DUNE

Mon espace

DUNE

Comment garantir la conformité RGPD lors de l’utilisation de l’intelligence artificielle ?

Article d’origine publié le 27 octobre 2023 et mis à jour le 4 juillet 2024 à la suite de la publication le 8 avril 2024 des recommandations de la CNIL sur le développement des systèmes d’intelligence artificielle. Même si l’intelligence artificielle (IA) n’est pas encore personnifiée sous les traits d’une petite fille et aussi développée que dans le film The Creator, l’IA se développe aujourd’hui très rapidement, notamment dans le cadre des intelligences artificielles dites génératives. Les IA génératives sont des IA permettant de créer des textes, images ou autres contenus à partir des instructions que son utilisateur lui donne. Le développement et l’entraînement des algorithmes de ces IA supposent l’utilisation de nombreuses données et notamment des données personnelles dont le Règlement Général sur la Protection des Données (RGPD) encadre strictement le traitement afin de protéger la vie privée des personnes physiques. La protection des données et la conformité au RGPD est un enjeu crucial en cas de recours à l’IA. Dune vous dévoile quelques clés pour concilier le développement et/ou l’utilisation d’une IA avec le RGPD. Sommaire de l’article :
  1. Pourquoi l’IA pose-t-elle un défi pour le RGPD ?
  2. Respecter les principes essentiels du RGPD avec l’IA
  3. Mettre en place des bonnes pratiques pour une utilisation conforme de l’IA au RGPD

Pourquoi l’IA pose-t-elle un défi pour le RGPD ?

La création d’une IA suppose principalement trois phases différentes :
  1. la phase de conception de l’IA, c’est-à-dire la définition des besoins auxquels l’IA pourrait permettre de répondre et la constitution de la base de données nécessaires à l’IA ;
  2. la phase d’entrainement de l’IA, qui s’entraîne ainsi sur les données collectées ;
  3. la phase de déploiement de l’IA, c’est-à-dire le moment où le produit ou le service d’une entreprise intégrant l’IA est prêt à être mis à disposition d’utilisateurs. Dans ce cas, il est possible de collecter les données communiquées à l’IA dans le cadre de sa maintenance ou de son amélioration.
Chaque phase de création d’une IA peut impliquer un traitement de données personnelles et être soumis au RGPD. L’analyse se fait au cas par cas et n’est pas toujours aisée puisqu’il n’est pas toujours possible de terminer la finalité du traitement lors de la conception. Les enjeux sont nombreux pour la protection des données et des personnes concernées :
  • la mise en place d’une IA peut permettre de prendre des décisions automatisées (c’est-à-dire sans intervention humaine) concernant une personne ;
  • les IA peuvent avoir des biais c’est-à-dire des résultats qui ne soient pas neutres, loyaux ou équitables et qui entrainent ainsi des risques de discrimination ;
  • la sécurité de l’IA est essentielle pour limiter les risques de violation de données.
Ainsi, par exemple, l’IA peut être utilisée pour établir le profil d’une personne en fonction de ses recherches puis pour lui proposer automatiquement des contenus « adaptés » à son profil. Ce profilage d’utilisateurs, alors non réalisé par une IA, a déjà donné lieu à des condamnations : le danger n’en sera que plus grand si une IA est à la manœuvre.

Respecter les principes essentiels du RGPD avec l’IA

L’ensemble des règles du RGPD s’applique aux IA dès lors que des données personnelles sont présentes dans les bases de données utilisées pour les développer. Si c’est le cas et que vous souhaitez développer ou utiliser une IA, vous devez vous assurer que vous respectez les principes essentiels du RGPD, notamment les principes de :

Détermination des finalités

La finalité du traitement des données personnelles dans l’IA doit être clairement définie lors de la phase de développement de l’IA ainsi que dans sa phase de déploiement. La finalité doit être déterminée, explicite et légitime. Par exemple, l’IA pourrait être un modèle de reconnaissance vocale permettant d’identifier un locuteur, sa langue ou encore son genre. La finalité peut alors être déduite de l’usage opérationnel de l’IA ou de ses objectifs ;

Définition d’une base légale

Pour être licite, le traitement de données mis en œuvre par l’IA doit reposer sur une base légale, comme le consentement des personnes concernées, l’intérêt légitime de votre entreprise, la mission d’intérêt public, l’existence d’un contrat. Par exemple, si vous souhaitez utiliser les images de participants à un évènement pour développer une IA capable de détecter des poses ou émotions, le consentement des participants devra être recueilli ;

Minimisation des données

Même s’il est possible de constituer et d’utiliser de larges bases de données personnelles dans une IA, seules les données personnelles utiles à l’entraînement et au fonctionnement de l’IA doivent être utilisées. Par exemple, vous pouvez décider de réutiliser des données publiquement accessibles (comme l’open data) pour entraîner votre IA : vous devez dans ce cas procéder à un nettoyage de cette base de données pour conserver uniquement les données utiles aux objectifs de votre IA ;

Conservation limitée des données

Si la CNIL considère qu’une durée de conservation prolongée peut être justifiée selon les cas d’usage de l’IA, vous ne pouvez pas les conserver indéfiniment et une durée justifiée doit être définie. Vous devez notamment définir une durée de conservation des données dans la phase de développement et d’entrainement de l’IA mais également pour son amélioration ou sa maintenance ;

Transparence des données

Si, par exemple, vous souhaitez réutiliser les données de vos clients pour entraîner une IA, vous devez informer ces personnes de l’utilisation de leurs données dans ce cadre et leur permettre d’exercer leurs droits ;

Mise en place de mesures de sécurité

En utilisant des IA, vous devez assurer la sécurité des données pour assurer leur confidentialité et intégrité. Ces mesures doivent être adaptées en vue de sécuriser les techniques de collecte des données utilisées, de protéger les données collectées, le système d’information utilisé pour le développement de l’IA et le matériel informatique associé à l’IA. En complément du respect des grands principes du RGPD, ses autres obligations s’appliquent, et notamment :
  • déterminer la qualification juridique des acteurs intervenant dans la création de l’IA au moyen d’une analyse au cas par cas : responsable du traitement, responsable conjoint ou sous-traitant ;
  • vérifier, si applicable, les conditions dans lesquelles vous allez réutiliser une base de données personnelles existante, étant rappelé qu’une telle réutilisation doit se faire de manière conforme au RGPD ;
  • réaliser, lorsque les conditions sont réunies au regard de l’article 35 du RGPD et des neuf critères identifiés dans les lignes directrices aidant à déterminer si un traitement est susceptible d’engendrer un risque élevé, une analyse d’impact sur la vie privée (AIPD) pour s’assurer que les solutions d’IA à développer ou à utiliser respectent le RGPD car l’IA peut présenter des risques spécifiques pour les personnes concernées (par exemple, la discrimination ou la prise d’une décision automatisée causée par un biais) et afin de limiter ces risques ;
Mettre en place la protection des données dès la conception et par défaut. Cela signifie que dès la conception d’une IA, ainsi que lors des phases de collecte et de gestion des données, les principes de protection des données doivent être respectés selon le RGPD. Les mesures les plus protectrices doivent être appliquées par défaut. La CNIL rappelle dans ses fiches pratiques du 8 avril 2024 que lors de la réutilisation de données publiquement accessibles, il est essentiel de minimiser la collecte en se limitant aux données librement accessibles. Il faut définir à l’avance des critères précis de collecte et s’assurer de ne collecter que des données pertinentes, tout en supprimant immédiatement les données non nécessaires. Si la collecte porte sur des données personnelles, il est indispensable d’informer les personnes concernées, de déterminer une base légale et de mettre en œuvre le droit d’opposition.

Mettre en place des bonnes pratiques pour une utilisation conforme de l’IA au RGPD

Quelques bonnes pratiques peuvent facilement être mises en place pour utiliser l’IA de façon conforme au RGPD, telles que :
  • La tenue d’une documentation pour démontrer la conformité au RGPD. Par exemple , la CNIL fournit un modèle pour le fournisseur d’IA utilisant des sources multiples de données ou constituant plusieurs bases de données.
  • La sensibilisation et la formation au RGPD et aux enjeux de protection de la vie privée des équipes développant ou utilisant une IA. Cette sensibilisation peut, par exemple, porter :
    • dans le cas de la conception d’une IA, sur le choix des données à collecter, leur nature (par exemple concernant les données sensibles) ainsi que leur représentativité, pour éviter les biais discriminatoires ou, dans le cas d’algorithmes de profilage, pour éviter les phénomènes de « bulle de filtre » c’est-à-dire la proposition de contenus à un utilisateur qui correspond uniquement à ses goûts ou fortement similaire aux contenus consultés par l’utilisateur ;
    • dans le cas d’une utilisation de l’IA, pour apprendre à utiliser efficacement l’IA pour éviter les discriminations ;
  • La mise en œuvre d’audits réguliers de l’IA pour s’assurer que celle-ci demeure conforme au RGPD ou que les éventuelles mesures de correction identifiées dans l’analyse d’impact relative à la vie privée sont intégrées.
Pour vous aider à assurer la conformité au RGPD avec l’IA, la CNIL a publié de nombreuses ressources sur son site internet, et notamment un guide d’auto-évaluation pour déterminer si la protection des données a été prise en compte lors de l’utilisation d’une IA. Plus récemment, la CNIL a récemment publié le 8 avril 2024 des fiches pratiques portant sur la phase de développement de systèmes d’IA, comprenant toutes les étapes préalables au déploiement du système d’IA : la conception du système, la constitution de la base de données et l’apprentissage. Pour édicter ses recommandations, la CNIL a pris en considération le futur règlement européen sur l’intelligence artificielle et rappelle que si des données personnelles sont utilisées pour le développement d’une IA, le RGPD et le règlement sur l’IA s’appliquent. La CNIL indique que d’autres fiches sont à venir pour expliquer comment concevoir et entraîner des modèles conformément au RGPD, notamment sur la récupération de données librement accessibles sur l’internet, sur le choix de l’intérêt légitime comme base légale, etc. En résumé, les IA se développent très rapidement et soulèvent de nombreuses questions. Il est indispensable qu’elles soient utilisées conformément au RGPD afin de limiter les risques pour la vie privée des personnes concernées et de sanctions financières. Il est essentiel de rester informé sur ce sujet, la réglementation étant en constante évolution. Vous avez un projet de développement d’une IA ou de l’utilisation d’une IA existante et vous souhaitez vous assurer que ce projet est conforme au RGPD ? Contactez-nous !

Découvrez toute l'actualité juridique

Droit dereferencement
En savoir plus
points essentiels avant de signer un bail commercial
En savoir plus
droit des marques
En savoir plus
Cadeaux salaries fiscalite
En savoir plus
Asset Deal
"Asset deal" ou "Share deal"
06 décembre, 2022
En savoir plus
dune accompagnement
En savoir plus
droit des marques
En savoir plus
dune accompagnement
En savoir plus
Bourse
En savoir plus
Données
En savoir plus

Abonnez-vous à notre newsletter

Recevez tous les mois l’actualité juridique commentée par notre équipe et les incontournables à ne pas rater.

En soumettant ce formulaire, vous acceptez que vos données personnelles soient traitées conformément à la Politique de confidentialité.