En les interrogeant avec quelques données associées à un individu, les algorithmes de type « forêt aléatoire » pourraient révéler toutes les informations manquantes à son sujet, de la même façon qu'on remplit la grille d’un Sudoku. (Image générée par DALL-E-3 et Photoshop)
 

Des algorithmes d’intelligence artificielle (IA) entraînés sur des données personnelles anonymisées prennent leur place dans une panoplie de secteurs pour améliorer et accélérer la prise de décisions. Une équipe de Polytechnique Montréal soulève toutefois un drapeau rouge pour certains d’entre eux dans une étude qui vient de paraître : les algorithmes de type « forêt aléatoire » pourraient facilement dévoiler les données utilisées pour les entraîner. Un travail qui remet non seulement en question l’utilisation que l’on fait de ces algorithmes… mais aussi du recours aux données anonymisées.

Tout le monde s’est déjà frotté les méninges à une grille de Sudoku. Avec quelques informations de départ, on déduit l’endroit où ajouter chacun des chiffres manquants. Parfois on se trompe, mais le défi reste divertissant.

Imaginez maintenant que l’on remplace les chiffres par vos informations personnelles. Avec seulement votre taille, une adresse et votre année de naissance pour informations, on pourrait par exemple récupérer l’ensemble de vos données médicales ou obtenir votre statut de crédit. Sans doute trouveriez-vous le jeu moins amusant.

N’empêche, ce scénario pourrait bien s’avérer dans un futur pas si lointain.

Des algorithmes faillibles

Voilà ce qu’avance une équipe de Polytechnique Montréal dirigée par Thibaut Vidal, professeur agrégé au Département de mathématiques et de génie industriel, dans une étude présentée en juillet dernier à la 41^e International Conference on Machine Learning à Vienne, en Autriche - l'une des plus réputées en apprentissage machine sur la planète, où seulement 160 des 10 000 articles soumis sont sélectionnés pour une présentation orale. Le groupe de recherche soulève dans son article des questions sur la confidentialité des données utilisées pour entraîner certains modèles d'intelligence artificielle (IA).

Le travail mené par Julien Ferry, Ricardo Fukasawa, Timothée Pascal et le professeur Vidal - tous associés à la Chaire SCALE-AI de Polytechnique Montréal - démontre qu’un type précis d’algorithme utilisé en intelligence artificielle s’avère problématique : celui des forêts aléatoires ou random forest en anglais. On utilise ces algorithmes pour réaliser différentes fonctions, notamment le tri des courriels afin d’éliminer les pourriels, ou pour effectuer du ciblage publicitaire sur les réseaux sociaux. On s’en sert également en diagnostic médical ou pour analyser le crédit d’un individu parmi plusieurs autres fonctions.

Et c’est surtout pour des utilisations comme celle-là que le bât pourrait blesser.

« Les modèles d'apprentissage automatique comme les forêts aléatoires sont des outils puissants qui peuvent extraire des corrélations et des informations à partir de grandes quantités de données sans pour autant stocker les noms et les attributs spécifiques d’une personne, explique le professeur Vidal. L’outil y va par associations, et comme beaucoup des profils utilisés pour l’entraînement sont quasiment uniques, l’algorithme encode intrinsèquement une grande partie des données d'entraînement dans sa structure comme on le démontre dans l’étude. »

Utilisons un exemple pour bien comprendre. Votre voisin a accepté que ses données médicales soient utilisées pour entraîner l’outil de diagnostic d’un centre hospitalier. Un esprit malveillant a de son côté certaines informations le concernant : sa taille, son âge et le code postal de sa résidence. En utilisant ces données ainsi que le modèle entraîné par le centre hospitalier, la personne pourrait hypothétiquement obtenir une partie des informations concernant votre voisin, et ce, même si les données utilisées pour l’entraînement étaient anonymisées.

Un dilemme en vue

Toute l’histoire ne serait pas alarmante si l’accès aux modèles entraînés était protégé. Or, les techniques de protection existantes sont loin d’être adoptées par l’ensemble des secteurs en raison de leur difficulté d’application ou du coût résultant en termes de performances prédictives, selon le professeur Vidal. De nombreux modèles sont même dévoilés directement ou indirectement pour des raisons de transparence ou d’audit. L’article 13 de l’AI Act européen impose par exemple de telles contraintes de transparence pour les systèmes d’intelligence artificielle dits « à haut risque », tels que les dispositifs médicaux ou les logiciels de recrutement. « Cela présente un véritable enjeu », explique le professeur Vidal. « D'une part, il est souvent nécessaire de divulguer ces modèles, mais d’autre part, la confidentialité et la sécurité des données personnelles constituent des exigences légales. »

Selon lui, il est impératif que les entreprises et les chercheurs prennent des mesures pour assurer la protection des données tout au long du développement et de l'utilisation des modèles d'apprentissage. « Cela inclut l'adoption de pratiques éthiques de collecte de données, l'utilisation de techniques de protection des données telles que la confidentialité différentielle, et la sensibilisation des utilisateurs à l'importance de la confidentialité des données », précise-t-il.