général de protection des données (RGPD) doit être pris en compte : d’une part, pour concevoir des systèmes d’IA, il faut les entraîner sur de très larges volumes de données, qui contiennent, dans la plupart des cas, des informations à caractère personnel ; d’autre part, des données à caractère personnel peuvent être nécessaires dans le cadre de l’utilisation du système d’IA. En ce qui concerne l’IA générative en général et les grands modèles de langages en particulier, il est incontestable que des données personnelles sont utilisées pour l’entraînement.

Il est indispensable de garder en tête que le paysage juridique relatif à l’IA est en pleine construction. Si nous connaissons bien le RGPD, entré en application en 2018, nous ne pouvons pas en dire autant du règlement européen sur l’IA, dont nous saisirons toutes les subtilités au fil du temps. Les interactions entre le RGPD et l’IA Act sont en cours de définition, et le Comité européen de la protection des données, le CEPD, va prochainement publier des lignes directrices en la matière. L’un des enjeux actuels est d’avoir une régulation cohérente et simplifiée de ces deux textes. C’est en ce sens que la Cnil estime être à même d’être l’autorité compétente en matière d’IA dans le secteur RH.

Les entreprises qui ont déjà recours à des systèmes d’IA doivent anticiper l’entrée en vigueur du règlement européen

Quels sont, selon vous, les risques principaux que font peser les IA génératives sur nos libertés ?

Les IA génératives présentent des bénéfices incontestables qu’il est important de reconnaître. À titre personnel, j’estime que les hypertrucages, ou deep fakes, sont particulièrement dangereux, en ce qu’ils peuvent donner lieu à des tentatives de manipulation, d’usurpation d’identité, d’hameçonnage – phishing –, etc. Si plus personne ne croit ce qui est diffusé sur Internet et sur les réseaux sociaux, c’est la liberté de communication qui finira par être menacée. L’IA Act prévoit d’y remédier, en imposant que tout ce qui est généré par l’IA ‒ et s’apparente à des trucages ‒ soit clairement signalé comme tel. Toutefois, ceux qui souhaiteront faire des faux, sans respecter le cadre légal, pourront toujours inonder les plateformes de contenus. Nous devons donc être particulièrement vigilants.

Parmi les autres risques figurent les “hallucinations” de l’IA, c’est-à-dire des erreurs factuelles ou des élucubrations présentées par l’IA comme véridiques. Un avocat américain en a été victime lorsqu’il s’est fondé sur de fausses jurisprudences suggérées par ChatGPT lors d’un contentieux contre une compagnie aérienne. Cela rappelle l’importance du contrôle humain et de l’éducation des utilisateurs.  

À lire : Stéphanie Dubreuil (Groupe La Poste) : "Nous gardons un certain avantage par rapport à l’IA"

Quelle est la stratégie de la CNIL face à l’arrivée massive de l’IA ?

Notre objectif est de coconstruire un cadre juridique garantissant le respect de la vie privée, au travers d’un dialogue régulier avec les concepteurs d’IA et de consultations publiques ouvertes à toutes les parties prenantes. Nous souhaitons avant tout soutenir et sensibiliser les acteurs de l’écosystème de l’IA, en France et en Europe.

En outre, nous veillons à accompagner les développeurs et les utilisateurs, en publiant régulièrement des conseils et des guides. Notre but est notamment de sensibiliser les entreprises utilisatrices d’IA sur l’intérêt qu’elles ont à utiliser des outils permettant que les données injectées dans l’IA restent stockées au sein des serveurs de l’entreprise ‒ et ce, pour éviter la transmission d’informations à des prestataires externes, qu’il s’agisse de données personnelles ou industrielles. Nous avons également créé un bac à sable, afin que les entreprises et les administrations puissent poser leurs questions en lien avec des cas d’usage précis.

Nous serons, dans un second temps, en capacité d’auditer et de contrôler les utilisations d’IA génératives, afin de nous assurer de la protection des droits et des libertés.

Nous souhaitons soutenir et sensibiliser les acteurs de l’écosystème de l’IA, en France et en Europe

Pour les salariés, il y a encore très peu de moyens de s’éduquer sur l’usage de l’IA. Quels sont les risques à surveiller ?  

Tout d’abord, nous préconisons d’éviter de développer de l’IA simplement pour le plaisir de le faire. C’est une technologie sensible qui doit répondre à un besoin particulier. Cela requiert donc de bien définir les cas dans lesquels elle sera sollicitée.

Ensuite, la formation des équipes est essentielle pour bien comprendre le fonctionnement d’un système d’IA, et pouvoir ainsi en mesurer les limites. L’IA se nourrit des données contenues dans les prompts des utilisateurs, ce qui lui permet de se perfectionner à mesure qu’elle est utilisée. Le groupe Samsung en a fait les frais en 2023, lorsque des ingénieurs du groupe ont alimenté ChatGPT de données internes confidentielles.

Propos recueillis par Caroline de Senneville

Prochains rendez-vous
Décideurs RH

28 novembre 2024
Les Victoires du Capital humain
L'incontournable des directions RH
CONFÉRENCES ● DÉJEUNER VIP ● REMISE DE PRIX 
Voir le site » 

2 avril 2025
U-Spring, Le Printemps des universités d'entreprises
La journée qui célèbre le learning
CONFÉRENCES ● DÉJEUNER VIP ● REMISE DE PRIX
Voir le site »

Été 2025
Talents!
L'événement consacré aux enjeux d’attraction des talents et au recrutement
CONFÉRENCES ● DÉJEUNER VIP ● REMISE DE PRIX
Voir le site »

Octobre 2025
Les Rencontres du droit social
Le rendez-vous des acteurs du droit social
CONFÉRENCES ● DÉJEUNER VIP 
Voir le site »

GUIDES DÉCIDEURS RH

> Guide 2024

Newsletter Flash

Pour recevoir la newsletter hebdomadaire de Décideurs RH, merci de renseigner votre mail