Community
L’intégration de système d’intelligence artificielle (IA) est tendance actuellement en entreprise, mais l’enjeu est peut-être même crucial dans certains secteurs d’activité pour améliorer les performances et rester compétitif.
Ces systèmes sont régulés par le tout nouveau Règlement sur l’Intelligence Artificielle, ou IA Act du 12 juillet 2024. La subtilité est qu’à ce RIA, se superpose d’autres normes, et notamment celles relatives à la protection des données personnelles. Ainsi, il ne suffit pas d’appliquer le RIA à son système d’IA pour être conforme aux réglementations.
Dans cet article, Zoé Durand, Consultante Senior RGPD, nous explique les dix commandements à suivre pour une utilisation responsable et éthique de l'IA, dans un cadre protecteur de la vie privée.
Le RGPD ne s’applique pas systématiquement à tous les systèmes d’IA. Avant de déployer une solution d'IA, déterminez si l'utilisation envisagée implique le traitement de données personnelles, et donc, relève du RGPD. Un rappel s’impose : une donnée personnelle est une donnée qui permet d’identifier directement ou indirectement une personne physique, qu’elle soit dans un contexte professionnel ou privé.
Une donnée est personnelle même si vous ne pouvez pas identifier vous-même la personne. Ce concept est absolu : il faut qu’aucune personne dans le monde ne soit susceptible de réidentifier la personne concernée avec les données visées. Également, le caractère indirect vise une identification qui serait possible grâce à non pas une, mais plusieurs données. Les types de données personnelles peuvent être nombreux : nom, prénom, plaque d’immatriculation, intitulé de poste, coefficient, revenus, couleur des yeux, gabarit biométrique, historique de navigation etc.
Alors, votre système fait-il appel à ce type de données ? Si oui, passons à l’étape 2
Le RGPD exige que toute utilisation de données personnelles repose sur une base légale claire : le consentement explicite, l'exécution d’un contrat, l’intérêt légitime, l’obligation légale ou la protection des intérêts vitaux. Pour faire simple, c’est la garantie qui vous autorise à traiter les données. Par exemple, un employeur paiera ses salariés à la fin du mois car ils ont signé un contrat de travail. En termes RGPD, le responsable de traitement (= l’employeur) traitera (= collecte, utilisation, partage) les données personnelles (= RIB, montant du salaire, pourcentage d’imposition etc) dans le but de payer ses salariés (= la finalité) sur la base de l’exécution d’un contrat (= le contrat de travail).
Pour l’IA, le consentement explicite est souvent recommandé, surtout pour des traitements sensibles comme le profilage ou la prédiction de comportements.
L'un des principes fondamentaux du RGPD est la minimisation des données : ne collectez que les informations strictement nécessaires pour atteindre vos objectifs. Ce point est un des grands enjeux de l’Intelligence Artificielle, puisqu’elle sera entrainée plus finement avec un gros volume de données. Certains estiment que ces deux enjeux entrent en contradiction. Il faut donc préciser qu’un très grand volume de données peut toutefois respecter le principe de minimisation.
Par exemple, pour entrainer un système d’IA intégrer à des voitures autonomes, il serait pertinent de récolter les comportements d’utilisateurs, mais la couleur de leurs cheveux, ou leur orientation sexuelle ne seraient pas des données pertinentes.
Il est impératif d’évaluer les risques de son système d’IA. Pour ce faire, il convient de prendre en compte la typologie de données utilisées, l’objectif du système d’IA ou encore le secteur d’activité. Ensuite, il faut classifier ses systèmes suivant 4 niveaux :
- Inacceptable
- Haut risque
- Risque faible
- Risque minime
Côté RGPD, une Analyse d’Impact de Protection des données (AIPD ou DPIA en anglais) est requise pour tout traitement susceptible de présenter un risque élevé pour les droits et libertés des personnes. En ce sens, une AIPD sera systématiquement requise pour les systèmes d’IA à haut risque, faisant appel à des données personnelles.
L’AIPD est une évaluation des risques présentés par les traitements de données à l’égard de la vie privée des personnes concernées. Elle vise tout particulièrement à établir des mesures compensatoires ayant pour effet de faire baisser les niveaux de risques. À noter que cette analyse doit être présentée à la CNIL en cas de risques résiduels trop importants.
Le RGPD impose un principe transverse, celui de la responsabilité (ou de l’accountability). Ce principe indique que les responsables de traitement (dans le cadre de l’IA, les déployeurs) sont responsables de leur conformité et doivent pouvoir le démontrer à tout moment.
Il est donc impératif de dresser un registre des traitements de données dans lesquels vous indiquerez les traitements de données réalisés par votre système d’IA, et toutes les informations impératives au titre de l’article 30, notamment la typologie de données, les destinataires ou encore la base légale vue précédemment.
Dans la même idée, et notamment celle de maitriser ses données, le RIA recommande une cartographie des systèmes d’IA suivant les niveaux de risque vu précédemment. Cela permet de démontrer la prise en compte des enjeux et l’approche par les risques des systèmes.
Il vous faudra donc classifier votre système d’IA et développer la cartographie en amont de la mise en œuvre des traitements de données.
Le RGPD impose aux entreprises de fournir des informations claires et accessibles aux personnes concernées, conformément à son article 13. En parallèle, le RIA prévoit également de la documentation obligatoire suivant les cas de figure.
- Inacceptable : utilisation interdite
- Haut risque : nécessite un marquage CE, un enregistrement dans une base de données européenne et une documentation obligatoire
- Risque faible : obligation d’information
- Risque minime : aucune formalité spécifique
Il faudra donc veiller à réaliser la documentation obligatoire, et penser également à son lieu de mise à disposition, sa fréquence de mise à jour, les responsabilités de chacun et autres.
Les personnes concernées ont la possibilité d’effectuer plusieurs types de droit au -sens du RGPD :
- Droit d’accès : le droit d’obtenir copie de ses données avec un certain nombre d’informations relatives à leur traitement (destinataires, durées de conservation etc)
- Droit de rectification : le droit d’obtenir la rectification de ses données
- Droit d’opposition : le fait de demander à ce que les données ne soient plus traitées pour une finalité visée. A le même effet le droit de retirer son consentement lorsque celui est récolté.
- Droit d’effacement : également appelé droit à l’oubli, la personne concernée peut demander l’effacement complet de ses informations dans certains cas, et notamment quand « l’autorisation » de traitement est le consentement
- Droit à la limitation : c’est le fait de demander de mettre en pause un traitement le temps de faire valoir d’autres droits, la rectification par exemple
- Droit à la portabilité : ce droit a pour objet de fournir ses données à la personne dans un format exploitable par un autre fournisseur de services concurrents (ou de fournir directement les informations au concurrent), à l’instar de la portabilité du numéro de téléphone portable
Une personne peut alors demander l’effacement de ses données présentes dans un système d’IA. Dans ce cas, vous avez 30 jours pour faire suite à sa demande. Dans le cas contraire, la personne pourra déposer plainte auprès de la CNIL
Le RGPD impose que les données personnelles ne soient conservées que le temps nécessaire à leur traitement. Dans le cadre de l’IA, il est courant de conserver des données pour optimiser les modèles, mais cela ne doit pas compromettre le principe de limitation de la conservation.
Ce principe est tout particulièrement difficile à intégrer dans le cadre des systèmes d’IA où la valeur dépend de l’exploitation de la data. Ainsi, il faudra déterminer de bonne foi les durées pendant lesquelles les données personnelles pourront être exploitées.
Une solution est d’anonymiser les données pour ne conserver que les résultats. Le traitement de données anonymes n’a pas à respecter les principes du RGPD, puisqu’elles ne sont pas identifiantes. De ce fait, vous pourrez conserver ces données anonymes sans limitation de durée.
L’IA peut traiter des volumes massifs de données, et les cyberattaques représentent un risque majeur, notamment pour les systèmes à haut risque (biométrie, profilage etc). Le RGPD exige la mise en place de mesures techniques et organisationnelles pour garantir la sécurité des données. En pratique, cela peut inclure la cryptographie, la pseudonymisation (cela a pour but de rendre plus difficile l’identification de la personne concernée), des contrôles d'accès stricts, des tests d’intrusion réguliers, la formation du personnel, ou des audits par exemple. Le but est d’éviter une violation de données, c’est-à-dire une divulgation non autorisée, une perte de la donnée, ou son altération. Le vrai enjeu des systèmes d’IA est tout particulièrement la divulgation non autorisée, c’est-à-dire la fuite de données. Pour rappel, elle peut être d’origine malveillante mais également accidentelle.
Conclusion
En adoptant ces dix commandements, les entreprises peuvent exploiter la puissance de l'IA tout en respectant les droits des individus et en se conformant aux obligations du RGPD. À l'heure où la réglementation devient de plus en plus stricte et que les autorités de protection des données renforcent leurs contrôles, ces principes constituent une boussole pour une utilisation éthique et responsable de l’IA, libre à chacun d’en faire un outil et non une contrainte.
Consultante Senior RGPD
Je suis Zoé Durand et après six années au sein de cabinets spécialisés, je décide début 2024 de me lancer dans ma propre aventure grâce à la confiance de mes clients. J’adresse tout type d’entités : publiques/privées/associatives, du grand groupe à la startup, tout secteur confondu avec une spécialisation toute particulière en banque et finances, santé, ecommerce et sport. Je donne également des cours à L’Université Lumière Julie Daubié, Lyon II en Droit de la conformité auprès des Master 2 Droit des contrats – Droit des évènements sportifs et culturels.
J'ai créé le cabinet Lycoris Conseil, c’est une structure à taille humaine qui a vocation à accompagner ses clients à se mettre en conformité sur les sujets de vie privée et d’intelligence artificielle. Nous accompagnons nos clients en qualité de Délégué à la Protection des données, nous réalisons des mises en conformité de site internet, des conseils pour tout nouveau projet, des sensibilisations sur-mesure, ou encore la rédaction de livrables.
