Interview
•
Bonjour Félicien, pouvez-vous nous raconter comment votre parcours en informatique et en traitement du signal vous a conduit à votre rôle actuel à la CNIL ?
J'ai été formé à Télécom Paris comme ingénieur puis docteur. Spécialisé en traitement du signal et en apprentissage automatique (machine learning) j'ai travaillé à l'Institut national de l'audiovisuel (Ina) après l'obtention de ma thèse. Concrètement, il s'agissait de développer des méthodes d'indexation automatique, c'est à dire d'extraction d'information des signaux audio et vidéo, afin de faciliter la documentation des archives et ainsi aider à leur valorisation. Un problème véritablement industriel quand on voit les volumes traités par l'Ina qui se chiffrent en dizaines de millions d'heures...
Après mon passage à l'Ina, j'ai souhaité changer de focale en m'écartant de la valorisation des archives, un travail nécessairement tourné vers le passé, pour explorer l'encadrement des usages actuels et à venir du numérique. Cela toujours dans une perspective de service public !
C'est ainsi que j'ai intégré la CNIL, d'abord en tant qu'ingénieur spécialiste des enjeux de vie privée dans les technologies numériques (et en particulier d'intelligence artificielle) puis comme chef du service IA lorsque celui-ci a été créé. Aujourd'hui, nous sommes une équipe de 7 personnes en charge de préciser comment les technologies d'IA peuvent être développées et utilisées dans le respect du RGPD, et demain du Règlement européen sur l'IA (RIA).
Quels sont, selon vous, les principaux défis auxquels nous sommes confrontés aujourd'hui en matière de régulation de l'IA, et comment la CNIL s'efforce-t-elle de les surmonter ?
Les outils d'IA posent des questions nombreuses et cela avec d'autant plus d'acuité que leurs utilisations s'intensifient et modifient en profondeur nos pratiques et usages. Biais discriminatoires, perte de contrôle, enjeux cyber, automatisation de la prise de décision, question de la responsabilité en cas de défaillance, caractère explicable du fonctionnement, etc. sont autant de défis à relever pour permettre à ces technologies d'être adoptées.
Pour ce qui est de la protection des données, on peut noter que l'IA met en tension ses principes fondateurs. Comment respecter le principe de finalité - qui assure que les données personnelles sont traitées dans un but précisément défini - lorsqu'on développe un modèle de fondation dont les usages sont par définis multiples et difficilement anticipables ? La pratique du webscraping pour entrainer des modèles est-elle licite ? Comment expliquer aux individus le fonctionnement des systèmes qui traitent leurs données quand ceux-ci sont opaques ? A quelles conditions peut-on réutiliser un jeu de données en open source lorsqu'il contient des données personnelles ? Comment le RGPD s'applique-t'il aux modèles d'IA lorsque ceux-ci présentent des capacité de mémorisation ?
C'est pour répondre à ces questions difficiles que la CNIL s'est doté d'un service dédié.
La rapidité de l'innovation technologique en IA pose-t-elle un défi pour les cadres réglementaires existants ? Comment la CNIL s'adapte-t-elle à ces évolutions ?
L'évolution rapide des technologies numériques renouvelle en permanence les questionnements et est une des raisons expliquant pourquoi leur encadrement est si complexe. Ainsi, si dès 2018 l'IA a été identifié comme un sujet essentiel et a bénéficié d'une stratégie nationale,on a observé en 2022 une rupture majeure avec l'émergence des LLM grand public. Depuis, les performances se sont largement améliorées, les traitements multimodaux se sont développés, les utilisations d'agents émergent, etc.
Pour un régulateur comme la CNIL, il est essentiel dans un tel contexte de se tenir informé des évolutions technologiques et des enjeux que celles-ci représentent pour la vie privée. Pour ce faire, nous menons évidemment une veille sur les évolutions scientifiques, techniques et d'usage. Nous en partageons d'ailleurs une partie sur le site du Laboratoire d'innovation numérique de la CNIL : https://linc.cnil.fr/. C'est par cette connaissance du champ que nous sommes en mesure de proposer une régulation éclairée.
Pourriez-vous nous expliquer comment vous conciliez l'innovation en IA avec la protection de la vie privée, en particulier dans le contexte de l'utilisation croissante des données personnelles ?
En France et en Europe, la protection des données est encadrée par le RGPD. Ce texte juridique couvre, toutes les modalités de traitement des données personnelles et est donc technologiquement "agnostique". En pratique, cela veut dire qu'il s'applique que les données personnelles soient traitées dans un véhicule connecté, pour le contrôle d'accès de salariés, dans un navigateur web, etc. ou par des outils d'IA.
Un travail essentiel de la CNIL et des autorités de protection des données européennes tient donc à l'interprétation des principes du RGPD au prisme des technologies d'IA : finalité, licéité, transparence, sécurité, respects des droits (accès, rectification, opposition, etc.), durée de conservation, etc. Ces principes doivent ainsi être déclinés afin de de protéger les personnes tout en permettant l'innovation. C'est ce que nous avons fait par exemple dans nos Fiches pratiques qui encadrent le développement des systèmes d'IA.
Quels conseils donneriez-vous aux entreprises émergentes en matière d'IA pour qu'elles naviguent efficacement dans le paysage réglementaire tout en continuant à innover ?
Mon premier conseil est évidemment que ces entreprises prennent connaissance des publications de la CNIL qui proposent déjà un ensemble de réponses (voir ici : https://www.cnil.fr/fr/technologies/intelligence-artificielle-ia). Le second est d'organiser une gouvernance éclairée en rassemblant l'ensemble des interlocuteurs sur le sujet (délégué à la protection des données, RSSI, responsables produit, ingénieurs et data scientists, etc.). Le troisième enfin est d'être dans une dynamique proactive et de procéder à une veille de ces sujets afin d'apprécier comment la réglementation trouve à s'appliquer pour apporter des réponses adaptées.
Félicien Vallet est chef du service IA à la Commission Nationale de l'Informatique et des Libertés (CNIL). Il est en charge de la coordination des actions liées à l'Intelligence Artificielle de manière transversale au sein de l'institution. Félicien Vallet est un collaborateur régulier du LINC, le Laboratoire d'innovation numérique de la CNIL. Avant de rejoindre la CNIL, il était chercheur à l'Institut national de l'audiovisuel (INA) et s'intéressait particulièrement aux questions relatives à l'analyse de contenu multimédia et au traitement du signal vocal. Il est titulaire d'un diplôme d'ingénieur et d'un doctorat en informatique de Télécom Paris (obtenus respectivement en 2007 et 2011).
