La consultation qui vient de s'ouvrir en Grande-Bretagne montre l'intention du gouvernement britannique de porter des premiers coups actifs au RGPD qui continue à s'appliquer après le Brexit.

Le but de ces coups de canifs est de permettre à la Grande-Bretagne d'être plus agile sur les données, en moins restrictif et moins de règles. Simplifions donc mais est-ce dans le bon sens ?

Revisite de l'intérêt légitime

Il y a tout d'abord une revisite de l'intérêt légitime, un des leviers pour justifier le traitement de données personnelles : il s'agit des cas où il n'est pas nécessaire de demander le consentement de la personne, par exemple lorsqu'il faut bien traiter ses données pour l'exécution du service auquel il a souscrit ou lorsqu'il s'agit de répondre à une requête légale ou lorsque les intérêts vitaux de la personne sont en jeu (« pas le temps de lui demander un consentement »). L'intérêt légitime à traiter des données personnelles, c'est aussi lorsque le bien public prime (comme cela fut/aurait dû être plus le cas selon les écoles durant la pandémie Covid-19).

Pour le gouvernement britannique, ce concept d'intérêt légitime, c'est un beau principe mais au fond, c'est vague. Pour être sûr, les entreprises demandent un consentement. Nous sommes tous désormais inondés de telles demandes de consentement, ce qui crée une fatigue qui nous fait dire oui par réflexe. Pour éviter ce flou, le gouvernement veut créer une liste limitée, mais exhaustive, de ce que recouvre l'intérêt légitime et ne plus devoir ainsi demander des sur-consentements. Et de citer quelques exemples comme rapporter, bien sûr, des actes criminels, utiliser les données pour renforcer la sécurité des systèmes et du réseau de l'entreprise, augmenter la sécurité du service ou produit proposé par l'entreprise avec les données d'utilisation (on imagine ici déjà les dérives des capteurs à domicile ou qu'on porte sur soi), augmenter l'efficacité des technologies de mesure d'audience (cookies mais au-delà aussi) pour améliorer les pages web et surtout, c'est là que cela se corse, pour monitorer, détecter et corriger les biais de l'IA (intelligence artificielle).

Oui, vous avez bien lu : lorsqu'il s'agira d'IA qui traitera des données personnelles, il ne faudra plus de consentement des personnes impliquées. Même si beaucoup d'IA ne sont pas basées sur le traitement des données personnelles, l'IA repose sur des données et quand l'IA fait peur, c'est quand elle traite des données personnelles et en font quelque chose...

Equité ou fairness

L'intégration harmonieuse de l'AI dans nos vies passe par l'idée d'équité de l'IA qu'elle a l'obligation de délivrer. Cette équité (« fairness » dans le texte) doit être présente dans l'usage des données : les données personnelles des gens doivent être exploitées dans le sens où les gens s'y attendent. Les processus d'IA qui entrent en jeu doivent aussi être équitables, à savoir mettre à disposition une définition précise de comment fonctionne le processus qui met en jeu l'IA, quels sont les critères de décision de cette IA, une fois qu'elle a traité les données ainsi que de permettre aux gens de comprendre et remettre en question les décision prises à leur égard. L'article 22 du RGPD le prévoit même s'il ne parle pas d'IA. Cet article dit en effet que les personnes ont le droit de ne pas être soumis à des prises de décision automatisées. L'article 15 leur donne un droit d'être informé et l'article 21 de s'y opposer. Enfin, le résultat de tout processus IA doit être équitable, c'est-à-dire ne pas (re)produire des discriminations entre groupes ou individus sur base de critères externes qui n'ont rien à voir (démographiques, géographiques). On parlera aussi de biais.

Le gouvernement britannique estime qu'il y a peu de compréhension sur comment appliquer dans la réalité le côté équitable. Dans une perspective de protection des données, il s'agit seulement, constate-t-il, de proposer de la transparence : transparence sur comment les données seront traitées et dans quel but. Or, avec l'IA, il s'agit finalement de traitement de données pour lesquelles les personnes n'ont pas vraiment d'attentes ou de compréhension car il s'agit souvent d'IA prédictive et prospective.

L'équité, à la fois, sur les données d'IA, sur les process et les résultats, c'est trop large, c'est sujet à trop d'interprétations. Pour l'équité sur les résultats, le gouvernement britannique botte même en touche. Que cela soit réglé au nouveau de lois sectorielles qui expliqueraient, secteur par secteur, ce dont il s'agit concrètement.

Pour construire une IA digne de confiance, il faut tester et encore tester. Pour cela, les entreprises doivent pouvoir expérimenter. Las, chaque fois qu'on veut utiliser des données personnelles, pour tester il faut soupeser, se poser des questions, réfléchir. Les sandbox , sorte de Far West très encadré où on pourrait jouer à se faire peur avec des données personnelles qu'on étirerait dans tous les sens avec l'IA, sont une solution mais le gouvernement veut aller plus loin en acceptant un relâchement uniquement pour entrainer ou tester l'IA. Cela va jusqu'à l'utilisation des données personnelles sensibles pour détecter les biais et les corriger. C'est vrai que c'est là que les biais font le plus de mal. Le problème est que pour des données sensibles, il faut un consentement explicite que d'aucuns refuseront de donner surtout si c'est pour tester de l'IA, ce qui maintiendra le biais puisque seules les données des personnes qui ont donné leur consentement seront utilisées.

Supervision humaine

Même la supervision humaine dans le cas de l'IA qui prendrait des décisions à fort impact sur les gens risque de passer aux oubliettes ! La plupart des décisions automatiques de l'IA implique déjà une intervention humaine à un certain moment. Même si leur implication est superficielle, ils peuvent au contraire eux-mêmes avoir biaisé le verdict de l'algorithme et, au fond, pourquoi leur jugement ne serait-il pas déjà affecté par des biais, bien humains ceux-là ! Le droit à la supervision humaine comme le prévoit le RGDP et la proposition de régulation de l'IA de la Commission européenne est de toute façon peu claire, lit-on en filigrane ! Comment la mettre en pratique ? De toute façon, l'article 22 n'est valable que si la décision rendue par l'IA (ou autre chose) est totalement automatique. Pour le gouvernement britannique, la supervision humaine est disproportionnée et non praticable, au fur et à mesure que l'IA va être pervasif dans notre vie et notre société.

Enfin, le gouvernement britannique se pose la question de créer des passeurs de données qui faciliteraient les échanges, une libre circulation des données sûres pour booster l'innovation. Il veut éviter que les organisations soient tétanisées à l'idée de partager entre elles des données. C'est que toutes les entreprises ont des données mais toutes les entreprises n'ont pas les compétences en interne sur comment les gérer de manière sûre. Ces 3rd parties auraient les spécialistes en question. Elles guideraient les entreprises pour se partager des données. Le gouvernement pourrait mettre en place une accréditation sur ces 3rd parties et s'assurer que ces 3rd parties peuvent "stewarder" (?) des données confidentielles. Elles pourraient être alors utilisées pour des décisions importantes, commerciales, publiques ou même personnelles. Elles seraient l'entité de confiance pour procéder à des échanges sûrs de données entre écosystèmes, industries.

Le gouvernement pourrait émettre des codes de conduites, des obligations de partage envers ces intermédiaires.

Mieux définir ce qu'est la recherche

Bien sûr le gouvernement veut aussi faciliter les utilisations de données personnelles dès qu'il s'agit de la recherche. Et de vouloir donner un blanc-seing aux universités qui pourraient presque faire ce qu'elles veulent de par leur statut. Il faudra mieux définir ce qu'est la recherche car c'est une condition pour laquelle des données personnelles pourraient être utilisées sans consentement.

En fait, la gestion des données personnelles est désormais vue par le gouvernement britannique comme la gestion d'un risque qui ne doit pas se matérialiser et non pas comme un ensemble de règles à suivre, ce qui est pourtant l'essence du RGPD (qui laissait toutefois une grande liberté sur comment les appliquer).

Cette distance prise avec le RGPD européen pose une autre question : le Royaume-Uni restera-t-il dans l'accord d'équivalence avec l'Union européenne qui autorise des transferts de données personnelles sans restriction ou verra-t-on un arrêt Schrems III d'ici peu ?

_________

Pour en savoir plus : Data A New Direction, department for digital, media, culture and sport, secretary of State for Digital, Media, Culture and sport, Sept 21.