Alain

Bensoussan

Avocat à la Cour d’Appel de Paris

 

Alain Bensoussan Avocats Lexing

Chronique juridique du Big Data, des algorithmes
et de l’Intelligence Artificielle

 

retour au sommaire

Quelle réalité revêt le Big Data ?

 

Le Big Data stricto sensu, pour le juriste, regroupe les Data, mais également les algorithmes utilisés afin de tirer un résultat
de celles-ci. Les Data sont en quelque sorte des données en état futur d’interprétation. Les Data sans algorithmes sont un peu comme des violons sans archet. Le Big Data est aujourd’hui capable de grandes prouesses par la multiplication de ces analyses, qu’elles soient statistiques ou liées à des technologies d’Intelligence Artificielle. Lorsque l’on combine Data et algorithmes,
on obtient la possibilité de créer un double informationnel de l’individu. Dans ce cadre, il faut disposer d’une très grande quantité de données, que l’on appelle des « lacs de données » composés de données de formats multiples, qui énoncent
des signaux faibles interprétés par les algorithmes de manière intelligente, pour déduire des prédictions à partir de cohortes de comportement. Ainsi, les algorithmes Predpol (Predicting Policing Software), par exemple, ont notamment permis de faire baisser le taux de sinistrabilité de manière très importante à Los Angeles. De même, la brigade des pompiers de Londres utilise ce type d’algorithmes pour prévenir des zones à risques dans lesquelles, par exemple, un incendie pourrait se déclencher.

 

Les algorithmes sont utilisés pour optimiser tous les comportements des individus face à des opérations, qu’elles soient d’intelligence, de déplacement, de consommation… Nous allons vers une société qui dès 2020 sera entièrement pilotée par
les algorithmes.
Ce sera le début de « l’esclavagisme technologique » que l’on peut illustrer de la façon suivante : nous serons téléguidés en matière de transports, télésurveillés en matière de sécurité, télésuggérés en matière de culture, téléopérés
en matière de santé et enfin téléorientés en matière de commerce !

Nous le sommes d’ailleurs déjà : nous nous abandonnons dans les bras des algorithmes. Par exemple, lorsque nous entrons
une adresse dans un GPS ou un ordinateur de bord, nous abandonnons la direction à l’algorithme ; parfois même nous lui parlons et nous profitons de sa compétence dans la mesure où l’algorithme GPS prend en compte les embouteillages,
les conséquences des accidents et même nos préférences, si elles sont enregistrées. Les algorithmes induisent ainsi que
les gens qui aiment le jazz seront « condamnés » à recevoir un pop-up toute leur vie leur recommandant, avec une probabilité d’exactitude supérieure à 90%, les derniers romans policiers à la mode. Nous sommes donc sous contrainte musicale et littéraire algorithmique ! Le monde de demain sera piloté par les algorithmes. D’où l’importance d’analyser leurs risques
et de comprendre ce qu’ils font.

 

 

Quid de la sécurisation de ces algorithmes ?

 

Un des principaux enjeux du Big Data est justement celui de la gouvernance des algorithmes. Il est nécessaire de créer un droit des algorithmes avec :

  • une obligation d’information, permettant de savoir ce que fait l’algorithme ;
  • une obligation éthique pour que les algorithmes soient conçus « ethics by design » et ne dépassent pas certaines
    limites d’intimité ;
  • la création d’un commissaire aux algorithmes chargé de vérifier l’adéquation et la conformité des algorithmes aux règles définies pour les plateformes, le consommateur étant dans l’impossibilité de les contrôler lui-même.

 

Les consommateurs sont en position anxiogène s’agissant de leurs données à caractère personnel mais ils les partagent assez facilement car dans ce partage, ils obtiennent des droits qui pour l’instant les intéressent. Une société comme Facebook,
forte de ses 1,6 milliards d’utilisateurs, répond à l’évidence à un besoin, qui lui-même relève de l’essence même des hommes
et des femmes, à savoir communiquer.

 

J’appelle ainsi de mes vœux un nouveau corps de consultants ainsi qu’un commissaire aux algorithmes, qui, à l’instar
du commissaire aux comptes, agirait pour le compte des dirigeants et associés, des salariés, des clients… Il serait l’homme permettant aux entreprises de se situer dans un état de conformité algorithmique. Ceci pour parer à tout risque systémique.
Les algorithmes ne peuvent pas être totalement laissés à une régulation de marché.

 

 

Quels sont les principaux points de la réforme européenne sur la protection des données personnelles
qui vient d’intervenir ?

 

La protection des données personnelles en Europe va être modifiée de manière radicale par le règlement sur la Protection

des données à caractère personnel 2016/679 du 27 avril 2016, qui entrera en vigueur en France le 25 mai 2018.

 

Ce nouveau système juridique reprend une partie ancienne de la réglementation sur la protection des données. On y retrouve les dispositions relatives au :

  • Droit d’information,
  • Droit des données à caractère personnel,
  • Droit des traitements.

 

Le tout devant être fait avec exactitude, pertinence, en respectant les finalités spécifiques. Or, c’est précisément ce dernier point qui pose problème car dans le Big Data, il n’y a par essence pas de finalités spécifiques. Il existe des finalités d’orientation,
des grands axes en quelque sorte, mais la collecte initiale n’a pas pour objet d’être respectée à l’identique. On cherche
dans les lacs des données à mélanger des données d’origines différentes, obtenues dans le cadre de finalités différentes,
afin de faire parler les données et de leur donner du sens à partir des signaux faibles.

 

Il s’agit d’une des préoccupations importantes pour les professionnels de la Data. Il faut mettre en place une règle
de gouvernance au regard de cet impératif de finalité de la réglementation.

 

Par ailleurs, dans la pratique, la plupart des entreprises, notamment dans le domaine du Big Data, ne respectaient pas l’ancienne réglementation. Notamment parce que les sanctions encourues n’étaient pas très dissuasives puisqu’elles étaient plafonnées à 150 000 euros et 300 000 euros en cas de récidive, sous réserve de condamnation pénale. Aujourd’hui, dans
le nouveau « paquet » réglementaire, le risque maximal est de 20 millions d’euros ou 4% du chiffre d’affaires !
On change complément d’échelle.

 

On trouve trois grandes obligations complémentaires incluses dans la réforme de la protection des données personnelles :

 

La Protection dès la conception

Le Privacy by design ou plus précisément « protection dès la conception » signifie qu’avant même de coder, on doit réfléchir
à la mise en place de la protection des données dans le cadre d’une collecte licite, loyale, également dans le cadre d’un traitement à finalité spécifique, respectueux des données sensibles. Ces exigences sont à prendre en compte dès la phase
de conception, de réalisation, de démarrage, d’exploitation, et ce jusqu’à la phase de maintenance. On doit penser en amont
à la durée de conservation des données nécessairement limitée, avec dans le cas général des données non nominatives
(les données nominatives devant être l’exception), qui seront obtenues uniquement avec un consentement. Au terme de la finalité, il faudra détruire les données.

 

La Protection par défaut

La conformité est par nature instable en raison des innovations technologiques. Le Règlement Data Protection prévoit donc que le responsable doit garantir que la conformité est bien respectée et prendre toutes les mesures nécessaires en cas d’écart pour une remise en conformité et pour stabiliser juridiquement ses innovations.

 

L’Accountability

Ce terme peut être traduit par « responsabilité » mais pas au sens de responsabilité pour faute ou sans faute. Il faut que
la personne soit en mesure de documenter l’ensemble des éléments de conformité et qu’elle puisse rapporter la preuve
de celle-ci.
C’est au responsable de traitement des données qu’il revient de prouver qu’il est en conformité et non à l’autorité
de régulation de démontrer qu’il y a non-conformité.

 

La réglementation européenne spécifie également l’obligation :

  • de procéder à des études d’impact lors du traitement de données à risque,
  • de prévenir, en matière de faille de sécurité des données, les autorités dans un délai de 72h maximum,
  • de tenir un registre des failles de sécurité : les entreprises doivent communiquer à la première demande des autorités
    de régulation sur les failles de sécurité, et informer les personnes concernées des conséquences entrainées
    par cette faille de sécurité.

 

 

Quels sont les impacts concrets du Règlement européen sur les entreprises ?

 

Les conséquences budgétaires pour les entreprises sont très importantes, notamment car elles doivent prévoir de réaliser
un audit de conformité, de situation, et mettre en place un plan de conformité pour régulariser leur situation. A cela s’ajoute
la nécessité de mettre en place une politique générale de conformité après la phase de régularisation pour un maintien
en conditions opérationnelles.

 

 

Quelles sont les limites du Règlement ?

 

La véritable limite du Règlement Data Protection réside dans la prise en compte du Big Data et de l’Intelligence Artificielle.
Le Règlement concerne les technologies numériques et est fortement orienté « silos d’information ». Le Big Data est donc violemment impacté par deux des principes du Règlement, celui de finalité spécifique déjà évoqué, et celui de minimisation
des données.

 

Le principe de minimisation figure entre parenthèse dans le Règlement et n’est donc pas facile à interpréter. La minimisation signifie que le responsable de traitement doit rechercher des solutions permettant de délier l’identité de la personne des données la concernant et d’effectuer des traitements de données à condition qu’elles ne soient pas à caractère personnel.

 

Ce principe n’existe pas aux Etats Unis. Les données nominatives ne sont pas sous contrainte de minimisation. C’est un handicap pour l’Europe car ce principe est contraire aux fondements du Data, du Machine Learning et du Deep Learning, dont le principe est justement la maximisation et l’augmentation de la taille du lac de données pour permettre aux algorithmes de traiter plus
de données et aux machines d’être plus opérationnelles. Le principe de minimisation se présente de manière assez orthogonale par rapport aux algorithmes et il est ainsi nécessaire de repenser le règlement vers une finalité d’orientation.

 

 

Qui est propriétaire des données ?

 

C’est une des grandes questions que pose le Big Data. Il n’existe pas de réglementation dans le monde sur la reconnaissance
de la propriété des données, bien que celles-ci soient reconnues comme une chose et fassent par exemple, à ce titre, l’objet d’une réglementation pour vol. Il s’agit d’un débat entre économistes sur la reconnaissance d’un droit de propriété ou droit d’accès. En ce qui me concerne, je milite justement pour la reconnaissance d’un droit de propriété.

 

Les contrats en matière de base de données présentent également de grandes difficultés de qualification. Les bases de données ne revêtent que rarement le caractère d’originalité requis. Le producteur de la base de données détient un droit sui generis
qui protège le contenu de celle-ci, mais les données ne représentent pas forcément un investissement important, car elles sont généralement non formatées.
La valeur des bases de données réside dans la réunion des données plus que l’intelligence
pour les traiter.

 

 

Quid de la réglementation en matière d’Intelligence Artificielle ?

 

Indépendamment du Big Data et des algorithmes, ces outils juridiques peuvent être utilisés au service de nouvelles technologies d’Intelligence Artificielle, les réseaux neuronaux, l’apprentissage profond Deep Learning et l’apprentissage automatique Machine Learning. Je pense qu’il est également nécessaire de redéfinir le régime et système de responsabilité face à ces intelligences faibles. Ces intelligences peuvent modifier le réel. L’exemple type est la voiture intelligente : il est nécessaire de définir
si l’utilisateur ou la plateforme d’intelligence sont responsables en cas d’accidents. De même les robots, en fonction des réglages effectués, ne donneront pas systématiquement les mêmes réponses. Il est donc nécessaire de définir si la plateforme
ou l’utilisateur est responsable en cas d’accident ou si le propriétaire/fabricant l’est conformément au régime général.

Dans le domaine de la robotique, la nature doit également être définie. Je milite pour une personnalité juridique propre des robots, la définition d’une nouvelle espèce artificielle accompagnée d’une obligation de traçabilité. Il faut nécessairement une boîte noire pour assurer une « traçabilité by design »
et suivre les déplacements des robots.

 

Il faut également considérer juridiquement le respect de l’intimité par les robots qui détiennent des informations personnelles sur leurs compagnons, dans
la mesure où ils enregistrent tout ce qui se passe dans une pièce et captent
des moments de vie privée. Le robot ne doit ni trahir son compagnon en communiquant des informations aux tiers non autorisés, tels que le fabricant,
ni prendre de décisions sans l’autorisation de son compagnon.

 

Les schémas de responsabilité en matière d’Intelligence Artificielle et de robotique doivent donc être repensés. Je milite également pour la création
d’un comité d’éthique pour la robotique afin de reconsidérer la dignité
des robots et le rapport robot-individu.

Avocat à la Cour d’appel de Paris, précurseur du droit des technologies avancées, Alain Bensoussan
a fait de l’élaboration de concepts nouveaux l’une de ses marques de fabrique : domicile virtuel,
droits de l’homme numérique, vie privée résiduelle... Il fonde et préside le cabinet Alain Bensoussan Avocats Lexing qui comprend aujourd’hui plus de 120 collaborateurs dont environ 80 avocats. En 2012, après avoir créé Lexing®, premier réseau international d’avocats technologues, il lance ainsi au sein
de son cabinet un département de droit des robots, y voyant « la reconnaissance par le droit d’une mutation technologique au moins aussi importante que l’ont été l’informatique et les réseaux sociaux au 20e siècle ». Aux yeux de cet infatigable explorateur de nouveaux domaines du monde numérique,
il était temps de créer un droit des robots les dotant d’une personnalité et d’une identité juridique pour en faire, demain, des sujets de droit : « Avec l’introduction d’une Intelligence Artificielle, les robots ne sont pas de simples automates. Ils ont des capacités grandissantes qui les amènent à collaborer avec les hommes.