L' EDPB (European Data Protection Board ou Comité européen de la protection des données) a adopté un avis concernant l'utilisation des données à caractère personnel dans le développement et le déploiement de modèles d'intelligence artificielle (IA). La CNPD recommande vivement de prendre connaissance et de lire ce document.
Cet avis présente les premières orientations des autorités européennes de protection des données sur la conformité des traitements de données à caractère personnel dans le cadre du développement et du déploiement de systèmes d'IA.
Une premier cap est donné pour une application harmonisée de la réglementation sur la protection des données dans le contexte de traitements de données et de l'intelligence artificielle.
Cet avis examine plusieurs aspects cruciaux :
- quand et comment les modèles d’IA peuvent être considérés comme anonymes,
- si et comment l’intérêt légitime peut être utilisé comme base juridique pour développer ou utiliser des modèles d’IA, et
- ce qui se passe si un modèle d’IA est développé à l’aide de données à caractère personnel qui ont été traitées illégalement.
Il prend également en compte l'utilisation de données de première et de tierce partie.
Cet avis a été sollicité par l'autorité irlandaise de protection des données dans le but d'harmoniser la réglementation à l'échelle européenne. Pour recueillir des contributions, l’EDPB a organisé une manifestation des parties prenantes et a échangé avec le Bureau de l’UE pour l’IA.
Anu Talus, présidente de l'EDPB, a déclaré: «Les technologies de l’IA peuvent offrir de nombreuses possibilités et de nombreux avantages à différents secteurs et domaines de la vie. Nous devons nous assurer que ces innovations sont réalisées de manière éthique, sûre et d'une manière qui profite à tous. L’EDPB souhaite soutenir l’innovation responsable en matière d’IA en veillant à ce que les données à caractère personnel soient protégées et dans le plein respect du règlement général sur la protection des données (RGPD).»
Concernant l’anonymat, l’avis précise que chaque modèle d’IA doit être évalué au cas par cas par les autorités de protection des données (APD). Pour qu'un modèle soit considéré comme anonyme, il doit être très peu probable (1) d'identifier directement ou indirectement les personnes dont les données ont été utilisées, et (2) d'extraire ces données personnelles du modèle par le biais de requêtes. L’avis propose une liste non exhaustive de méthodes pour démontrer l’anonymat.
En ce qui concerne l’intérêt légitime, l’avis contient des considérations générales que les APD devraient prendre en considération lorsqu’elles évaluent si l’intérêt légitime constitue une base juridique appropriée pour le traitement des données à caractère personnel en vue du développement et du déploiement de modèles d’IA. Un test en trois étapes est proposé pour évaluer cette utilisation. L’EDPB donne des exemples concrets, comme les agents conversationnels et l’utilisation de l’IA pour améliorer la cybersécurité, qui peuvent s’appuyer sur l’intérêt légitime, à condition que le traitement soit strictement nécessaire et que les droits des individus soient respectés.
L’avis inclut également des critères pour aider les APD à déterminer si les personnes peuvent raisonnablement s’attendre à certaines utilisations de leurs données. Ces critères comprennent :
- la disponibilité publique des données,
- la nature de la relation entre la personne et le responsable du traitement,
- le contexte de la collecte des données, et
- la connaissance des personnes quant à la présence de leurs données en ligne.
Si l’évaluation montre que le traitement ne devrait pas avoir lieu en raison de son impact négatif sur les personnes, des mesures d’atténuation peuvent être mises en place. L’avis propose une liste d’exemples de telles mesures, qui peuvent être techniques ou visant à faciliter l’exercice des droits des individus et à accroître la transparence.
Enfin, si un modèle d’IA a été développé avec des données traitées illégalement, cela pourrait affecter la légalité de son déploiement, sauf si le modèle a été dûment anonymisé.
Compte tenu de la portée de la demande de l’autorité irlandaise de protection des données, de la grande diversité des modèles d’IA et de leur évolution rapide, l’avis vise à fournir des orientations sur divers éléments qui peuvent être utilisés pour mener une analyse au cas par cas.
En outre, l’EDPB élabore actuellement des lignes directrices couvrant des questions plus spécifiques, telles que le web scraping.