B. Fasterling (EDHEC) : “Réglementer l'IA passe probablement par une approche fondée sur le risque, seulement si les entreprises prennent l'éthique des données au sérieux"

La gestion et la protection des données pour les entreprises est un sujet essentiel depuis des années. Mais sont-elles vraiment bien équipées pour respecter la loi d'une part, et pour agir de manière éthique d'autre part ?

Il est intéressant que vous posiez la question d'un éventuel conflit entre l'éthique et la gestion des politiques de conformité juridique et de protection des données. Des recherches ont montré que, sans un soutien motivé par l'éthique dans les organisations, la gestion de la conformité juridique devient rapidement inefficace, parfois même contre-productive (1). Le problème est que les responsables de la protection des données, les avocats et les responsables de la conformité dans les entreprises ont tendance à se concentrer sur le respect des exigences légales formelles en mettant en œuvre des processus et en effectuant des contrôles, parce que ces mesures peuvent être prouvées et affichées. Essayer d'établir des cultures éthiques dans les organisations, cependant, est beaucoup plus difficile et moins visible (2), mais aussi, comme le démontrent les études de recherche, plus important (2) (3). Si les entreprises ne prennent pas l'éthique des données au sérieux, leur conformité légale et la protection des données ne feront qu'un sur le papier mais pas dans la vie réelle. Il peut être possible d'impressionner les autorités et le public avec un programme de conformité sophistiqué ou des politiques de protection des données raffinées pendant un certain temps, mais il est probable que la "conformité sur papier" finisse par échouer et entraîne de graves problèmes pour une entreprise.

Quelles sont les principales tensions que vous voyez entre le besoin de protection de la vie privée et la "ruée vers l'or" des entreprises en matière de données ?

Les ruées vers l'or étaient souvent violentes et anarchiques, et les transformations sociales qu'elles ont entraînées se sont faites au prix de la destruction de l'environnement. C'est pourquoi je me méfie des ruées vers l'or. Bien sûr, il est légitime et nécessaire que les entreprises exploitent les opportunités offertes par la technologie. Cependant, dire d'ores et déjà qu'il y aurait des tensions entre la vie privée et l'utilisation des données est probablement malvenu. Les deux, l'utilisation des données et la garantie de la vie privée, vont dans la même direction, à savoir l'amélioration de nos capacités humaines. Il me semble que la vie privée est l'un des droits fondamentaux les plus mal compris. Il ne s'agit pas de laisser les gens cacher égoïstement des informations ou retenir "leurs" données. La vie privée est une sorte de bouclier qui protège les gens de manière à ce qu'ils puissent exercer d'autres libertés et droits fondamentaux, communiquer avec les autres et être créatifs (4). Par conséquent, pour moi, l'utilisation des données sans souci de la vie privée est suicidaire pour une société ouverte innovante.

Mais alors, comment naviguer entre les besoins en matière de protection de la vie privée et des données, et la résolution de problèmes essentiels qui nécessitent des milliers de données - comme la création d'une base de données sur la santé pour prévenir les maladies ou combattre une pandémie ?

Lorsque des compromis entre l'utilisation des données et le respect de la vie privée deviennent nécessaires, par exemple pour lutter contre une pandémie, l'objectif est de maximiser les deux objectifs - protéger la santé publique d'une part et respecter les droits fondamentaux, y compris la vie privée, d'autre part. Il existe plusieurs façons d'y parvenir, et la technologie peut également y contribuer. L'important est de reconnaître qu'aucune valeur n'est plus importante que l'autre - la santé n'est pas en soi plus importante que la liberté ou vice versa. Pour chaque situation de compromis, il existe un moyen optimal de réaliser les deux valeurs. Par exemple, une base de données sur la santé peut devoir contenir des données personnelles identifiables lorsque nous devons combattre une pandémie très contagieuse et dangereuse. Pourtant, la partie identifiable de la base de données peut être très restreinte. En outre, les qualités et les politiques d'accès de la base de données peuvent varier dans le temps, en fonction de l'urgence de la situation.

Comment voyez-vous la loi européenne sur l'intelligence artificielle adoptée en décembre dernier ? Cela va-t-il changer la donne ?

La loi n'est pas encore adoptée. En décembre, le Conseil de l'Union européenne a adopté une position commune - ou "orientation générale" - avec un texte de compromis à la proposition de la Commission européenne d'avril 2021 (5). Le texte du Conseil réagit au débat houleux sur la manière de définir les systèmes d'intelligence artificielle et propose une définition plus étroite que la proposition de la Commission. En tout état de cause, le Conseil a confirmé l'approche fondée sur le risque de la loi et les mesures visant à renforcer la transparence concernant l'utilisation des systèmes ai à haut risque. Le recours à une approche fondée sur le risque est probablement le moyen le plus prometteur de réglementer l'ai. Néanmoins, la loi imposera une lourde charge de gestion interne aux entreprises qui utilisent des systèmes basés sur l'IA. À cet égard, je vois un parallèle avec les programmes de conformité et la loi sur la protection des données qui reposent également sur des approches réglementaires fondées sur le risque : si certaines entreprises ne gèrent pas les risques dans le but de prévenir les impacts négatifs de leurs activités sur les droits fondamentaux, mais dépensent plutôt de l'énergie à élaborer des processus qui n'ont qu'une apparence de conformité, la loi sera non seulement lourde pour les autres entreprises qui essaient de faire du bon travail, mais aussi pour les autorités judiciaires qui doivent faire appliquer les lois. Et il se peut que nous ne protégions pas encore suffisamment les droits fondamentaux qui sont en péril face à l'ai.

Que faire alors pour prévenir ces effets négatifs ?

Je suis convaincu que nous devons, premièrement, faire appel aux dirigeants et aux conseils d'administration pour qu'ils intègrent le souci des droits fondamentaux à un niveau stratégique des entreprises qu'ils dirigent. Deuxièmement, les entreprises devraient développer un ensemble de compétences très spécifiques ou même faire place à un nouveau métier. Ce métier serait celui d'un gestionnaire de risques qui non seulement sait comment gérer les risques dans un cadre légal, mais qui a aussi une connaissance approfondie du fonctionnement de la technologie dans la vie réelle et qui a acquis une compréhension approfondie de la nature et de l'importance des droits fondamentaux (6). Si les entreprises s'engagent dans cette voie, la loi peut changer la donne, en aidant à exploiter les possibilités de l'ai tout en maintenant une société démocratique libre.

(1) Treviño, L.K., Weaver, G.R., Gibson, D.G. and B.L. Toffler. 1999. ‘Managing Ethics and Legal compliance: What Works and What Hurts’. California Management Review 41(2): 131-151, at: https://journals.sagepub.com/doi/10.2307/41165990

(2) Fasterling 2016, ‘Criminal Compliance – Les risques d’un droit penal du risque’. Revue Internationale de Droit Economique 2016/2: 217-237, at:  https://www.cairn.info/revue-internationale-de-droit-economique-2016-2-page-217.htm

(3) Hess, David, The Management and Oversight of Human Rights Due Diligence (July 30, 2021). American Business Law Journal 2021, Available at SSRN: https://ssrn.com/abstract=3956702

(4) Fasterling, B. (2022), Privacy as Vulnerability Protection: Optimizing Trade-Offs with Opportunities to Gain Knowledge, Research in Law and Economics, Vol. 30n at: https://www.emerald.com/insight/content/doi/10.1108/S0193-589520220000030004/full/html

(5) See the press release “Artificial Intelligence Act: Council calls for promoting safe AI that respects fundamental rights” https://www.consilium.europa.eu/en/press/press-releases/2022/12/06/artificial-intelligence-act-council-calls-for-promoting-safe-ai-that-respects-fundamental-rights/

(6) In a very practical way, the EDHEC Augmented Law Institute is aiming to fill that gap by offering a new training program called “Digital Ethics Officer” https://alll.legal/formation-digital-ethics-officer-edhec/

Photo by Mike Kononov on Unsplash