L’accélération des nouveaux progrès technologiques de l’intelligence artificielle (IA) est en train de bouleverser le monde numérique et le monde réel de manière profonde ; chaque aspect de la vie professionnelle et de la vie de tous les jours en est touché, y compris les traitements des données à caractère personnel. Tantôt alliée précieuse, tantôt force redoutable, voici les opportunités et défis clés que représente l’IA en termes de protection des données personnelles.
L’IA au service des responsables du traitement
De par son impressionnante capacité d’analyse et de traitement de données, l’IA peut contribuer à renforcer la protection des données à caractère personnel en détectant et en atténuant les éventuelles atteintes à la sécurité et les cybermenaces. Les algorithmes d’IA peuvent traiter de grands volumes de données beaucoup plus rapidement et avec plus de précision que les opérateurs humains. S’appuyant sur des renseignements sur les menaces issues de millions d’études, blogs et articles de presse, les technologies d’IA sont capables d’identifier les menaces quasiment en temps réel et avec un très grand degré de précision. Cette efficacité peut permettre de réagir rapidement aux violations de données et d’améliorer la gestion globale des données.
L'intelligence artificielle joue également un rôle de plus en plus important dans la prévision des violations de données. Grâce à l'analyse avancée des données, les modèles peuvent identifier des indicateurs d'une faille de sécurité potentielle dans un système informatique. Les organisations peuvent ainsi prendre des mesures préventives pour renforcer leurs défenses et protéger leurs systèmes contre les cyberattaques.
Quant aux traitements de données eux-mêmes, l’IA peut renforcer la préservation de la vie privée des personnes concernées. Par le biais de la confidentialité différentielle, un ensemble de techniques mathématiques, une intelligence artificielle peut notamment réaliser des analyses de « big data » sans permettre la ré-identification des personnes. L’apprentissage fédéré est un autre outil IA permettant de limiter la concentration des données personnelles en un seul serveur, et de ce fait, limitant le risque de ré-identification. Il s’agit d’un algorithme entraîné sur des appareils décentralisés et utilisant les données locales pour apprendre. Contrairement à la grande majorité des algorithmes utilisant un serveur contenant toutes les données, l’apprentissage fédéré apprend sur les données locales de tous les participants et ne communique qu’aux participants les données de sortie. Ainsi, les données locales restent privées, car elles ne sont plus collectées ni stockées sur un serveur distant. Ces méthodes permettent ainsi l’analyse des données à travers plusieurs sources sans exposer ces dernières à plusieurs participants.
Enfin, les intelligences artificielles peuvent permettre aux responsables de traitement de mettre en place des processus automatisés pour vérifier et faciliter la conformité de leur organisation aux réglementations en matière de protection des données, telles que le règlement général sur la protection des données (RGPD). L’IA peut notamment automatiser l’anonymisation des données, la pseudonymisation et les processus de gestion du consentement, réduisant ainsi le risque d’erreur humaine et garantissant le respect des exigences légales.
Le revers de la médaille
Si l’intelligence artificielle peut présenter des avantages indéniables, par exemple sur le plan de la cybersécurité, sa mise en œuvre n’est toutefois pas sans risques. Comme toute nouvelle technologie, les systèmes utilisant de l’IA sont encore sujets à des défaillances, à des attaques, ou peuvent avoir des impacts encore insoupçonnés sur les individus et sur la société.
Le développement d’algorithmes intelligents nécessite l’utilisation d’un nombre important de données dont, souvent, une grande partie sont des données personnelles. L’usage de ces données est, en effet, inévitable en ce qu’elles permettent aux algorithmes de progresser, d’évoluer, d’apprendre. La mauvaise gestion ou l’abus de ces données – tels que des erreurs de sécurité, des accès non autorisés ou des fuites de données - sont enclins à entraîner une violation de la vie privée des personnes concernées.
S’y ajoute le manque de transparence de beaucoup de technologies intelligentes. Certains modèles d'IA, en particulier ceux basés sur l'apprentissage profond (« deep learning »), peuvent être difficiles à comprendre et à expliquer. Cela crée une lacune de transparence dans la façon dont les décisions prises sont décrites et expliqués et peut rendre difficile pour les individus de comprendre comment leurs données sont utilisées et traitées. Le manque d'explicabilité peut également rendre difficile aux personnes ayant subi un préjudice potentiel causé par des décisions automatisées de plaider leur cause, permettant au responsable de traitement d’esquiver sa responsabilité en matière de protection de données le cas échéant.
D’un point de vue juridique et éthique, les applications d’IA qui traitent des données personnelles soulèvent aussi des dilemmes. La détermination des bases juridiques appropriées pour le traitement des données à caractère personnel, l’obtention d’un consentement explicite et le traitement des données sensibles posent des défis pour les organisations. En outre, les considérations éthiques concernant la prise de décision et les atteintes potentielles à la vie privée doivent être soigneusement abordées.
A l’heure actuelle, l’intelligence artificielle est loin d’être infaillible et peut même introduire de nouvelles vulnérabilités au niveau de la sécurité d’un système informatique. En vue d’une utilisation accrue et systématisée d’algorithmes IA dans le quotidien du futur, il est essentiel de mettre en place des garanties et des réglementations adéquates pour encadrer les risques liés à la protection des données à caractère personnel, sans pour autant limiter les possibilités qu’offrent ces nouvelles technologies. L’Union européenne travaille activement à l’élaboration de règlements et de lignes directrices afin de relever ces défis et de protéger les droits des individus à l’ère numérique.