A propos de A. Feder Cooper et al., Machine Unlearning Doesn’t Do What You Think, arXiv :2412.06966vl [cs.LG] 9 décembre 2024 (https://arxiv.org/abs/2412.06966):

La notion de « machine unlearning » – ou désapprentissage machine – a gagné en visibilité ces dernières années. Initialement liée au droit à l’oubli prévu par le Règlement général sur la protection des données (RGPD) européen, elle s’est imposée comme un champ de recherche technique, mais aussi comme une promesse politique : la possibilité de faire disparaître certaines informations des modèles d’intelligence artificielle.

Avec l’essor des systèmes génératifs, l’idée a pris une nouvelle ampleur : on attribue parfois au désapprentissage machine la capacité d’effacer des données personnelles, d’éliminer des contenus soumis au droit d’auteur ou encore de neutraliser des usages dangereux. Les auteurs souhaitent examiner ces espoirs à la lumière de ce que permettent réellement les méthodes disponibles, en identifiant les décalages entre ambitions juridiques et possibilités techniques.

Le texte commence par rappeler les spécificités techniques. Contrairement à une base de données, dont on peut effacer une entrée, un modèle entraîné encode l’information sous forme de motifs statistiques répartis dans ses paramètres. Supprimer un élément précis n’est donc pas une opération simple. En pratique, deux grandes familles d’approches existent. La première consiste à retravailler l’ensemble du modèle sur des données expurgées de l’élément litigieux, ce qui est coûteux et approximatif. La seconde vise à instaurer des mécanismes de suppression des sorties générées, qui bloquent ou filtrent des contenus considérés comme problématiques. Ces méthodes n’équivalent pas à un oubli réel mais permettent d’empêcher, plus ou moins efficacement, certaines productions. Déjà à ce stade, une tension apparaît : le désapprentissage n’est pas une gomme parfaite, mais plutôt une série d’outils imparfaits et fragmentaires.

Les auteurs proposent ensuite une typologie des cibles de l’unlearning. On distingue les données observées, c’est-à-dire des exemples précis présents dans le corpus d’entraînement ; les informations latentes, déduites indirectement par le modèle à partir de corrélations ; et les concepts de plus haut niveau, qui relèvent de généralisations abstraites. Cette distinction est essentielle car les techniques disponibles n’agissent pas de la même manière sur chacune de ces strates. On peut espérer retirer une donnée brute identifiable, comme une photographie ou un article scientifique donné. Mais il est bien plus difficile d’empêcher un modèle de produire une conclusion similaire à partir d’indices voisins, ou de « désapprendre » une idée générale qu’il a intériorisée à travers des milliers d’exemples.

En articulant cibles et méthodes, les auteurs mettent en évidence quatre grands décalages entre attentes politiques et possibilités réelles. D’abord, il existe une confusion entre suppression de données et suppression de comportements : retirer un élément de l’entraînement ne garantit pas que le modèle cessera d’adopter des conduites similaires. Ensuite, définir ce qui doit être supprimé est en soi problématique : une œuvre protégée ou une information sensible peut être déclinée en multiples variantes, et tracer une frontière claire s’avère souvent impossible. Troisième difficulté : les modèles ne se confondent pas avec leurs sorties. On évalue souvent l’efficacité d’une méthode en testant si un contenu n’apparaît plus, mais ce résultat dépend du contexte de génération et n’atteste pas que l’information a été véritablement oubliée. Enfin, il faut distinguer le comportement du modèle de l’usage qui en est fait. Même si l’on parvient à limiter certains contenus, rien ne garantit que des utilisateurs n’exploiteront pas des résultats anodins pour des finalités dangereuses.

Sur cette base, l’article explore trois champs juridiques où le désapprentissage est parfois invoqué comme solution. Le premier est la protection de la vie privée. Le RGPD prévoit un droit à l’effacement, qui a inspiré les recherches en unlearning. Mais la correspondance n’est pas parfaite. Certaines décisions de la Cour de justice de l’Union européenne montrent que le masquage ou la restriction de l’accès peuvent suffire, sans suppression définitive. De plus, même après retrait, un modèle peut produire des inférences sur une personne à partir d’autres données, ce qui limite la portée effective d’un tel droit. Les auteurs concluent que le désapprentissage peut contribuer à une démarche de conformité, mais qu’il ne saurait être présenté comme un mécanisme exhaustif de respect du droit à l’oubli.

Le deuxième domaine abordé est le droit d’auteur. La question se pose tant pour les données d’entraînement que pour les résultats générés. Si un modèle reproduit une œuvre de manière substantiellement similaire, il est tentant de vouloir recourir à des techniques d’unlearning pour empêcher cette reproduction. Or, les méthodes disponibles peinent à déterminer automatiquement ce qui constitue une similarité juridiquement pertinente. Une couleur ou un motif peuvent être acceptables dans un contexte et litigieux dans un autre. De plus, pour filtrer efficacement une œuvre protégée comme « Spiderman », le système doit en connaître les caractéristiques, ce qui suppose paradoxalement d’avoir conservé des éléments de cette œuvre. Le risque est aussi d’être trop large : retirer des données pourrait empêcher des usages transformatifs qui relèvent du fair use ou des exceptions comparables. Les auteurs mettent donc en garde contre une assimilation hâtive du désapprentissage à un remède automatique en cas d’atteinte au droit d’auteur.

Enfin, l’article examine la question de la sécurité. Les politiques publiques, qu’il s’agisse d’initiatives européennes, américaines ou internationales, insistent sur le caractère « dual use » des systèmes génératifs : ils peuvent servir à la recherche médicale comme à la conception d’armes biologiques. Certains ont proposé le désapprentissage pour supprimer des savoirs sensibles, par exemple en biologie de synthèse. Mais délimiter ce qui doit être supprimé s’avère particulièrement ardu, car ces domaines sont vastes et interconnectés. De plus, même si l’on parvient à limiter certains contenus, rien n’empêche que des résultats apparemment inoffensifs soient exploités pour des usages dangereux. Le désapprentissage peut réduire certains risques mais ne saurait constituer une garantie de sécurité.

Dans leur conclusion, les auteurs insistent sur l’idée que le désapprentissage ne fait pas ce que certains voudraient lui attribuer. Il ne constitue ni une gomme magique, ni une solution générale aux problèmes juridiques et éthiques des systèmes génératifs. Au mieux, il représente un outil parmi d’autres, utile dans des cas ciblés, mais insuffisant pour répondre seul à des objectifs de politique publique. Ils invitent les chercheurs à poursuivre les travaux en clarifiant les limites et en explorant des approches complémentaires. Quant aux décideurs, ils devraient ajuster leurs attentes et définir des normes réalistes de « meilleurs efforts », plutôt que d’exiger de l’unlearning ce qu’il ne pourra jamais offrir.

L’article propose ainsi un double apport. Sur le plan technique, il rappelle la nature distribuée de l’information dans les modèles et la difficulté d’en extirper des éléments précis. Sur le plan juridique et politique, il éclaire les écarts entre les promesses attribuées au désapprentissage et ses capacités réelles. Il s’agit moins de rejeter cette recherche que de la replacer à sa juste place : une contribution partielle dans une boîte à outils plus large, qui devra combiner des solutions techniques, réglementaires et organisationnelles. Pour les praticiens du droit, la leçon essentielle est la prudence : ni en matière de vie privée, ni en droit d’auteur, ni en sécurité, on ne peut se reposer sur le désapprentissage comme sur une garantie. C’est dans la combinaison d’instruments et dans une appréciation contextualisée que résidera une conformité effective.

Me Philippe Ehrenström, avocat, LLM, CAS en Droit et Intelligence Artificielle