diff options
Diffstat (limited to 'contexte/legal.tex')
| -rw-r--r-- | contexte/legal.tex | 29 |
1 files changed, 14 insertions, 15 deletions
diff --git a/contexte/legal.tex b/contexte/legal.tex index c4206f3..5333a88 100644 --- a/contexte/legal.tex +++ b/contexte/legal.tex @@ -14,12 +14,13 @@ le droit d’accéder aux données collectées la concernant et d’en obtenir l \item Le respect de ces règles est soumis au contrôle d’une autorité indépendante. \end{enumerate} \fg -L'objet de cette section est de comprendre comment ce droit fondamental entre en conflit avec les attaques décrites dans ce rapport à travers de l'étude de textes légaux. + +L'objet de cette section est de comprendre comment ce droit fondamental entre en conflit avec les attaques décrites dans ce rapport à travers l'étude de textes légaux. L'article 4 paragraphe 1 du Règlement Général sur la Protection des Données, le RGPD, dispose que \og Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable \fg. Cette définition est importante dans le cadre des attaques de modèles car elle permet de rapidement identifier le cadre légal : -si nous pouvons rattacher l'inférence à une personne, il s'agit d'une donnée personnelle, elle doit donc être utilisée conformément au RGPD \cite{RGPD} +si nous pouvons rattacher l'inférence à une personne, il s'agit d'une donnée personnelle, elle doit donc être traitée conformément au RGPD \cite{RGPD} et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés\cite{78-17}. On se place dans le cadre où la base de données ayant servi d'entraînement au modèle d'apprentissage automatique @@ -38,8 +39,7 @@ toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de L'article 9 paragraphe 1 du RGPD dispose que \og Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. -\fg -Donc, publier un modèle avec lequel il est possible de retrouver l'ethnie ou le genre est donc illégal, sauf exceptions. +\fg Par conséquent, publier un modèle avec lequel il est possible de retrouver l'ethnie ou le genre est illégal, sauf exceptions. Même si l'attribut sensible ne rentrait pas dans le cadre de l'article 9 paragraphe 1 du RGPD le fait de pouvoir utiliser une attaque d'attribut constitue une violation des données personnelles au sens de l'article 4 paragraphe 12 du RGPD qui dispose qu'une violation des données personnelles est \og @@ -50,7 +50,7 @@ Même si l'attribut sensible ne rentrait pas dans le cadre de l'article 9 paragr \label{sec:contexte-legal-discrimination} Les facteurs de discrimination et les données personnelles ont une grande intersection, (ethnie, couleur de peau, croyances religieuses, etc). Si un adversaire utilise une attaque d'attribut pour inférer un facteur de discrimination et l'utilise pour réaliser une décision concernant un utilisateur, ou si un facteur de discrimination est implicitement ou explicitement utilisé par un modèle, il est possible que cette situation tombe dans le cadre des lois sur les discriminations. -Sur le site de \url{servie-publique.fr} nous trouvons la définition suivante de discrimination. +Sur le site de \url{service-public.fr} nous trouvons la définition suivante de discrimination. \textquote{La discrimination est un délit interdit par la loi et puni d'une amende et/ou d'une peine d'emprisonnement inférieure à 10 ans qui consiste à traiter défavorablement une personne en s'appuyant sur un motif interdit par la loi}~\cite{servicepubdiscrimination}. Les motifs interdits par la loi se comptent au nombre de 25 critères de discrimination que nous listons en Annexe~\ref{anx:discri}. Nous remarquons que ces critères sont souvent ceux classifiés comme attribut sensible dans la littérature IA~\cite{Song2020Overlearning,malekzadeh2021honestbutcurious}. @@ -71,11 +71,11 @@ En effet, l'article L.1221 alinéa 6 du Code du travail dispose que les informat De plus l'article L.1132 alinéa 1 dispose qu'\textquote{aucune personne ne peut être écartée d'une procédure de recrutement ou de nomination ou de l'accès à un stage ou à une période de formation en entreprise, aucun salarié ne peut être sanctionné, licencié ou faire l'objet d'une mesure discriminatoire, directe ou indirecte}. Comparativement à la loi française, aux États-Unis d'Amérique, l'effet différencié\footnote{\textit{Disparate impact}} est une manière pratique de contrôler si une procédure crée un désavantage, une discrimination, contre une minorité~\cite{biddle2006adverse}. -Cet effet différencié est une quantité qui peut être calculée à partir du modèle d'IA ou de tout autre procédure qui réalise une sélection binaire comme l'admission dans une école, l'attribution de prêt ou encore l'embauche. -C'est tout simplement la proportion d'admis de la minorité discriminée divisé par la majorité favorisée. +Cet effet différencié est une quantité qui peut être calculée à partir du modèle d'IA ou de toute autre procédure qui réalise une sélection binaire comme l'admission dans une école, l'attribution de prêt ou encore l'embauche. +C'est tout simplement la proportion d'admis de la minorité discriminée divisée par la majorité favorisée. Nous en donnerons une définition plus formelle à la Section~\ref{sec:background-eq} C'est donc une quantité qui varie entre 0 et 1 où 0 indique que personne dans la minorité n'est sélectionné et 1 indique qu'autant de personnes de la majorité que de la minorité sont sélectionnées : c'est la parité. -Aux États-Unis, si l'effet différencié est inférieur à $0,8$ cela constitue une preuve, au regard de la loi qui fait jurisprudence, que le système de sélection fait preuve de discrimination. +Aux États-Unis, si l'effet différencié est inférieur à $0,8$ cela constitue une preuve, au regard de la loi qui fait jurisprudence (\textit{Common law}), que le système de sélection fait preuve de discrimination. En France nous n'avons pas de tel précédent ou de métrique précise à utiliser. \subsection{Protection des bases de données} @@ -90,12 +90,12 @@ On peut imaginer plusieurs cas où les attaques présentées dans ce manuscrit p Supposons que le producteur décide d'interdire \og l'extraction ou la réutilisation répétée et systématique de parties qualitativement ou quantitativement non substantielles du contenu de la base lorsque ces opérations excèdent manifestement les conditions d'utilisation normales de la base de données.\fg, comme le prévoit l'article L.342-2 du Code de la Propriété Intellectuelle. Nous sommes alors en droit de penser qu'une attaque de reconstruction représente l'extraction d'une partie de la base de données, en l'occurrence une colonne de la base de données. -De plus cette attaque excède les conditions d'utilisation car, dans ce cas, la condition d'utilisation normale est l'entraînement d'un modèle de machine learning. +De plus cette attaque excède les conditions d'utilisation car, dans ce cas, la condition d'utilisation normale est l'entraînement d'un modèle d'apprentissage automatique. Ici, la personne menant l'attaque porte atteinte aux droits du producteur de la base de données. Considérons maintenant que c'est le fournisseur d'une solution d'apprentissage automatique, exploitant la base de données, qui porte atteinte aux droits du producteur. On se place dans le cas où le producteur interdit \og la réutilisation, par la mise à la disposition du public de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu'en soit la forme.\fg, conformément à l'article L.342-1 alinéa 2 du Code de la Propriété Intellectuelle. -Dans le cas où le fournisseur de modèle permet à ses clients (le public) de mener à bien des attributs inférence attack, il met à disposition une partie de la base par sa négligence à utiliser une méthode d'apprentissage résistante à ce type d'attaque. +Dans le cas où le fournisseur de modèle permet à ses clients (le public) de mener à bien des attaques d'inférence d'attributs, il met à disposition une partie de la base par sa négligence à utiliser une méthode d'apprentissage résistante à ce type d'attaque. Notons que l'article L.343-4 du Code de la Propriété Intellectuelle dispose qu'\og est puni de trois ans d'emprisonnement et de 300 000 euros d'amende le fait de porter atteinte aux droits du producteur d'une base de données tels que définis à l'article L. 342-1.\fg @@ -114,8 +114,7 @@ De plus l'article L.151-4 alinéa 2 du Code de Commerce dispose que \og L'obtent Ces articles datent de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires. Il n'y a pas de jurisprudence pour confirmer mais on peut raisonnablement penser qu'une attaque sur un modèle d'IA peut être considérée comme déloyale et contraire aux usages en matière commerciale. -Mais d'un autre côté, l'article L.151-3 alinéa 2 du Code de Commerce dispose que \og Constituent des modes d'obtention licite d'un secret des affaires l'observation, l'étude, le démontage ou le test d'un produit ou d'un objet qui a été mis à la disposition du public ou qui est de façon licite en possession de la personne qui obtient l'information, sauf stipulation contractuelle interdisant ou limitant l'obtention du secret. \fg -On pourrait donc dire que l'attaque s'apparente à une observation ou une étude d'un produit qui a été mis à la disposition du public. +Mais d'un autre côté, l'article L.151-3 alinéa 2 du Code de Commerce dispose que \og Constituent des modes d'obtention licite d'un secret des affaires l'observation, l'étude, le démontage ou le test d'un produit ou d'un objet qui a été mis à la disposition du public ou qui est de façon licite en possession de la personne qui obtient l'information, sauf stipulation contractuelle interdisant ou limitant l'obtention du secret. \fg On pourrait donc dire que l'attaque s'apparente à une observation ou une étude d'un produit qui a été mis à la disposition du public. Il faut donc attendre une jurisprudence en la matière pour savoir si cette attaque représente une atteinte au secret des affaires. Quoi qu'il en soit, il est dans l'intérêt du producteur de la base de données de s'assurer que le fournisseur de solution IA sécurise convenablement ses modèles contre ce genre d'attaque. @@ -155,14 +154,14 @@ Dans ce manuscrit nous avons utilisé des bases de données États-Uniennes pour Bien que nos conclusions sur ces systèmes ne puissent pas s'appliquer dans l'Union Européenne étant donné qu'ils sont désormais interdits, notre analyse théorique reste valable et applicable à d'autres systèmes. Nous avons d'ailleurs évalué nos solutions sur d'autres modèles n'impliquant pas la justice prédictive. -La troisième approche consiste à classifier un certain nombre de pratiques comme des \textquote{systèmes d'IA à haut risques}. -Comme en dispose l'article 6, paragraphe 2 les systèmes à haut risques sont par exemple des systèmes qui concernent : +La troisième approche consiste à classifier un certain nombre de pratiques comme des \textquote{systèmes d'IA à hauts risques}. +Comme en dispose l'article 6, paragraphe 2 les systèmes à hauts risques sont par exemple des systèmes qui concernent : \begin{itemize} \item Emploi, gestion de la main-d'œuvre et accès à l'emploi indépendant (Annexe III, paragraphe 4) \item Accès et droit aux services privés essentiels et aux services publics et prestations sociales essentiels (Annexe III, paragraphe 5) \end{itemize} Ce sont deux points pour lesquels nous avons construit des systèmes d'IA à titre illustratif dans ce manuscrit à la Section~\ref{sec:aia}. -Cette classification d'IA à haut risque impose des règles plus restrictives pour le déploiement. +Cette classification d'IA à hauts risque impose des règles plus restrictives pour le déploiement. Par exemple l'article 9, paragraphe 1, dispose qu'un système de gestion des risques doit être établi. L'article 13, quant à lui, impose un certain niveau d'explicabilité du système. Enfin nous attirons l'attention du.de la lecteur.rice sur l'article 15 qui met l'accent sur la sécurité de tels systèmes, forçant les fournisseurs à contrôler par exemple que leur système ne contienne pas de porte dérobée. |