Propriété intellectuelle et IA : concilier protection des secrets d’affaires et transparence de l’Intelligence artificielle

Hors-cadre
Par Philippe Laurent (MVVP) · 30/10/2020

Suite de notre article sur le sujet de la protection de la propriété intellectuelle générée (ou aidée) par l’Intelligence artificielle. Comment, notamment, réconcilier “secret” d’affaires et souhait voire nécessité de rendre l’IA et les algorithmes “transparents”, compréhensibles et explicables? Relire la première partie.

Philippe Laurent, avocat au cabinet MVVP (Max Van Ranst Vermeersch & Partners, Bruxelles) démontre que les deux concepts – et réalités – ne sont pas aussi antinomiques qu’on pourrait le penser…

 

Dans notre système économique basé sur la libre concurrence, la protection de l’innovation ainsi que son impact sur la conception de « business models » et la question cruciale de la « captation de valeur » restent des enjeux critiques pour les entreprises. La règle ne change pas en ce qui concerne les innovations liées à l’IA (bien au contraire !).

Les règles de propriété intellectuelle peuvent donc s’appliquer à l’intelligence artificielle.

Prenons l’exemple de la technique du deep learning (sous-branche du machine learning), qui consiste à sélectionner ou développer un réseau neuronal (ensemble d’algorithmes spécifiques implémentés dans un logiciel ad hoc) et effectuer son “apprentissage” afin qu’il remplisse une fonction.

Que l’apprentissage soit supervisé ou non, ou que celui-ci se fasse par renforcement, aura peu d’incidence dans notre raisonnement, l’élément central de la réflexion étant que le résultat de l’apprentissage soit la génération d’un modèle, qui servira au système à solutionner les problèmes qu’il a été entraîné à résoudre.

Pour les besoins de notre réflexion sur le principe de transparence (qui est intimement lié au principe d’“explicabilité”), soulignons ici que lemodèle de notre exemple est le résultat d’une opération consistant à traiter des quantités énormes de données avec des algorithmes complexes, et que l’un des effets de ces algorithmes consiste à ce que le réseau neuronal s’améliore par lui-même, par un processus d’auto-évaluation et d’auto-correction (par des techniques dites de “rétropropagation)… 

Ce qui crée, au final, cet effet d’auto-apprentissage recherché. En d’autres termes, ce modèle peut être comparé à une machine présentant une multitude d’éléments paramétrables, et dont le paramétrage a été effectué par la machine elle-même sur la base de données et d’algorithmes. 

Cette présentation illustre le “lâché prise” propre à l’IA: il sera parfois difficile pour un humain d’expliquer les choix de ces paramètres puisqu’ils sont issus d’un apprentissage automatisé. Difficile également d’être transparent par rapport à ce qui est difficilement explicable… mais, pourtant, qui “marche” !

Quel “conflit” avec le principe éthique de transparence ?

On comprend très bien la question posée, et il est difficile de nier la tension naturelle qui existe entre la notion de “secret” (qui fait référence à ce qui est caché) et celle la “transparence” (qui évoque la qualité de ce qui ne cache pas). Il ne faut cependant pas s’arrêter au sens premier de ces termes et les replacer dans leurs contextes respectifs.

Notons tout d’abord que la protection des secrets d’affaires n’est pas absolue. La loi prévoit qu’elle peut s’écarter, entre autres et dans certains cas, devant le droit à la liberté d’expression et d’information, la protection de l’intérêt public général (par la révélation d’une faute, d’un acte répréhensible ou d’une activité illégale) ou la protection d’un intérêt légitime reconnu par le droit de l’Union européenne ou le droit national.

Par ailleurs, lorsqu’un juge examine une demande basée sur le droit des secrets d’affaires, le juge prend entre autres en considération les intérêts légitimes des parties et l’incidence que l’octroi ou le refus de ces mesures pourrait avoir sur les parties, les intérêts légitimes des tiers, l’intérêt public et la sauvegarde des droits fondamentaux. Dans le domaine de l’IA, il pourrait être envisagé que ces limitations soient invoquées afin de faire prévaloir, le cas échéant, un degré de transparence nécessaire à la protection des principes fondamentaux que le législateur a voulu préserver.

Alors que le débat concernant l’encadrement législatif spécifique de l’IA et de son exploitation n’en est qu’à ses balbutiements, de nombreuses lignes directrices visant l’encadrement éthique de l’IA ont déjà été proposées. Certains cadres existants ont été recensés dans une étude de 2019 (1), selon laquelle il ressort effectivement que la transparence, l’interprétabilité et l’explicabilité sont des principes éthiques souvent identifiés et devant être respectés.

Dans les “Lignes directrices en matière d’éthique pour une IA de confiance” (2) du Groupe d’experts de haut niveau (GEHN) IA de la Commission européenne, la transparence est présentée comme une exigence s’appuyant sur le principe d’explicabilité, et qui comprend la traçabilité (facilitant entre autres l’“auditabilité”), l’explicabilité et la communication (dans le sens d’une identification claire des IA vis-à-vis des humains).

Notons d’emblée qu’aucune définition proposée n’implique un “déballage” complet et systématique de la technologie en place publique. On remarque également que ces principes font corps avec d’autres thématiques telle que la vie privée, la justice, la sécurité, le bien-être, la solidarité, l’inclusion sociale, etc… Bref, autant de concepts qui placent l’être humain (et le respect de son intégrité physique et morale) au centre des préoccupations. 

La transparence ne sera pas inconditionnelle

Comme nous l’avons déjà indiqué, tout système d’IA est propre à son contexte. De même, selon nous, la nécessité, le degré, voire la signification même de “transparence” seront également entièrement dépendants de ce contexte. Dans certains cas, l’attention portera sur les données utilisées. Dans d’autres, sur la conception des modèles et les protocoles d’entraînement. Dans d’autres encore, sur les tests utilisés afin de s’assurer de la fiabilité des résultats… 

Par ailleurs, certaines IA seront plus “critiques” que d’autres. Entre autres, en fonction de leurs effets possibles par rapport au respect des valeurs fondamentales susmentionnées. Notons à cet égard que certaines initiatives législatives proposent une approche distinguant les IA “à haut risque” des autres IA. 

En faisant une comparaison avec la question de l’accès aux codes source des logiciels (autre élément classiquement protégé par les secrets d’affaires), on peut noter que, dans de nombreux cas, l’accès à ceux-ci n’est pas jugé nécessaire ou requis pour assurer le respect de valeurs fondamentales… Mais lorsqu’il s’agit de logiciels utilisés pour recueillir et traiter des votes dans le cadre d’élections politiques, certaines lois rendent leur publication intégrale purement et simplement obligatoire. 

Beaucoup d’IA sont utilisées dans des cadres de production industrielle (afin, par exemple, de maximaliser la production, superviser les processus ou faire de la maintenance prédictive) et rien ne semble justifier l’obligation systématique de mentionner au public l’utilisation de ces méthodes, et encore moins de les divulguer publiquement dans leurs moindres détails, sous prétexte qu’une IA est utilisée et que, “par définition”, toute IA devrait être transparente et donc divulguée.

Selon moi, le principe de transparence ne devrait pas impliquer une divulgation systématique et publique de tout backend impliquant l’utilisation d’IA.

Il est possible qu’une entreprise utilisatrice veuille en savoir plus sur une technologie basée sur de l’IA qu’elle se procure auprès d’un fournisseur, et une communication d’informations secrètes pourrait avoir lieu sous le couvert de clauses de confidentialité (ce qui constitue l’exemple le plus classique de “dispositions raisonnables destinées à garder les informations secrètes”).

Il y a donc un haut degré de “transparence” entre client et fournisseur (dans un sens certes légèrement différent de celui du principe éthique invoqué), mais qui n’annihile pas pour autant la protection par secret d’affaires par rapport aux tiers.

L’“auditabilité” est, elle aussi, une notion satellite intéressante qui est également évoquée dans les projets d’encadrement éthique (et législatifs) de l’IA, et qui pourrait déboucher sur l’adoption de mécanismes de certification.

Dans ce contexte, la divulgation d’éléments secrets ne se dirigerait que vers des auditeurs ou certificateurs qui seraient également tenus au respect de règles de confidentialités. Dans ces conditions, la protection par le secret d’affaires pourrait être préservée tout en assurant un degré confiance et de sécurité nécessaire pour les utilisateurs et les personnes qui pourraient potentiellement être impactées par l’usage de la technologie en question.

Quid en cas d’“incident” causé par l’IA?

Imaginons enfin qu’une machine basée sur une IA “déraille” et crée des dommages… Un litige survient: la victime demande réparation de son préjudice à l’exploitant de la machine, qui se retourne contre son vendeur, qui se retourne contre son fabriquant, qui se retourne lui-même contre l’entreprise de développement spécialisée qui l’a aidé à concevoir l’IA litigieuse. L’un incrimine la qualité des données, l’autre le choix et le codage des algorithmes, l’autre encore la mauvaise utilisation de l’exploitant, certains pointent du doigt le comportement de la victime… 

Bref, nous sommes en plein contentieux complexe et multi-partite où le juge aura tôt fait de désigner un expert judiciaire afin d’investiguer sur les causes de la défaillance du système et de la survenance du dommage. 

Dans le cadre de l’expertise et du procès, les parties se verront contraintes d’échanger des informations sur cette IA et sur “l’envers du décor” (les algorithmes utilisés, les bases de données d’entraînement, les codes source des logiciels employés, les rapports d’analyses, etc…).

En d’autres termes, la “transparence” entre les parties, l’expert et le juge sera nécessaire afin que justice soit faite… Mais cette situation est également déjà couverte par la loi (et plus spécifiquement, par l’article 871bis §1er du code judiciaire) qui permet d’interdire aux participants d’une procédure judiciaire d’utiliser ou divulguer les secrets d’affaires auxquels ils auraient accès dans ce cadre. Une fois de plus, une solution existe permettant la coexistence entre l’échange nécessaire d’informations et d’explications et la protection de leur caractère confidentiel.

Que dire de la transparence prescrite par le RGPD ?

La transparence n’est pas qu’un concept purement éthique. Il apparaît entre autres à de multiples reprises dans le RGPD (règlement général sur la protection des données) qui prévoit notamment que “les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée”.

La réflexion doit-elle dès lors être différente ou adaptée primo si les datasets servant à entraîner le réseau neuronal ou à vérifier le modèle contiennent des données à caractère personnel ou deuzio, si l’IA entraînée sert à prendre des décisions sur la base de données à caractère personnel?

Effectivement, en général, le responsable de tout traitement de données à caractère personnel a l’obligation de fournir aux personnes concernées une série d’informations sur le traitement “d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples”. Mais cette information est définie et porte entre autres sur les finalités du traitement, les destinataires des données, les éventuels transferts hors Union européenne et, le cas échéant, les éventuels intérêts légitimes poursuivis.

Il ne peut être déduit de ces obligations qu’il faille publier ou donner accès à des algorithmes, des logiciels ou des jeux de données. Bien au contraire, si les datasets contiennent des données à caractère personnel relatives à d’autres personnes, la confidentialité devrait rester de rigueur! 

Dans le même ordre d’idées, une personne concernée a, certes, un droit d’accès à ses données, mais ce dernier se limitera aux données de cette personne (donc normalement pas à l’entièreté d’un dataset, sauf à supposer que ce dataset porte intégralement sur cette personne). Et en tous cas ne s’étendra normalement pas à des algorithmes ou des logiciels… 

Ceci est spécifiquement rappelé au considérant 63 du RGPD selon lequel “ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte”.

Au final, de toutes les dispositions du RGPD, c’est sans doute l’article 22, combiné aux articles 13, §2, f) et 14, §2, g), qui aura le lien le plus étroit avec la question posée. En l’occurrence, en cas de prise de décision automatisée produisant des effets juridiques (ou similaires) sur la personne concernée – et donc, a fortiori, en cas de l’utilisation d’IA dans ce cadre) -, le responsable du traitement doit fournir à celle-ci “des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée”. C’est donc bien le principe d’explicabilité qui est consacré, dans une certaine mesure, par cette disposition légale. Il constituera sans conteste un défi important pour l’utilisation d’IA dans certaines circonstances et/ou certains domaines.

Cependant, et à nouveau, donner des explications sur « une logique sous-jacente » ne devrait pas équivaloir, à mon sens et de prime abord, à dévoiler l’ensemble des secrets liés à la technologie employée. Il y a fort à parier que donner accès à du code source, à un dataset, à un algorithme ou à un modèle au « commun des mortels » ne contribuera pas à sa compréhension du traitement dont ses données font l’objet et de la logique suivie. Au contraire, le principe de transparence imposerait de lui donner des explications simples et aisément accessibles, et non le submerger sous des informations brutes, techniques et complexes.

Conclusion

Au stade actuel de ma réflexion, si l’on ne peut nier l’absence de toute tension, il n’y a pour moi pas de contradiction systémique entre les règles relatives aux secrets d’affaires et le principe de transparence prôné dans le cadre des réflexions éthiques et législatives sur l’IA ou dans les textes juridiques déjà en vigueur et mentionnés ci-dessus.

A mon sens, le principe de transparence vise surtout à permettre à l’humain de prendre conscience de son interaction (directe ou indirecte, à savoir au travers de ses données personnelles) avec une IA, et de comprendre la logique et les effets de ces interactions sur sa personne. Tout est une question de contexte, de nécessité et de proportionnalité. J’ai le sentiment que la protection par le secret des affaires ne devrait pas se voir trop affectée par ce principe, même lorsque la loi ou l’éthique imposera, dans certains cas et sous certaines conditions, la communication de certaines informations ou explications particulières.

Comme je l’ai déjà souligné, les discussions au sujet des enjeux éthiques de l’IA et de son encadrement légal ne font que commencer…
? Je suis toujours ravi d’en débattre, et tout contre-exemple qui viendrait à l’esprit du lecteur sera toujours bienvenu, en commentaire sous cet article [dans l’espace “Commentaires”] ou dans ma boîte email (dont l’adresse pourra très facilement – et intelligemment – être retrouvée par tout bon moteur de recherche, sans pour autant que nous ayons accès aux bases de données, algorithmes et modèles permettant cet exploit) !  ✍️ ✍️ ✍️ 

Philippe Laurent
avocat, cabinet MVVP

(1) T.Hagendorff  “The Ethics of AI Ethics: An Evaluation of Guidelines” – Minds and Machines (2020) 30:99–120. [ Retour au texte ]

(2) “Lignes directrices en matière d’éthique pour une IA de confiance” du groupe d’experts indépendants de haut niveau sur l’intelligence artificielle, publiées le 8 avril 2019. [ Retour au texte ]