L’utilisation de plus en plus fréquente de l’IA dans notre vie quotidienne soulève de multiples préoccupations, en particulier en ce qui concerne la protection des données. Dans cet article, nous discutons des risques liés à la confidentialité des données associés à l’IA et de la position du Droit indien à cet égard. 

Chat GPT et ses différentes “fonctionnalités” sont au centre de nombreuses conversations récentes, même lors des dîners. Sa popularité souligne à quel point les outils basés sur l’IA tels que les chatbots, les logiciels de reconnaissance faciale, les éditeurs de texte, les assistants personnels, etc., sont déjà devenus partie intégrante de notre vie quotidienne. Étant donné que la réglementation est toujours en retard sur l’innovation, le débat sur la réglementation de l’IA en est encore à un stade précoce. Mais cette discussion a été relancée par l’omniprésence de Chat GPT et de ses divers avatars. 

La réglementation de l’IA en Inde est actuellement tentée de manière indirecte, via des réglementations sur des questions telles que la protection des données, la propriété intellectuelle et la cybersécurité. Les régulateurs ont fait des efforts pour lancer un dialogue sur l’utilisation de ces technologies. Par exemple, le régulateur des télécommunications indien a publié une consultation sur l’utilisation de l’IA et des mégadonnées dans le secteur des télécommunications. De même, la Reserve Bank of India (c’est-à-dire le régulateur financier) a encouragé l’adoption de l’IA pour les processus de “Know-Your-Customer”, etc., tout en réitérant la décision d’une utilisation éthique avec une perspective de sécurité des consommateurs (en raison de la protection de la vie privée, de la sécurité, du profilage, etc.). En 2018, le NITI Aayog (c’est-à-dire le groupe de réflexion sur les politiques du gouvernement indien) avait publié un document de discussion intitulé “National Strategy for Artificial Intelligence”, identifiant la santé, l’agriculture, l’éducation, les villes intelligentes et la mobilité comme les secteurs d’activité prioritaires pour le déploiement de l’IA. Par ailleurs, le ministère de l’Électronique et des Technologies de l’Information (“MEITY”) a confirmé le lancement du “Programme national sur l’IA” pour une utilisation transformationnelle de l’IA et a mis en place un “centre de connaissances” pour les développements en matière d’IA. 

Les récentes tentatives internationales d’encadrement législatif envisagent une réglementation graduée, c’est-à-dire réglementer l’IA en fonction des risques potentiels. L’approche du gouvernement indien pourrait être similaire. Lors d’une récente session de consultation sur le cadre de la proposition de loi “Digital India Act” (successeur potentiel des lois indiennes sur les technologies de l’information en vigueur), le MEITY a déclaré que la loi proposée pourrait définir et réglementer les “systèmes d’IA à haut risque”. La réglementation reposera sur un cadre juridique pour examiner les modèles réglementaires, la responsabilité algorithmique, l’évaluation des menaces et des vulnérabilités “zero-day”, l’examen du ciblage publicitaire basé sur l’IA, la modération de contenu, etc. 

Une considération clé concernant l’IA est la protection des données ; cela sera particulièrement pertinent pour l’Inde, car elle est en train de convenir d’un nouveau régime de protection des données. Bien que la loi proposée soit sectorielle et n’aborde pas spécifiquement les défis qui pourraient survenir en raison de l’utilisation de l’IA, elle envisage un mécanisme de certification pour l’utilisation de “nouvelles technologies”. À l’avenir, l’autorité de réglementation des données indienne devra peut-être répondre à un certain nombre de questions liées aux cas d’utilisation de l’IA. Voici 3 exemples : 

1/ Profilage individuel : Les solutions d’IA et d’apprentissage automatique sont de plus en plus déployées pour établir un profil du consommateur et de ses préférences probables. Étant donné que l’IA repose principalement sur les informations introduites dans ses systèmes et utilise généralement des “modèles” (c’est-à-dire des points de données courants tels que les tendances comportementales) pour arriver à ses inférences, un individu qui présente ces modèles est susceptible d’être classé dans un certain profil. Du point de vue des affaires, l’objectif du profilage est de pouvoir proposer des services et des produits à un individu particulier en fonction de son profil, c’est-à-dire de la probabilité qu’il opte pour un certain produit/service en raison de certaines caractéristiques. Bien que cette approche de l’évaluation des choix d’un individu en fonction de sa gestuelle et de son discours soit une partie intrinsèque des formes de commerce hors ligne également, l’IA a la capacité d’enregistrer de telles caractéristiques et de les déployer à des fins autres que de simples transactions. Par exemple, le profilage basé sur des marqueurs (tels que la localisation, le parcours éducatif, l’adresse de résidence, les tendances d’achat passées, etc.) peut être utilisé pour classer un individu comme étant plus susceptible de commettre une infraction, par opposition aux autres. Alternativement, cela peut être utilisé pour favoriser des biais en matière de recrutement en raison d’un certain profil (basé sur des marqueurs tels que la localisation, le parcours éducatif, la situation financière, l’historique des achats, etc.). 

2/ Utilisations non consenties : En raison de la nature dynamique de l’IA, elle peut être utilisée à des fins auxquelles le sujet n’a pas consenti. Par exemple, l’IA peut être utilisée pour agréger des données d’individus à partir d’un emplacement particulier pour des stratégies marketing, extraire des informations de santé à des fins d’utilisation par des compagnies d’assurance, etc. Étant donné que les sujets n’ont pas de visibilité sur la façon dont leurs données sont utilisées, elles peuvent être utilisées pour influencer de manière injuste leurs opinions, leurs choix et/ou les offres qui leur sont faites par une entreprise particulière (par exemple, des taux d’intérêt plus élevés pour les prêts, etc.). De plus, étant donné que les IA peuvent être “opaques”, il peut ne pas être facilement apparent si un algorithme particulier a utilisé un point de données pour une décision (par exemple, une décision d’embauche) ou non.  

3/  Surveillance: Le profilage, lorsqu’il est utilisé avec des appareils équipés de capteurs qui recueillent des données de contrôle vocal, de gestes, de biométrie, peut être utilisé pour identifier des individus, et la géolocalisation peut suivre en permanence les déplacements d’un individu. Ainsi, les entreprises (ou les gouvernements) peuvent exploiter les données à des fins de surveillance. L’introduction de la puissance de traitement d’une IA dans cette équation la porte à un autre niveau. Par exemple, les caméras de surveillance sont omniprésentes dans les lieux publics et si elles sont utilisées en conjonction avec des technologies de reconnaissance faciale et un modèle de suivi d’IA, cela peut constituer une grave atteinte à la vie privée. L’utilisation non réglementée de ces technologies, mais en particulier en conjonction avec une IA de plus en plus puissante, est préoccupante d’un point de vue de la protection des données. 

Comment ces problèmes devraient-ils être traités dans la réglementation à venir? Ou sont-ils même susceptibles d’être légiférés ? 

Etant donné la nature complexe de l’IA et son impact potentiel sur la vie privée, une approche réglementaire graduée, comme celle envisagée dans le monde entier, pourrait convenir à l’Inde également. La réglementation pourrait être basée sur le risque posé par l’utilisation des systèmes d’IA, avec une attention particulière portée aux systèmes à haut risque qui pourraient être plus susceptibles de porter atteinte aux droits à la vie privée. 

La loi Digital India proposée pourrait définir et réglementer les systèmes d’IA à haut risque, en s’appuyant sur un cadre juridique et de qualité pour examiner les modèles réglementaires, la responsabilité algorithmique, l’évaluation des menaces et des vulnérabilités “zero-day”, l’examen du ciblage publicitaire basé sur l’IA, la modération de contenu, etc. 

Pour aborder des questions telles que le profilage individuel et les objectifs non-consentis, la réglementation pourrait envisager d’exiger un consentement informé et spécifique pour l’utilisation des données personnelles dans les systèmes d’IA. Cela pourrait nécessiter que les systèmes d’IA soient transparents et divulguent l’utilisation de points de données spécifiques, les individus ayant le droit de se retirer ou de retirer leur consentement. De plus, il pourrait y avoir besoin d’un mécanisme de certification pour l’utilisation de nouvelles technologies qui garantisse que l’utilisation des systèmes d’IA est conforme aux lois sur la vie privée des données. 

En ce qui concerne la surveillance, la réglementation pourrait avoir besoin de limiter l’utilisation des technologies de surveillance activées par l’IA et de veiller à ce que ces technologies ne soient utilisées qu’à des fins légitimes, avec des garanties appropriées pour protéger les droits à la vie privée. La réglementation pourrait exiger que les entreprises privées et les administrations effectuent une évaluation de l’impact sur la vie privée.