Sarah Lenoir, avocate fondatrice du cabinet Alkeemia, au salon Innovative Learning, jeudi 21 mars.
IA en formation : quel cadre légal ?
Du RGPD à l'IA Act, l'outillage réglementaire à destination des acteurs de la formation qui s'emparent des intelligences artificielles génératives ne cesse de croître. Invitée du salon Innovative Learning, l'avocate Sarah Lenoir en appelle à la responsabilité des concepteurs et utilisateurs.
Par Nicolas Deguerry - Le 29 mars 2024.
S'il est une affaire que l'irruption des intelligences artificielles génératives n'a guère bouleversé, c'est bien cette constante : avec les technologies, les usages s'imposent avec une telle rapidité qu'ils précèdent la régulation. Fondatrice du cabinet Alkeemia, l'avocate Sarah Lenoir a partagé au salon Innovative Learning un état des lieux des enjeux liés à l'usage de l'IA en formation et présenté les principaux textes en vigueur ou à venir.
Risques et opportunités
Selon la juriste, il ressort des systèmes d'IA trois enjeux pour la formation : la personnalisation de l'apprentissage et l'augmentation de l'efficacité pédagogique, l'accessibilité et l'inclusion, l'amélioration de l'évaluation de l'efficacité de l'offre de formation. À ces promesses répondent des risques, qui ne sont pas tous nouveaux mais qui peuvent être décuplés par le recours à l'IA. Peuvent ainsi être évoqués les biais, source de discriminations, l'excessive standardisation des contenus, la dépendance technologique, les contenus erronés et les fausses informations ou, encore, la confidentialité et la cybersécurité. Le contrôle de ces risques dépend à la fois de la vigilance humaine, du droit applicable et de considérations éthiques voire philosophiques.
Sources juridiques
Le cadrage des obligations réglementaires et éthiques s'inscrit aujourd'hui dans trois sources principales. D'abord, le respect du droit de la propriété intellectuelle, qui pose le principe que les données issues de sources diverses traitées par les IA sont protégées par le droit d'auteur. C'est là une source majeure de contentieux puisque, Sarah Lenoir le rappelle, le traitement algorithmique des données moissonnées par les IA génératives ne s'appuie, sauf exception, sur aucune autorisation demandée aux auteurs. À noter qu'il existe une « exception de texte indéterminé », posée dans le code de la propriété intellectuelle via une directive européenne, qui autorise la copie numérique d'œuvres à des fins de « fouille de données », sauf si le titulaire des droits a expressément fait part de son refus.
Au-delà des données d'entrée, ce sont bien sûr aussi les données de sorties qui se doivent de respecter le droit d'auteur : la génération de contenus assistée par l'IA peut facilement tomber sous le coup de la contrefaçon, si le résultat est trop proche de l'œuvre originale traitée par l'algorithme.
Déjà bien connu des acteurs de la formation, le règlement général sur la protection des données (RGPD [ 1 ]Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, adopté en 2016.), est une deuxième source d'obligations applicables à l'IA. Il convient par exemple de respecter le « principe de minimisation des données » lorsqu'un dispositif de formation assisté par l'IA récupère des données personnelles de l'apprenant à des fins de personnalisation.
IA Act
Enfin, avec la très attendue proposition de règlement européen sur l'intelligence artificielle, le fameux IA Act ou loi sur l'IA adoptée par les eurodéputés le 13 mars 2024 et qui reste à être approuvée par le Conseil, l'Europe dispose désormais d'un cadrage spécifique à l'IA. Les activités d'éducation et de formation sont directement concernées puisqu'elles relèvent des systèmes d'IA dits « à haut risque »[ 2 ]L'IA Act adapte la réponse réglementaire à quatre niveaux de risque: interdiction des IA à risque « inacceptable » ; réglementation des IA « à haut risque » (dont la formation en raison du traitement de données personnelles) ; obligation de transparence pour les IA « à risque limité » ; absence de réglementation pour les IA « à risque minimal. », en ce qu'ils peuvent être utilisés pour :
- déterminer l'accès, l'admission ou l'affectation aux établissements d'enseignement et de formation professionnelle à tous les niveaux ;
- évaluer les résultats de l'apprentissage, y compris ceux utilisés pour orienter le processus d'apprentissage de l'étudiant ;
- évaluer le niveau d'éducation approprié pour un individu ;
- contrôler et détecter les comportements interdits des étudiants pendant les tests.
Sarah Lenoir insiste, dans l'entreprise, c'est l'expertise technique des directions informatiques et la mission d'accompagnement au changement des services RH et formation qui sont au cœur des chantiers de déploiement de l'IA. Manière de dire qu'au-delà de la nécessaire conformité légale, un chantier IA implique une « collaboration » renforcée et une mise en œuvre progressive, usage par usage, en réponse à des besoins clairement identifiés.
UN SYSTÈME D'IA, C'EST… : Sarah Lenoir le souligne, le premier apport de la loi sur l'IA est de définir, en son article 3, ce qu'est un système d'intelligence artificielle : « un système basé sur une machine conçu pour fonctionner avec différents niveaux d'autonomie, qui peut s'adapter après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels. » |
Les textes à connaître :
- Charte des droits fondamentaux de l'Union : format PDF
- RGPD (règlement général sur la protection des données) : cnil.fr/fr/reglement-europeen-protection-donnees
- Projet final de la loi européenne sur l'IA (IA Act) : artificialintelligenceact.eu/fr/l-acte/
- Code de la propriété intellectuelle : legifrance.gouv.fr/codes/texte_lc/LEGITEXT000006069414/
Notes
1. | ↑ | Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, adopté en 2016. |
2. | ↑ | L'IA Act adapte la réponse réglementaire à quatre niveaux de risque: interdiction des IA à risque « inacceptable » ; réglementation des IA « à haut risque » (dont la formation en raison du traitement de données personnelles) ; obligation de transparence pour les IA « à risque limité » ; absence de réglementation pour les IA « à risque minimal. » |