Archives par mot-clé : loi

Explicabilité des algorithmes : à quel niveau faut-il mettre le curseur de la régulation ?

Publié le par

Le néologisme « explicabilité » prend de l’ampleur à l’heure des algorithmes
et de l’intelligence artificielle. En Europe, France comprise, la loi exige déjà qu’ils doivent être explicables dans un souci de transparence et de responsabilisation. La question est de savoir s’il faut encore plus réguler.

Par Winston Maxwell* et David Bounie**, Telecom Paris, Institut polytechnique de Paris

lL’« explicabilité » est devenue un principe incontournable de la future bonne régulation des algorithmes. L’explicabilité figure dans les recommandations que l’OCDE (1) a adoptées le 22 mai (2)
sur l’intelligence artificielle (IA), dans
la communication de la Commission européenne du 8 avril (3), dans le rapport du groupe d’experts correspondant (4),
et dans le rapport Villani (5). Garante de plus de transparence, l’explicabilité des algorithmes n’est pas un concept nouveau.

Explicabilité : déjà présente dans la loi
Dans les années 1980 et 1990, de nombreux travaux scientifiques en France et aux Etats-Unis ont étudié l’explicabilité de l’intelligence artificielle, explicabilité jugée nécessaire pour promouvoir l’acceptabilité des systèmes « experts » (6). L’année
2018 marque le renouveau du concept. Le rapport Villani évoque la nécessité d’« ouvrir les boîtes noires » (7) ; le groupe d’experts européens souligne l’importance de l’explicabilité pour la confiance dans les systèmes IA (8). Que recouvre ce terme qui ne figure nulle part dans les dictionnaires (9) ? Les nouvelles recommandations de l’OCDE font la meilleure synthèse, se focalisant sur les finalités des explications (10). Les législateurs français et européen n’ont pas attendu les conclusions de l’OCDE pour imposer des obligations de transparence.
Le règlement général sur la protection des données (RGPD) impose l’obligation de fournir « des informations utiles concernant la logique sous-jacente » de toute décision automatique entraînant un effet important sur la personne (11). La récente révision de
la Convention 108 du Conseil de l’Europe (12) confère aux personnes le droit d’obtenir connaissance « du raisonnement qui sous-tend le traitement ». La loi « Lemaire » et ses décrets d’application imposent à l’administration l’obligation de communiquer à l’individu les « règles définissant tout traitement » algorithmique et les « principales caractéristiques de sa mise en oeuvre » (14). Ces mêmes textes imposent aux plateformes l’obligation de communiquer les « critères de classement », ainsi que leur
« principaux paramètres » (15). Au niveau européen, le futur règlement « Plateformes » – surnommé aussi P2B (16) – imposera aux places de marché et aux moteurs de recherche l’obligation d’indiquer les « principaux paramètres » qu’ils utilisent pour classer les biens et les services sur leurs sites. Ce règlement, qui devait être adopté
le 20 juin 2019 par le Conseil de l’Union européenne, n’imposera pas en revanche la communication de l’algorithme lui-même, protégé par la directive sur le secret des affaires (17). Avec autant de dispositions déjà en place, faut-il encore plus réguler ? L’explicabilité est un problème qui dépasse le débat sur la transparence des plateformes. Elle touche à des secteurs clés de l’industrie, et risque de freiner le déploiement des algorithmes si les contours de l’explicabilité ne sont pas bien définis par le régulateur. La difficulté est à la fois économique et juridique. Sur le plan économique, l’utilisation des algorithmes les plus performants sera freinée si leur fonctionnement n’est pas suffisamment compris par les utilisateurs et les régulateurs. Par exemple, dans la lutte contre le blanchiment d’argent, les algorithmes les plus performants sont également les plus opaques. Or, les banques et leurs régulateurs n’adopteront ces algorithmes que si leur fonctionnement est compris et auditable.
Faire parler ces boîtes noires est donc une condition nécessaire à leur adoption par l’industrie et par l’administration. L’explicabilité est également déterminante pour des questions de responsabilité. En cas d’accident, de discrimination ou toute autre
« mauvaise » décision algorithmique, il sera essentiel d’auditer le système afin d’identifier la source de la mauvaise décision, corriger l’erreur pour l’avenir, et déterminer les éventuelles responsabilités. De plus, l’exploitant du système doit être
en mesure de démontrer sa conformité avec le RGPD et d’autres textes applicables. Comment démontrer une conformité si le fonctionnement interne de l’algorithme reste énigmatique pour son exploitant ? Une documentation expliquant le fonctionnement de l’algorithme sera nécessaire.

Apprentissage machine et interprétation
Un algorithme d’apprentissage machine (machine learning) est l’aboutissement de différentes phases de développement et de tests : on commence par la définition du problème à résoudre, le choix du modèle, le choix des données d’apprentissage, le choix des données de test et de validation, les ajustements des paramètres (tuning),
et le choix des données d’exploitation. Le modèle qui émerge après son apprentissage sera très performant mais presqu’aussi inscrutable que le cerveau humain. Si les théories mathématiques sous-jacentes aux modèles utilisés sont bien comprises, il
est délicat – pour ne pas dire souvent impossible – de comprendre le fonctionnement interne de certains modèles. C’est le cas bien souvent de certains modèles tels que les machines à vecteurs de support, les forêts aléatoires, les arbres améliorés par gradient, et les algorithmes d’apprentissage profonds tels que les réseaux de neurones artificiels, les réseaux de neurones convolutifs et les réseaux de neurones récurrents difficiles à interpréter.

Transparence, auditabilité et explicabilité
Le concept d’explicabilité – ou « explainable AI » (XAI) en anglais) –, parfois désigné par intelligibilité, est un thème de recherche en informatique en plein essor. Il est en particulier soutenu par un programme ambitieux de l’agence du département de la Défense des Etats-Unis, Darpa (18). Les recherches s’orientent sur le développement de méthodes qui aident à mieux comprendre ce que le modèle a appris, ainsi que des techniques pour expliquer les prédictions individuelles. Les solutions techniques se regroupent autour de deux familles : l’identification des facteurs les plus importants utilisés par le modèle (« saliency approach »), et la perturbation des données d’entrée afin de comprendre l’impact sur les décisions de sortie (« perturbation approach »).
Ces approches permettront la visualisation des facteurs déterminants dans la prise
de décision algorithmique.
Aux concepts d’interprétabilité et d’explicabilité sont associés ceux de transparence et d’« auditabilité » des algorithmes. L’idée est de rendre publics, ou bien de mettre sous séquestre, des algorithmes en vue les auditer pour étudier des difficultés potentielles. Comme illustré dans le débat sur le règlement « Plateformes » (P2B), imposer la communication des algorithmes se heurterait à la protection des secrets d’affaires, protégée par la directive européenne du 8 juin 2016 (19). Cependant, il existe des solutions intermédiaires, qui permettraient à la fois un audit approfondi du système
tout en protégeant le secret des affaires. La Cnil recommande de mettre en place
une plateforme nationale d’audit des algorithmes (20). L’une des difficultés pour le régulateur est l’impossibilité de répliquer le fonctionnement d’un algorithme à un moment T. Un algorithme d’apprentissage machine peut se mettre à jour régulièrement, apprenant à améliorer sa performance au fur et à mesure, en fonction des nouvelles données analysées. Ainsi, l’algorithme pourra donner un score de 93,87 % le lundi, et un score de 94,28 % le jeudi, s’appuyant sur exactement les mêmes données d’entrée. Cette absence de reproductibilité peut poser problème pour un régulateur en charge de valider un système avant sa mise en service, car le modèle changera lors de chaque nouvelle phase d’apprentissage. Pour un algorithme de moteur de recherche, ce n’est pas grave. Mais pour un algorithme pouvant provoquer des dommages corporels en cas d’erreur, cette évolutivité posera problème.
Exiger une transparence totale sur le fonctionnement de l’algorithme ne servirait à rien. Une telle exigence se heurterait à la protection du secret des affaires et, dans la plupart des cas, ne rendrait pas l’algorithme plus intelligible, même pour les initiés. La réglementation doit plutôt se concentrer sur les différentes finalités de l’explicabilité et les différents publics visés – grand public, régulateur, expert judiciaire.
Une explication envers un demandeur de crédit pourrait privilégier une approche dite
« contrefactuelle », par laquelle l’individu pourrait tester d’autres hypothèses d’entrée pour voir l’effet sur son score algorithmique.
Les outils d’explicabilité envers un régulateur seraient plus élaborés, permettant une explication du fonctionnement global de l’algorithme (dit « global explainability »), ainsi qu’une explication concernant chaque décision particulière (« local explainability »).
Les outils mis à la disposition du régulateur pourraient inclure des cartographies de pertinence (saliency maps), et autres outils de visualisation statistique. Enfin, en cas d’audit, l’exploitant de l’outil devra être en mesure de donner accès à l’ensemble de
la documentation concernant l’algorithme et les données d’apprentissage, et permettre au régulateur de conduire des tests, notamment des tests de perturbation de données d’entrée.
L’explicabilité, comme la régulation, est source de coûts. Un fort niveau d’explicabilité peut limiter le type de modèle utilisé, conduisant à des pertes de performance. Cependant, certains estiment que le compromis entre performance et explicabilité n’est que temporaire, et disparaîtra avec le progrès technique. La régulation est également source de coûts, surtout lorsque la régulation ne suit pas l’évolution technologique.

Privilégier une régulation « bacs à sable »
Ainsi, la Commission européenne et le Conseil d’Etat recommandent la régulation expérimentale – des « bacs à sable » de régulation – permettant de tester différentes approches de régulation pour déterminer celle qui sera la plus efficace. Le principe européen de la proportionnalité guidera le niveau de régulation. Le niveau d’exigences en matière d’explicabilité augmentera avec le niveau de risques. Pour certains usages, aucune explicabilité ne sera nécessaire. Pour un algorithme qui apprend à jouer aux échecs, le fonctionnement interne ne soulève pas d’enjeu réglementaire. Par conséquent, la boîte noire pourra rester fermée. @

* Winston Maxwell, ancien avocat associé du cabinet
Hogan Lovells, est depuis juin 2019 directeur d’étude, droit et
numérique à Telecom Paris, Institut polytechnique de Paris.
** David Bounie est professeur d’économie
à Telecom Paris, Institut polytechnique de Paris.

Hadopi : vers un pouvoir de transaction pénale ?

Publié le par

En fait. Le 13 juin, l’Hadopi a présenté son rapport 2018 – à l’heure des dix ans
de la loi éponyme qui l’a instituée. Son président, Denis Rapone, a livré quelques pistes en vue du projet de loi sur l’audiovisuel promis « d’ici fin octobre » par le Premier ministre pour être devant le Parlement en janvier 2020.

Vers une nouvelle loi contre le cyberharcèlement et les contenus haineux en ligne

Publié le par

Le gouvernement va présenter avant l’été un projet de loi contre le cyberharcèlement et les contenus haineux en ligne, en responsabilisant plus
les plateformes numériques et en restreignant l’anonymat. Le droit à l’effacement et l’actuel arsenal juridique sont actuellement limités face au fléau.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Le harcèlement consiste à tenir des propos ou avoir des comportements répétés, ayant pour objet ou pour effet une dégradation des conditions de vie d’une personne, susceptible de porter atteinte à ses droits, à sa dignité et d’altérer sa santé physique ou mentale. A l’ère du numérique, le harcèlement s’opère sur Internet, les réseaux sociaux, les blogs ou tout autre support en ligne.

Essor d’un fléau et arsenal juridique
Le harcèlement en ligne, également appelé cyber-harcèlement, est au cœur de l’actualité, que ce soit avec les attaques qui ont visé le chanteur Bilal Hassani – représentant la France à l’Eurovision 2019, en mai prochain – ou encore avec l’affaire de la « Ligue du LOL ». La prolifération des faits de harcèlement en ligne suscite de plus en plus d’inquiétudes. Aux Etats-Unis, la cour suprême a récemment condamné pour homicide une femme de 22 ans jugée pour avoir poussé son petit ami au suicide en 2014, par une série de textos. En France, la récente affaire de la « Ligue du LOL », du nom d’un groupe privé sur Facebook, illustre également l’accroissement significatif du cyber-harcèlement. A la suite de ces révélations, plusieurs journalistes impliqués ont été suspendus par leurs employeurs pour avoir harcelé il y a quelques années d’autres journalistes et blogueurs sur le réseau social Twitter. Des victimes ont dénoncé des entraves à leur carrière et un dénigrement systématique de la part des membres du groupe ou de leur entourage, souvent accompagnés de photos et messages violents. Pour l’instant, il n’y a pas d’enquête judiciaire sur les faits allégués, la plupart d’entre eux étant prescrits (à partir de 6 ans, mais un rallongement du délai de prescription
est à l’étude). Cette affaire de la « Ligue du LOL » a amené une vingtaine de médias (presse et audiovisuel) à signer le 13 mars au ministère de la Culture une « Charte pour les femmes dans les médias, contre le harcèlement et les agissements sexistes dans les médias » (1). Le cyber-harcèlement est partout, y compris parfois au sein du couple. Dans le cadre des violences conjugales, les violences physiques sont souvent accompagnées de cyber-violences : cinq femmes victimes de violences conjugales
sur six déclarent ainsi avoir également subi des actes de cyber-harcèlement, selon le Centre Hubertine Auclert (2). Le cyber-harcèlement revêt dès lors plusieurs formes. Il peut s’agir de la propagation de rumeurs sur Internet, de la création d’un faux profil à l’encontre d’une personne, de la publication de photographies sexuellement explicites ou humiliantes, des messages menaçants ou du « happy slapping », cette pratique qui consiste à filmer à l’aide d’un téléphone portable des actes de violence et à les diffuser sur Internet, notamment sur les réseaux sociaux.
Le cyber-harcèlement est une infraction grave réprimée par le Code pénal. La menace de rendre publics sur Internet des enregistrements sonores, des images ou des vidéos à caractère sexuel d’un(e) ex-partenaire, avec l’intention de nuire, peut être qualifiée de chantage (3). Ou encore être sanctionnée sur le fondement de la menace de violence (4). La publication sur un site web permet aussi de sanctionner l’auteur pour des faits de violence psychologique, délit introduit dans notre Code pénal par la loi du 9 juillet 2010 dans le but de lutter plus efficacement contre les violences conjugales (5), quelle que soit leur nature (6). Diffuser à répétition sur Internet des enregistrements, des images, des vidéos à caractère sexuel, c’est aussi du harcèlement sexuel visé et réprimé par le Code pénal (7). Par ailleurs, l’article 222-33-2-2 du Code pénal sanctionne le harcèlement moral d’un an d’emprisonnement et de 15.000 euros d’amende.

Du retrait des contenus à de la prison ferme
La récente loi du 3 août 2018 renforçant la lutte contre les violences sexuelles et sexistes (8) modifie cet article pour prévoir que le délit est également constitué
« lorsque ces propos ou comportements sont imposés à une même victime par plusieurs personnes, de manière concertée ou à l’instigation de l’une d’elles, alors même que chacune de ces personnes n’a pas agi de façon répétée » ou « lorsque
ces propos ou comportements sont imposés à une même victime, successivement,
par plusieurs personnes qui, même en l’absence de concertation, savent que ces propos ou comportements caractérisent une répétition ». En outre, la même loi prévoit une aggravation des peines lorsque les faits sont commis par l’utilisation d’un service de communication au public en ligne ou par le biais d’un support numérique électronique. Ainsi, en cas de cyber-harcèlement, les peines sont portées à trois ans d’emprisonnement et 45.000 euros d’amende. Enfin, l’article 222-16 du Code pénal réprime l’envoi de plusieurs courriels malveillants à l’incrimination des appels téléphoniques malveillants et agressions sonores. A cet arsenal juridique, viennent s’ajouter des décisions judiciaires qui montrent de quelles manières les délits de cyber-harcèlement peuvent être constitués. Par une ordonnance de référé du 29 mars 2016 (9), le président du tribunal de grande instance de Paris a considéré que la publication de 34 articles faisant état de la dangerosité de deux personnes, affirmant qu’elles seraient recherchées par les autorités et lançant des avis de recherche était constitutive du délit de « cyber-harcèlement ». Le dirigeant a été condamné à retirer les articles publiés sous astreinte de 100 euros par jour.

Conseils de la Cnil et plan du gouvernement
A son tour, en 2017, le tribunal correctionnel de Bordeaux (10) a condamné une personne qui a proféré des menaces de mort à l’encontre d’un journaliste via le réseau social Twitter. Les juges ont retenu la circonstance aggravante de « menaces commises en raison de la religion ». Pour déterminer la culpabilité du mis en cause, il est retenu que « le premier message est clairement menaçant » et que « l’enchaînement des messages qui suivent est également de nature à constituer une menace de mort ».
En outre, les juges ont estimé que le délit était constitué, aux motifs que « les menaces ayant été adressées par messages envoyés par Twitter, il s’agi[ssai]t bien de menaces matérialisées par un écrit ». À ce titre, le prévenu a notamment été condamné à une peine d’emprisonnement d’un an ferme. Plus récemment, le 20 mars 2019, un étudiant qui avait harcelé une journaliste sur Internet à la suite d’un article a été condamné à cinq mois de prison avec sursis et 2.500 euros d’amende pour préjudice moral.
Partant du constat que près de 10 % de la population européenne a subi ou subira un harcèlement (11), la Commission nationale de l’informatique et des libertés (Cnil) a publié une série de conseils sur le cyber-harcèlement. Qui sont les cyber-harceleurs ?
« Un internaute peut être harcelé pour son appartenance à une religion, sa couleur de peau, ses opinions politiques, son comportement, ses choix de vie, … Le harceleur peut revêtir l’aspect d’un “troll” (inconnu, anonyme) mais également faire partie de l’entourage de la victime (simple connaissance, ex-conjoint, camarade de classe, collègue, voisin, famille …) », prévient la Cnil. Elle rappelle aux victimes de violences sur Internet la réaction à adopter face au harcèlement – avec comme principe de base de « ne surtout pas répondre ni se venger » – et les paramétrages des médias sociaux conseillés. Si le harcèlement en ligne est réprimé par le Code pénal et relève de la compétence judiciaire, la Cnil rappelle que chaque personne a un droit à l’effacement
et au déréférencement de ses données. Ainsi, la victime peut demander la suppression des informations auprès de chaque site web ou réseau social. La personne qui en est responsable est, par conséquent, tenue de procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois (voire trois si la demande est complexe). En cas d’absence de réponse sous un mois, un recours auprès de la Cnil est possible. Pour le droit au déréférencement spécifiquement, elle rappelle que « si ces informations apparaissent dans les résultats de recherche à la saisie de vos prénom et nom, vous avez la possibilité d’effectuer une demande de déréférencement auprès du moteur de recherche en remplissant le formulaire [comme celui de Google, ndlr (12)] ».
Face à la prolifération des faits de harcèlement en ligne, le gouvernement entend se saisir de la question et prendre de nouvelles mesures pour lutter efficacement contre ces actes. Un projet de loi contre les contenus haineux et le harcèlement en ligne devrait être présenté avant l’été. Il a ainsi annoncé le 14 février dernier sa volonté de responsabiliser les plateformes et d’accélérer les procédures pour identifier les auteurs de propos haineux en ligne. Les secrétaires d’Etat – Marlène Schiappa à l’Egalité et Mounir Mahjoubi au Numérique – veulent en effet, par ce « plan d’action », pousser les plateformes à mettre « en quarantaine » ou retirer « en quelques heures » les contenus haineux. Le gouvernement propose ainsi de superviser les outils de signalement
à disposition des internautes et envisage d’auditer régulièrement les règles de modération des contenus des plateformes. Il les incite également à développer leurs outils de modération automatique avec la possibilité, pour les utilisateurs, de faire appel. Le secrétaire d’Etat au Numérique désire par ailleurs créer un nouveau statut pour les plateformes en ligne qui serait entre celui d’hébergeur de contenus et celui d’éditeur, permettant d’engager plus efficacement leur responsabilité. « La loi allemande oblige (…) désormais les acteurs à supprimer dans un délai de 24h les contenus “manifestement illégaux” et prévoit des sanctions allant jusqu’à 50 millions d’euros en la matière », a-t-il rappelé (13).

Aller jusqu’à restreindre l’anonymat
Des mesures concernant l’anonymat sur Internet sont également en réflexion. Il s’agirait de restreindre cet anonymat à certains usages tels que les pétitions en lignes. Enfin, si la possibilité de demander l’identité des auteurs d’harcèlement en ligne existe déjà, le gouvernement voudrait fixer et imposer aux plateformes des délais pour communiquer ces données. @ 

* Christiane Féral-Schuhl est ancien bâtonnier
du Barreau de Paris, et auteure de « Cyberdroit »,
dont la 7e édition (2018-2019) est parue aux éditions Dalloz.

Règlementation pour la fiabilité des informations et conseil de presse : sommes-nous tous concernés ?

Publié le par

Les lois de lutte contre les « fausses nouvelles » (1881, 2016, 2018) visent aussi
à faire respecter une certaine déontologie de l’information qui, à l’ère d’Internet, ne concerne plus seulement les médias et les journalistes, mais aussi la société civile qui participe à la diffusion d’« actualités ».

Sésame culturel : il faut que jeunesse se « Pass »

Publié le par

En fait. Le 9 février est paru au Journal Officiel l’arrêté daté du 5 février précisant les conditions d’ouverture d’un compte personnel numérique « Pass Culture » pour les jeunes de 18 ans, ainsi que les quelques communes concernées par cette « expérimentation (…) pour une durée de trois ans ».