L’IA oblige : quelles dispositions du RGPD à respecter

La protection des données est à la croisée des très nombreuses applications de l’intelligence artificielle traitant des données à caractère personnel. Les technologies d’IA et notamment celles qui reposent sur l’apprentissage automatique étant par nature intrusives et maximisant le volume de données traitées, les organisations doivent veiller à ne pas porter atteinte aux droits et libertés des individus lors de la conception et l’utilisation de ces outils.

 

Le Règlement général sur la protection des données s’applique

Tout d’abord, les organisations doivent veiller à être transparentes quant à l'utilisation de l'IA et à fournir des informations claires et concises sur la manière dont les données à caractère personnel sont collectées, utilisées et traitées. Il s'agit notamment de fournir des informations sur les finalités pour lesquelles les données sont collectées, sur les types de données collectées et sur la base juridique de la collecte et du traitement des données.

La collecte et l’utilisation de données à caractère personnel ne doit pas se faire pour des finalités non légitimes. Les organisations doivent définir au stade de la conception les finalités pour lesquelles des données personnelles sont traitées et s’assurer de la conformité des traitements au Règlement général sur la protection des données (RGPD). Les données utilisées doivent être indispensables pour atteindre les objectifs.

Ensuite, pour chaque traitement de données envisagé il faut disposer d’une base légale, c’est-à-dire une justification prévue par la loi. Le RGPD prévoit six bases légales : le consentement, le respect d’une obligation légale, l’exécution d’un contrat, l’exécution d’une mission d’intérêt public, la sauvegarde des intérêts vitaux, la poursuite d’un intérêt légitime. Concrètement, la base légale est ce qui donne le droit à un organisme de traiter des données personnelles. Le choix de la base légale doit intervenir avant la mise en œuvre du traitement des données.

S’applique également le principe de minimisation des données : les données personnelles collectées et utilisées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de l’objectif défini. Les traitements en question ainsi que les types et les quantités de données personnelles traitées doivent être proportionnels par rapport à la réalisation des finalités et non seulement utiles.

Étant donné que l’utilisation de quantités importantes de données est au cœur du développement et de l’utilisation des systèmes d’IA, la minimisation peut poser des défis aux responsables de traitement.

La Commission Nationale de l'Informatique et des Libertés (CNIL, l’autorité de contrôle française) fait les recommandations suivantes en la matière (liste non-exhaustive) :

  • Évaluer de manière critique la nature et la quantité des données à utiliser ;
  • Vérifier les performances du système lorsqu’il est alimenté par de nouvelles données ;
  • Distinguer clairement les données utilisées lors des phases d’apprentissage et de production ;
  • Recourir à des mécanismes de pseudonymisation ou de filtrage/obfuscation des données ;
  • Établir et tenir à disposition une documentation concernant les modalités de constitution du jeu de données utilisé et de ses propriétés (source des données, échantillonnage des données, vérification de leur intégrité, opérations de nettoyage réalisées, etc.) ;
  • Réévaluer de manière régulière les risques pour les personnes concernées (vie privée, risque de discrimination/biais, etc.) ;
  • Veiller à la sécurité des données et notamment d’encadrer précisément les habilitations d’accès pour limiter les risques.
Source : CNIL, IA : comment être en conformité avec le RGPD ?, 05 avril 2022

 

Reste à définir la durée de conservation des données collectées. Les données personnelles ne peuvent être conservées indéfiniment. Le RGPD impose de définir une durée au bout de laquelle les données doivent être supprimées, ou dans certains cas, archivées. Cette durée de conservation doit être déterminée par le responsable de traitement en fonction de l’objectif ayant conduit à la collecte de ces données.

Une autre considération essentielle pour les organisations est la question de la prise de décision automatisée. L'article 22 du RGPD donne aux individus le droit (sauf exceptions prévues au paragraphe 2 dudit article) de ne pas être soumis à une décision basée uniquement sur un traitement automatisé, y compris le profilage. Cela signifie que les organisations doivent prendre en compte l'impact potentiel de leurs systèmes d'IA sur les individus et s'assurer qu'elles ne prennent pas de décisions qui les affectent de manière significative sans contrôle humain adéquat si les personnes concernées ne le souhaitent pas.

 

Quelles mesures à prendre ?

L’utilisation de l’intelligence artificielle pose donc des défis délicats aux responsables de traitement, qui doivent veiller à ce que les données à caractère personnel soient collectées, traitées et stockées conformément aux lois et réglementations applicables en matière de protection des données, notamment le RGPD.

Voici quelques recommandations pour minimiser le risque de non-conformité :

  • Adopter le principe « privacy by design » afin d’intégrer la protection des données à caractère personnel dès la conception du traitement supporté par technologies d’IA, notamment sur le plan de la gouvernance, de l’organisation et de la sécurité des données.
  • Mettre en œuvre des mesures de sécurité appropriées pour protéger les données à caractère personnel contre l'accès non autorisé, la divulgation ou l'utilisation abusive.
  • S’assurer de la mise en place d’une documentation adéquate permettant de démontrer les actions entreprises pour une mise en conformité, par exemple en constituant une base de données énumérant les annotations décrivant les données, et réaliser un travail de catégorisation, de nettoyage, de normalisation, etc.
  • Développer une politique de communication adaptée pour fournir aux personnes des informations transparentes, claires et compréhensible sur la manière dont leurs données à caractère personnel seront utilisées par le système d'IA, y compris leurs droits d'accès, de rectification, d'effacement ou de limitation du traitement de leurs données à caractère personnel.
  • Établir des procédures pour répondre aux demandes d'accès ou de rectification des données à caractère personnel, et pour traiter les réclamations ou autres questions liées à la protection des données.
  • Se prémunir des risques liés aux modèles d’IA comme les attaques par inférence d’appartenance, les attaques par exfiltration de modèle ou encore les attaques par inversion de modèle.
  • Encadrer l’amélioration en continu des algorithmes, par exemple par un processus de réapprentissage à des fréquences différentes.
  • Éviter les biais algorithmiques et encadrer la prise de décision automatisée, y inclue la possibilité d’une intervention humaine pour permettre à une personne concernée d’obtenir un réexamen du traitement de ses données, d'exprimer son point de vue, d'obtenir une explication sur la décision prise et de contester la décision.
  • Evaluer le système de façon régulière afin de vérifier la conformité continue au RGPD.
  • Considérer l’utilisation de données synthétiques, données générées artificiellement, plutôt que collectées auprès d'individus réels. Les données synthétiques ont les mêmes caractéristiques que les données réelles, mais ne contiennent aucune donnée personnelle identifiable.
Sources : Information Commissioner’s Office (ICO), Guidance on AI and Data Protection, 15 March 2023 / CNIL, IA : comment être en conformité avec le RGPD ?, 05 avril 2022

 

En conclusion, l'intelligence artificielle présente un potentiel immense pour façonner notre avenir, mais elle soulève également des préoccupations importantes en matière de protection des données personnelles. Alors que les technologies appuyées par l'IA continuent de se développer rapidement, il est crucial de trouver un équilibre entre les cas d’application et d’utilisation de l'intelligence artificielle, d'une part, et la nécessité de respecter les règles, les lignes directrices et les lois pour garantir aux individus le respect de leur vie privée, d'autre part.

Dernière mise à jour