Tribune
Par
Élise Debiès
Avocate au barreau de Paris
Le Règlement sur l’intelligence artificielle (RIA) du 13 juin 2024 a été publié au JOUE le 12 juillet. Il entre en application, concernant les systèmes d’intelligence artificielle (SIA) interdits, dès le 2 février 2025 et, pour les règles applicables à l’IA générative, dès le 2 août 2025 ; il est temps pour les organismes de Protection sociale de cartographier leurs SIA déjà en place et de s’interroger sur les cas d’usage où l’IA se révélera « capacitante » des agents et décideurs.
Les avancées considérables de l’intelligence artificielle ne doivent pas obérer les risques globaux qu’elle fait peser sur la santé, la sécurité, l’environnement, l’exercice des droits et libertés fondamentaux. C’est précisément une approche fondée sur les risques, leur évaluation et leur remédiation, qu’adopte le RIA. Non pas les risques pour un individu, mais à l’échelle de groupes sociaux (ceux susceptibles de faire l’objet d’une discrimination du fait du biais algorithmique par exemple). Le non-respect des interdictions de pratique en matière d’IA sera passible, dès février 2025, d’une amende de 35 000 000 d’euros (ou 7 % du CA s’il s’agit d’une entreprise), soit plus que les actuelles sanctions de la CNIL dont le niveau a déjà été fortement rehaussé avec le RGPD (et qui pourront se cumuler avec les sanctions issues du RIA).
Les algorithmes et, lorsqu’ils deviennent « auto-apprenants », les SIA, reposent avant tout sur la fiabilité des données qui les alimentent. Données massives de qualité et approche globale des risques sont déjà des réalités pour les organismes de Protection sociale. L’appropriation progressive et décisive du Règlement européen pour la protection des données, qui a renforcé la culture numérique, responsabilisé les acteurs et accru la transparence sur les usages des données, est un atout supplémentaire. Il s’agit maintenant de choisir les cas d’usage de l’IA pour l’amélioration du travail des agents, s’approprier ce règlement « produits » et comprendre, former, et exercer son esprit critique.
I. Des données massives de qualité
Nous avons en France l’atout d’une forte antériorité en matière d’usage d’algorithmes sur des données massives et de qualité, en santé et Protection sociale. En santé, les données des feuilles de soins sont dès 1998 regroupées dans le Sniir-am, puis en 2016 dans le Système national de données de santé (SNDS), avec depuis 2019 le Health data hub en « guichet d’entrée ». L’historique est plus profond encore en Protection sociale. Le Système national de gestion des identifiants (SNGI), fichier miroir du Répertoire national d’identification des personnes physiques (RNIPP), dont la gestion a été confiée à la CNAV par délégation de l’Insee, est en place depuis 1988. Le SNGI est progressivement devenu le référentiel socle de l’identification des assurés sociaux, bien au-delà de la seule gestion des carrières par les organismes de retraite. Avec la création en 2006 du Répertoire national commun de la Protection sociale (RNCPS), une étape décisive a été franchie, qui permet à partir du numéro de Sécurité sociale d’un individu d’accéder à la vision logique (les données ne sont pas centralisées) de son « patrimoine social ». La dernière étape décisive en date, en matière de bases de données de Protection sociale, réside dans la création en 2019 du Dispositif de ressources mensuelles (DRM), dont les finalités s’élargissent et les organismes bénéficiaires ne cessent de croître au fil des modifications apportées au décret simple qui l’encadre.
L’irruption de l’IA impose de s’organiser non plus au seul niveau d’un régime, d’une branche, de l’assurance maladie obligatoire ou complémentaire, mais d’instaurer une véritable gouvernance pour l’usage de la data et de l’IA en Protection sociale. C’est par le partage d’informations et grâce à une connaissance fine des caractéristiques et parcours des assurés sociaux qu’ont pu se développer progressivement le « dites-le-nous une fois » puis « l’aller-vers », qui permettent de simplifier les démarches, éviter l’erreur et la fraude, et engager une forme de « prévention » des organismes pour éviter le non-recours aux droits sociaux. L’IA peut être utile pour l’« aller-vers » en ce qu’elle permet par inférence, corrélation, de créer des informations supplémentaires sur les individus pour faciliter le ciblage mais, avant cela, la priorité réside dans un partage large et sécurisé d’informations de qualité, au niveau du métier, des services publics : avec de bonnes données, nul besoin de recourir à l’IA pour en créer. Un meilleur partage d’informations et une gouvernance ad hoc constituent le socle nécessaire et urgent d’une vraie stratégie data en Protection sociale.
Les organismes de Protection sociale sont acculturés à aborder les risques pour la santé, la sécurité, les droits fondamentaux de manière globale, à l’échelle de groupes sociaux ou de la société dans son ensemble. Le continuum entre les algorithmes utilisés de longue date sur des données massives et une intelligence artificielle auto-apprenante soulève des questions essentielles, notamment sur la manière d’exercer un contrôle humain, mais l’approche par les risques globaux du RIA est en phase avec les « traitements de masse » que les organismes sociaux opèrent du fait de leurs missions. Le RGPD et l’irruption des droits des personnes sur leurs données personnelles ont pour leur part constitué un changement important dans les pratiques, dont les effets positifs préparent également à la mise en conformité avec le RIA.
II. Transparence et explicabilité des traitements, des règles issues du RGPD essentielles pour éviter l’IA « boîte noire »
En renforçant les droits des personnes sur leurs données personnelles, le Règlement européen sur la protection des données (RGPD) entré en application en 2018, a opéré un retournement important dans la manière d’aborder la protection des données au sein des organismes de Protection sociale. À l’autorisation a priori des traitements de données, qui évoluaient ensuite sous le seul contrôle des organismes, s’est substitué le contrôle a posteriori de la CNIL, avec des sanctions renforcées, et le contrôle du citoyen sur ses données. Cette « autodétermination informationnelle » impose au responsable de traitement une reddition de comptes, une transparence sur l’usage des données : L’information donnée aux citoyens sur ces usages et sur leurs droits leur permet d’exercer les droits d’accès (article 15 du RGPD), de rectification (article 16 du RGPD), d’opposition (article 21 du RGPD) et dans certains cas d’effacement (article 17 du RGPD), de limitation (article 18 du RGPD) et de portabilité (article 20 du RGPD), qui responsabilisent en retour les responsables de traitement.
L’article 22 du RGPD prévoit en outre que, par principe, les personnes ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire. Déléguer la prise de décision à la machine constitue la ligne rouge que la CNIL, dès ses fondements, nous invite à ne pas franchir. Certaines exceptions sont prévues par le RGPD, notamment lorsque la décision est fondée sur le consentement explicite des personnes ou autorisée par une disposition législative ou réglementaire. L’article 47 de la loi Informatique et libertés prévoit une exception supplémentaire : la « décision administrative individuelle » peut être automatisée sous certaines conditions : garanties de maîtrise du traitement algorithmique et de ses évolutions par le responsable du traitement, exigence d’explicabilité sous une forme intelligible et enfin respect du principe du contradictoire, avec la possibilité pour la personne concernée de demander l’intervention d’une personne humaine. Enfin, des décisions individuelles automatisées ne peuvent être fondées sur des données sensibles (comme les données de santé), sauf cas particuliers (consentement de la personne ou traitement nécessaire pour des motifs d’intérêt public). Dans ce cas, des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes des personnes concernées doivent être mises en place. Dans son arrêt « Schufa » du 7 décembre 2023, la CJUE souligne que les risques relèvent surtout des effets discriminatoires potentiels des décisions et évaluations automatisées (§ 59).
En écho aux dispositions de l’article 22 du RGPD, l’article 86 du RIA reprend, pour les SIA à haut risque parmi lesquels figurent ceux appliqués à la santé ainsi qu’à l’accès et au droit aux prestations sociales essentielles, le droit pour la personne faisant l’objet d’une décision prise par un « déployeur » (qui est aussi le responsable de traitement) sur la base des sorties d’un système d’IA (à haut risque), d’obtenir des explications claires et pertinentes sur le rôle du système d’IA dans la procédure décisionnelle et sur les principaux éléments de la décision prise, lorsque cette personne considère que la décision a des conséquences négatives sur sa santé, sa sécurité ou ses droits fondamentaux.
Il faut à ce stade souligner que le considérant 58 du RIA pointe précisément la raison pour laquelle ces SIA sont à haut risque : les demandeurs ou bénéficiaires de services de soins de santé, prestations de Sécurité sociale, services sociaux « sont généralement tributaires de ces prestations et services et se trouvent dans une situation vulnérable par rapport aux autorités compétentes. Lorsqu’ils sont utilisés pour déterminer si ces prestations et services devraient être accordés, refusés, réduits, révoqués ou récupérés par les autorités […] les systèmes d’IA peuvent avoir une grande incidence sur les moyens de subsistance des personnes et porter atteinte à leurs droits fondamentaux, tels que le droit à la Protection sociale, à la non-discrimination, à la dignité humaine ou à un recours effectif, et devraient donc être classés comme étant à haut risque ». Cependant, dès lors que le SIA en santé ou Protection sociale est limité à une tâche procédurale réduite (transformer des données non structurées en données structurées, « traduire » les règles d’un texte réglementaire en règles métier par exemple) ou se limite à améliorer le résultat d’une activité préalablement réalisée, en somme dès lors que le SIA n’a pas d’incidence sur la prise de décision, il perd son caractère « à haut risque » (art.6.2 RIA). Le fournisseur devra documenter l’évaluation de risque correspondante (obligation de transparence applicable à tous les SIA).
De manière générale, c’est au « fournisseur » de SIA à haut risque d’évaluer le risque du SIA, au regard de critères pour la société dans son ensemble ou de groupes au sein de la société. Le déployeur peut lui-même devenir fournisseur dès lors qu’il apporte une modification substantielle au SIA dont il assure le déploiement au sein de sa structure, l’obligeant à une vigilance et connaissance des obligations qui incombent tant au fournisseur qu’au déployeur d’IA.
Peu à peu et notamment grâce aux outils de la conformité instaurés par le RGPD (désignation d’un délégué à la protection des données, inscription des traitements de données sur le registre qui facilitera la cartographie des SIA implantés au sein de l’organisme, réalisation d’analyses d’impact sur la vie privée qui a, entre autres vertus, celle d’instaurer un dialogue entre les responsables métier, systèmes d’information et leur sécurité, juridique et DPO), les principes du RGPD se sont imposés comme des règles de bonne gestion des données intégrées à la vie des projets. Ces outils de la conformité RGPD constituent un socle précieux pour le contrôle des SIA déployés, tout au long de leur cycle de vie, notamment pour mettre en place le « contrôle humain » prévu par l’article 14 du RIA. L’article 27 du RIA prévoit ainsi la réalisation d’une analyse d’impact sur les droits fondamentaux pour les SIA à haut risque.
Certains grands principes du RGPD, notamment ceux de « finalité » (les données ne peuvent être réutilisées que pour des finalités « compatibles » avec celles pour lesquelles elles ont été collectées et de « minimisation des données » (seules les données strictement nécessaires aux finalités prévues sont traitées)), sont mis à mal par l’intelligence artificielle, qui est gourmande en données et s’accommode difficilement de finalités préalablement définies. La définition du SIA retenue par le RIA (article 3) indique que le SIA déduit, à partir des entrées qu’il reçoit, « pour des objectifs implicites et explicites », la manière de générer des « sorties ». Il faudrait réexplorer les dérogations du RGPD propres aux finalités statistiques à la lumière des défis de l’IA, dans la mesure où l’IA applique des méthodes mathématiques, probabilistes et donc « statistiques ». La recherche et le développement scientifique sont par ailleurs exclus du champ du RIA (Considérant 25). La minimisation quant à elle rejoint l’objectif d’une IA frugale, enjeu majeur d’une IA responsable. L’Afnor a publié en juin 2024 l’Afnor Spec 2314, Référentiel général pour l’IA frugale – Mesurer et réduire l’impact environnemental de l’IA.
La cybersécurité, dont le RGPD a fait un axe majeur de la protection des données personnelles, est un enjeu central de l’IA responsable. Garantir un niveau de sécurité des données adapté au risque est une obligation du responsable de traitement (article 32 du RGPD). L’organisation des données constitue une réflexion en amont de l’enjeu cyber, qui revêt une dimension politique : La France, globalement, privilégie l’approche centralisée des bases de données. Les architectures décentralisées ont pourtant jalonné l’histoire des SI de Sécurité sociale : le droit à l’information sur la retraite s’est construit sur ce modèle, puis le RNCPS sur demande de la CNIL a été conçu sur le principe d’une présentation « logique » du patrimoine informationnel en Sécurité sociale des individus, sans regroupement « physique » des données, pour garantir la sécurité organisationnelle des données. Aujourd’hui, des initiatives voient le jour en santé comme le Ouest Datahub : des hôpitaux de l’ouest de la France ont mis en commun leurs données sans jamais les regrouper physiquement. L’organisation fédérée est la seule viable sur le plan international et, de fait, elle s’impose avec la construction de l’Espace européen des données de santé. La cybersécurité n’est pas étrangère à ces choix : l’effet « pot de miel » des bases de données centralisées colossales que nous privilégions en France impose des coûts et des risques.
III. Favoriser l’esprit critique
Des chartes éthiques sont adoptées par les organismes, qui permettent un dialogue, une sensibilisation et le déclenchement de plans d’action opérationnels. Mais ces principes éthiques sont désormais dans la loi, leur application n’est plus optionnelle ! Malgré la prise de conscience, les risques de discrimination à l’égard des plus vulnérables risquent de se renforcer avec l’émergence de l’IA. L’efficacité propre au numérique est-elle la valeur phare de notre société, de la Protection sociale ?
Collectif et « connectif »1 s’opposent a priori. Mais ce n’est pas une fatalité ! Les règles organisationnelles adoptées doivent favoriser la compréhension du fonctionnement des IA, leur maîtrise, auditabilité, transparence et explicabilité, pour renforcer l’esprit critique des décideurs, des agents, du public. L’article 26-2 du RIA prévoit que les déployeurs confient le contrôle humain à des personnes physiques qui disposent des compétences, de la formation et de l’autorité nécessaire ainsi que du soutien nécessaire. L’article 14 précise que ce « contrôle humain » inclut la possibilité de comprendre, interpréter, ne pas se fier excessivement aux sorties de l’IA voire de les ignorer ou les inverser, d’arrêter la machine.
Sans attendre, un grand chantier de formation est à lancer au sein des organismes de Protection sociale au sens large. L’accès à la connaissance, avec l’appropriation que permet l’IA générative, est désormais ouvert à tous : les agents, mais aussi les publics. Prolongement du « patient sachant », l’empowerment est démultiplié et prolonge les droits des personnes sur leurs données : elles disposent d’un accès personnalisé à la connaissance. Pour affronter démocratiquement et avec confiance les risques globaux pour la santé, la sécurité et les droits fondamentaux d’une IA porteuse d’innovation et de progrès, des instances de concertation citoyenne, comme la conférence citoyenne sur le climat et plus récemment sur la fin de vie, devraient rapidement voir le jour. C’est expressément prévu par la Convention-cadre du Conseil de l’Europe du 17 mai 2024 « sur l’Intelligence artificielle et les droits de l’homme, la démocratie et l’État de droit », instrument juridique international contraignant (signée le 5 septembre par l’Union européenne mais aussi les États-Unis et le Royaume-Uni, non encore ratifiée). Son article 19 prévoit : « Chaque partie vise à garantir que les questions importantes soulevées par les systèmes d’intelligence artificielle sont, le cas échéant, dûment examinées dans le cadre d’un débat public et de consultations multipartites, à la lumière des incidences sociales, économiques, juridiques, éthiques, environnementales et des autres implications pertinentes. » Enfin, il faudrait redonner ses lettres de noblesse à l’enseignement de la technologie. Nos générations ont appris « sur le tas » et « sur le tard », mais les enfants et adolescents devraient être armés à l’école pour comprendre le fonctionnement d’un algorithme et d’une IA, la manipulation de l’intention, comment cultiver son esprit critique, pourquoi éteindre les machines quelquefois pour « vivre » et pas seulement « fonctionner ».
Source :
1. L’apposition de ces termes est empruntée à Alain Damasio, Vallée du silicium, éditions Seuil.
