IA et droit à l’oubli : un défi juridique et technologique

L’intelligence artificielle (IA) s’entraîne à partir d’importants volumes de données, parmi lesquelles figurent de nombreuses données à caractère personnel. Il y a d’ailleurs de grandes chances que certaines d’entre elles vous appartiennent. En principe, la loi encadre strictement leur collecte par les entreprises privées et vous autorise à demander l'effacement total des données vous concernant. C’est ce qu’on appelle le droit à l’oubli. Mais ce droit peut-il réellement s’appliquer à une intelligence artificielle ? Une IA est-elle capable d’oublier ce qu’elle a appris ? Et si oui, dans quelles conditions juridiques et techniques peut-on imposer cet oubli ? Le Cabinet d’Avocats TLMR tente de dresser un état des lieux de l’IA et du droit à l’oubli..

Un droit à l’oubli applicable aussi aux systèmes d’IA

Si vos données à caractère personnel sont utilisées pour entraîner un IA, vous pouvez faire valoir votre droit à l’oubli. En d’autres termes, vous pouvez, sous certaines conditions, demander la suppression de vos données.

C’est la Cour de justice de l’Union européenne dans son arrêt Google Spain du 13 mai 2014 (CJUE, C-131/12) qui formule, pour la première fois, le droit à l’oubli. Dans cette affaire, elle reconnaît à tout individu le droit de demander la suppression de résultats de recherche lorsque ces derniers ne sont plus pertinents, adéquats ou raisonnables au regard des finalités initiales du traitement.

Par la suite, ce droit est finalement consacré par l’article 17 du Règlement Général sur la Protection des Données (RGPD). Il permet à toute personne de demander l’effacement de ses données personnelles lorsque :

• “les données ne sont plus nécessaires au regard des finalités du traitement ;
• la personne retire son consentement ;
• les données ont fait l’objet d’un traitement illicite ;
• la personne s’oppose au traitement.”

À retenir : le droit à l’oubli peut être écarté si le traitement est nécessaire à la liberté d’expression, au respect d’une obligation légale, à l’intérêt public ou encore la recherche scientifique et historique.

À noter que les responsables de traitement utilisent parfois des techniques d’anonymisation ou de pseudonymisation dans le but de rendre les données non identifiables.

Dans le premier cas, l’identification de la personne concernée par les données est impossible, de façon irréversible (via le k-anonymat, la l-diversité, ou la confidentialité différentielle, par exemple).

La seconde solution est moins radicale. Le responsable du traitement remplace les données par des alias. Il est alors toujours possible de faire le lien avec la personne concernée grâce à une clé de correspondance sécurisée.

Ces deux techniques permettent de limiter les risques en cas de réutilisation ou de fuite des données. En revanche, elles ne remplacent pas à elles seules l’effacement effectif exigé par l’article 17 RGPD.

Pour en savoir plus, consultez notre guide sur le droit à l’oubli numérique.

IA et droit à l’oubli : l’intelligence artificielle peut-elle vraiment "oublier" ?

Contrairement à l’humain, l’intelligence artificielle n’a pas la capacité d’oublier une information. L’oubli reste, en effet, une compétence propre au fonctionnement du cerveau. Par conséquent, pour que les données "ingérées" par un algorithme lors de sa phase d'entraînement disparaissent, l'intervention du responsable du traitement est indispensable.

L’IA, un système complexe qui rend délicate la mise en oeuvre du droit à l’oubli

En théorie, la mise en œuvre du droit à l’oubli semble simple : si une personne demande la suppression de ses données, l’entreprise qui les détient doit les effacer. Dans une base de données classique, il s'agit simplement de supprimer une ligne dans un tableau Excel. Mais dès lors que ces données ont été utilisées pour entraîner une intelligence artificielle, la tâche s’avère bien plus délicate.

Les systèmes d’IA sont fondés sur des réseaux de neurones artificiels qui apprennent à partir de millions, voire de milliards de données. Une fois ce processus d’apprentissage terminé, l’information n’est plus stockée sous sa forme initiale. En clair, même si une donnée est supprimée, son empreinte reste dans le système. Pour l’effacer véritablement, il ne suffit donc pas de supprimer le fichier d’origine. Il faudrait identifier la trace laissée par cette donnée dans le modèle. Vous imaginez bien qu’une telle opération est loin d’être évidente.

En effet, contrairement aux bases de données classiques, les réseaux de neurones artificiels sont des systèmes complexes et opaques. Même leurs concepteurs éprouvent des difficultés pour savoir quelle donnée est à l’origine de quel comportement.

Des solutions techniques encore limitées

Les chercheurs estiment que l’IA est capable de désapprendre à trois conditions :

• Le “désapprentissage” doit être rapide et ne pas nécessiter de réentraîner le modèle depuis zéro.
• Il ne doit pas altérer les performances générales du modèle.
• Et surtout, il doit garantir de manière vérifiable que l’information a bien été oubliée.

À ce jour, aucune méthode ne permet de remplir ces trois critères à la fois. Il existe bien quelques techniques qui “écrasent” la mémoire de l’IA ou remontent dans l’historique d’apprentissage. Mais la fiabilité de ces solutions est encore très limitée. Elles sont, par ailleurs, coûteuses pour l’entreprise et risquées pour le système lui-même.

Rappel : Selon le Règlement européen sur l’IA, un "système d'IA" est un “un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d'autonomie et qui peut faire preuve d'adaptabilité après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels.”

L’opt out : une solution alternative au droit à l’oubli pour protéger ses droits d’auteur

Si le droit à l'oubli reste difficile à mettre en œuvre dans un système d’IA, une autre solution consiste à s'opposer a priori à l’utilisation des données pour son entraînement.

Qu’est-ce que l’opt out numérique ?

L’article 4 de la directive 2019/790 autorise les concepteurs d’IA génératives notamment à utiliser les œuvres protégées et à en extraire des données, à condition que ces dernières soient accessibles de manière licite. En clair, l’IA peut être entraînée à partir de livres, d’articles, d’images ou encore de vidéos protégés par le droit de la propriété intellectuelle. On appelle ça le “data mining”.

Toutefois, la directive prévoit une possibilité d'échapper à ces pratiques. Les titulaires de droits peuvent ainsi s’opposer à cette exploitation via un mécanisme d’opt out.

Ce droit d’exclusion a été repris dans l’IA Act, adopté en 2024. Les créateurs peuvent interdire l’utilisation de leurs œuvres pour entraîner des IA. Par exemple, un photographe peut signaler que sa photographie ne peut pas être analysée par des algorithmes.

Le mécanisme d’opt out n’est évidemment pas rétroactif. L’opt out ne vaut que pour les données futures, pas pour celles déjà ingérées par le système. Il doit donc être anticipé.

Comment mettre en œuvre l’opt out numérique en pratique ?

La première chose à faire est d’adapter les conditions générales de vente et d’utilisation de votre site internet afin d’interdire l’utilisation des contenus par des tiers (notamment via le data mining). Cette mention est considérée comme suffisante pour interdire cette pratique. Par ailleurs, cela vous permettra de vous défendre juridiquement en cas d’utilisation de vos données.

En parallèle, il est nécessaire de protéger vos contenus et d’assurer leur traçabilité en insérant une balise spécifique dans les métadonnées de vos contenus numériques. Cette dernière signale aux systèmes d’IA qu’ils ne sont pas autorisés à les analyser. Vous pouvez également indiquer dans le Robots.txt les parties de votre site qui ne peuvent pas être explorées.

À noter que des entreprises spécialisées proposent de traquer les pilleurs de contenus.

D’un point de vue juridique, le droit à l’oubli est bien établi, même dans l’univers de l’intelligence artificielle. En revanche, des défis techniques limitent encore sa mise en œuvre, notamment lorsque les données sont exploitées par des modèles complexes fondés sur les réseaux de neurones.

En tant que responsable de traitement, vous avez l’obligation d’assurer la conformité de vos systèmes d’IA aux exigences légales. Chez TLMR, nous comprenons les enjeux techniques et juridiques propres à ces technologies. Nous vous proposons un accompagnement de pointe et des solutions à la fois pragmatiques et opérationnelles. Contactez-nous.