Translate

Affichage des articles dont le libellé est RGPD. Afficher tous les articles
Affichage des articles dont le libellé est RGPD. Afficher tous les articles

mardi 12 novembre 2024

Liberté d’expression et projets nationaux

Information de l’UE sur la législation sur l’IA : Liberté d’expression et projets nationaux


La ministre d’État irlandaise, Dara Calleary, a publié une liste de neuf autorités publiques nationales chargées de protéger les droits fondamentaux en vertu de la législation européenne sur l’IA.

Risto Uuk 12 novembre 2024

Bienvenue dans la lettre d’information de l’UE sur la législation sur l’IA, une brève lettre d’information bihebdomadaire du Future of Life Institute qui vous fournit des développements et des analyses actualisés de la législation européenne sur l’intelligence artificielle.

Processus législatif

L’Irlande publie la liste des autorités publiques : 

La ministre d’État irlandaise, Dara Calleary, a publié une liste de neuf autorités publiques nationales chargées de protéger les droits fondamentaux en vertu de la loi sur l’IA. Ces autorités recevront des pouvoirs supplémentaires pour s’acquitter de leurs responsabilités existantes lorsque l’IA présente des risques élevés pour les droits fondamentaux, y compris l’accès à la documentation obligatoire des développeurs et des déployeurs de systèmes d’IA. Il s’agit notamment de An Coimisiún Toghcháin, de Coimisiún na Meán, de la Commission de protection des données, de l’Agence de protection de l’environnement, du Médiateur des services financiers et des pensions, de la Commission irlandaise des droits de l’homme et de l’égalité, du Médiateur, du Médiateur des enfants et du Médiateur des forces de défense. Cette liste remplit la première obligation de l’Irlande en vertu de la loi sur l’IA.

L’approche de l’Italie en matière de mise en œuvre : 


Luca Bertuzzi, correspondant principal de MLex pour l’IA, a indiqué que le gouvernement italien a adopté un décret visant à charger ses agences nationales du numérique et de la cybersécurité de faire appliquer la loi sur l’IA. Mario Nobile, chef de l’Agence pour l’Italie numérique, a souligné que les préparatifs avaient commencé avant cette mission officielle, l’agence renforçant ses capacités internes et ses partenariats de recherche. Nobile a souligné que le développement de compétences complexes ne se limite pas à l’embauche de personnel, mais qu’il faut un personnel qualifié, une surveillance continue de la situation et un dialogue avec les scientifiques. L’agence a collaboré avec 14 professeurs de sciences italiens et plusieurs universités de premier plan sur la stratégie nationale en matière d’IA. Il a souligné l’importance d’équilibrer la mise en œuvre de la loi avec la stratégie industrielle, compte tenu de l’absence de « licornes » européennes et d’un champion de l’IA. En ce qui concerne la coordination entre les régulateurs, M. Nobile a exprimé sa confiance dans le Conseil européen de l’IA en tant que plate-forme pour résoudre les différends.

Aperçu des plans nationaux de mise en œuvre : 


Depuis l’entrée en vigueur de la législation sur l’IA le 1er août, les États membres ont commencé à se préparer à sa mise en œuvre. La désignation des autorités nationales figure parmi les premières priorités. Ce rapport sera mis à jour au fur et à mesure que de nouvelles informations seront disponibles. Aidez-nous à nous assurer que ce contenu est complet et exact en partageant avec nous toute information dont vous disposez sur les autorités.

Analyse


Protéger la liberté d’expression : 

Jordi Calvet-Bademunt, chercheur principal à The Future of Free Speech, a écrit un éditorial dans Tech Policy Press sur les implications des risques systémiques dans la loi sur l’IA. La loi exige que les fournisseurs d’IA à usage général à fort impact évaluent et atténuent les risques systémiques, à l’instar des exigences de la loi sur les services numériques pour les plateformes en ligne. Bien que la Loi soit en vigueur, le prochain Code de pratique sur l’IA à usage général offre l’occasion de protéger la liberté d’expression. La définition du risque systémique dans la Loi soulève des préoccupations quant aux répercussions potentielles sur la liberté d’expression, en particulier en ce qui concerne le contenu controversé. 
Les fournisseurs ont du mal à trouver un équilibre entre divers droits fondamentaux et peuvent avoir tendance à supprimer trop de contenu pour éviter les pénalités. Le rôle de la Commission européenne en tant qu’organisme d’application de la loi soulève des préoccupations supplémentaires, compte tenu du potentiel d’influence politique et de l’utilisation historique de la « sécurité publique » pour justifier les restrictions à la liberté d’expression. 
La mise en œuvre de la DSA a déjà démontré ces défis, comme en témoignent les déclarations controversées du commissaire de l’époque, M. Breton, sur les fermetures de plateformes lors des émeutes de 2023.


Le groupe de réflexion Pour Demain a rédigé une note d’orientation dans laquelle il soutient que les prochains codes de pratique pour le déploiement de modèles d’IA à usage général (PMIA) de l’AI Office devraient privilégier les approches d’évaluation à multiples facettes au-delà des tests en boîte noire. 

Les recommandations comprennent 


1) encourager l’accès « de facto » en boîte blanche pour les évaluateurs indépendants grâce à des API personnalisées, 

2) faciliter l’accès aux informations contextuelles pour des audits complets, et 

3) mettre en œuvre des mesures de protection à plusieurs niveaux combinant des mesures techniques, physiques et juridiques. Ces recommandations visent à renforcer la capacité de l’UE à évaluer et à atténuer les risques liés aux modèles d’IAM. L’article souligne l’importance de la transparence, de l’équité et de méthodes d’évaluation solides. 

Il souligne également les limites des tests en boîte noire et préconise différents niveaux d’accès, de la boîte noire à la boîte blanche et aux évaluations « hors des sentiers battus », tout en suggérant des mécanismes pour minimiser les risques associés aux évaluations complètes.


La loi sur l’IA peut-elle imposer des amendes mieux que le RGPD ? 


Ellen Jennings-Trace, rédactrice de Tech Radar, a rendu compte d’une conférence ISACA à Dublin, au cours de laquelle le Dr Valerie Lyons a discuté de la mise en œuvre de la loi sur l’IA en 2026. Elle suggère aux entreprises de ne pas être trop anxieuses, notant les similitudes entre la loi sur l’IA et les principes de transparence, de sécurité et de consentement du RGPD. Lyons a souligné les problèmes liés à l’application du RGPD, révélant que moins de 1 % des amendes ont été perçues en Irlande en raison des procédures d’appel. Elle a noté que les amendes infligées aux agences gouvernementales coûtent finalement aux contribuables, citant l’amende de 75 000 € de Tusla à titre d’exemple. Pour les petites entreprises qui déploient des systèmes d’IA, Lyons fait les recommandations suivantes : 1) effectuer une analyse des écarts à l’aide des normes ISO ou NIST, 2) s’appuyer sur la conformité existante au RGPD, 3) mettre en œuvre une formation à l’IA avant février 2025, 4) mettre à jour les avis, les politiques et les DPIA ROPA, et 5) établir des processus de surveillance robustes pour les systèmes d’IA.

Pourquoi le Code de bonnes pratiques est important : 


Nicolas Moës, directeur exécutif de The Future Society, a écrit un éditorial expliquant pourquoi le Code de bonnes pratiques pour l’IA à usage général (PMIA) est important. Le code, qui entrera en vigueur le 2 août 2025, détaillera les règles applicables aux produits et services du PMIA sur le marché de l’UE. L’importance du code pour l’Europe comprend la promotion de la transparence et de la compréhension des modèles d’IAM, l’équilibre entre la sécurité juridique et la flexibilité et le soutien à l’innovation responsable en matière d’IA. À l’échelle mondiale, le Code est important parce qu’il peut établir une approche responsable du développement de l’IAM pour les entreprises non européennes, traduire les obligations législatives en mesures et indicateurs pratiques, et servir de modèle pour la corégulation collaborative.

Soumission sur la création du groupe scientifique : 


Le Conseil irlandais pour les libertés civiles (ICCL) a fourni des commentaires sur le projet de loi d’exécution pour la création d’un groupe scientifique indépendant sur l’IA. Leurs recommandations portent sur trois domaines clés. En ce qui concerne les conflits d’intérêts, bien que le projet reconnaisse que les experts doivent être indépendants et libres des intérêts des fournisseurs d’IA, l’ICCL suggère d’indiquer explicitement que les conflits d’intérêts rendent les candidats inéligibles. En ce qui concerne la transparence publique, l’ICCL recommande de fixer des délais spécifiques pour que le Bureau de l’IA traite les demandes du Panel et de publier les décisions et les motifs sur une page Web dédiée. En ce qui concerne l’efficacité du Panel, l’ICCL soutient que les secrets commerciaux et le secret des affaires ne devraient pas entraver le travail du Panel, et suggère de supprimer ces références des articles pertinents, notant que les membres du Panel sont tenus au secret professionnel.

Source : The EU AI Act Newsletter #65: Free Speech and National Plans




https://www.iccl.ie/news/submission-to-the-european-commission-on-the-establishment-of-the-scientific-panel-under-the-eu-ai-act/

Notes


[1] Draft Commission Implementing Regulation ... laying down the rules for the application of Regulation (EU) 2024/1689 of the European Parliament and of the Council as regards the establishment of a scientific panel of independent experts in the field of artificial intelligence ('Draft Implementing Act').


[2] Shrishak, Kris and Johnny Ryan, The hazard of industry influence on the independent scientific panel, 24 September 2024. URL: https://www.iccl.ie/news/the-hazard-of-industry-influence-on-the-independent-scientific-panel/


[3] Draft Implementing Act, Article 10 (2).


[4] Draft Implementing Act, Article 3 (3) (a).


[5] Draft Implementing Act, Article 10 (3).


[6] Draft Implementing Act, Article 13 (2).




--- 
 Pierre Erol GIRAUDY 
http://about.me/giraudyerol


jeudi 21 mars 2024

Risque des Chabots

Le déploiement direct de chatbots assistés par l'IA auprès des clients comporte des risques et des implications légales.

Ces systèmes, basés sur des large language models (LLMs), peuvent dérailler en raison de biais et de lacunes dans leur conception et leur formation, ce qui expose les entreprises à des responsabilités juridiques et financières.

En cas de défaillance d'un chatbot, l'entreprise peut être tenue responsable des propos tenus par celui-ci, notamment en cas de promesses non tenues ou de préjudices causés aux utilisateurs. Cela peut engager sa responsabilité contractuelle si le chatbot ne fournit pas les fonctionnalités promises, sa responsabilité délictuelle en cas de négligence dans sa conception ou sa maintenance, ou encore une violation du RGPD en cas de non-respect des règles de protection des données personnelles.

Actuellement, aucune solution n'élimine totalement les risques associés aux chatbots IA déployés directement auprès des clients. Il est recommandé de les déployer d'abord auprès des collaborateurs qui peuvent analyser les réponses avant de les transmettre aux clients, agissant ainsi comme un garde-fou humain. Même des approches comme le RAG (retrieval augmented generation) offrent des garanties insuffisantes en matière de sécurité.

Pour limiter les risques, il est conseillé de procéder à des phases de test, comme des versions Beta, et d'effectuer des séquences de red teaming pour évaluer la réaction du chatbot face à des situations problématiques. Ces démarches permettent d'identifier et de corriger les éventuelles faiblesses avant un déploiement à grande échelle.

Une violation du RGPD par le chatbot peut également engager la responsabilité de l'entreprise représentée par le chatbot.

Le Règlement Général sur la Protection des Données (RGPD) de l'Union européenne

Il impose des obligations strictes aux entreprises en matière de traitement des données personnelles. Si un chatbot collecte, traite ou stocke des données personnelles en violation du RGPD, l'entreprise représentée par le chatbot peut être tenue responsable de cette violation. Cela peut entraîner des sanctions financières importantes de la part des autorités de régulation, telles que la CNIL en France, ainsi que des répercussions sur la réputation de l'entreprise. Il est donc crucial pour les entreprises de s'assurer que leurs chatbots respectent pleinement les exigences du RGPD en matière de protection des données personnelles.


Lire : 





De plus en plus présents dans les start-up, quelle est la place des juristes ? (journaldunet.com)


Secret professionnel : qui est concerné ? (journaldunet.fr)


--- 
 Pierre Erol GIRAUDY