Article d’origine publié le 27 octobre 2023 et mis à jour le 4 juillet 2024 à la suite de la publication le 8 avril 2024 des recommandations de la CNIL sur le développement des systèmes d’intelligence artificielle.
Même si l’intelligence artificielle (IA) n’est pas encore personnifiée sous les traits d’une petite fille et aussi développée que dans le film The Creator, l’IA se développe aujourd’hui très rapidement, notamment dans le cadre des intelligences artificielles dites génératives.
Les IA génératives sont des IA permettant de créer des textes, images ou autres contenus à partir des instructions que son utilisateur lui donne.
Le développement et l’entraînement des algorithmes de ces IA supposent l’utilisation de nombreuses données et notamment des données personnelles dont le Règlement Général sur la Protection des Données (RGPD) encadre strictement le traitement afin de protéger la vie privée des personnes physiques.
La protection des données et la conformité au RGPD est un enjeu crucial en cas de recours à l’IA.
Dune vous dévoile quelques clés pour concilier le développement et/ou l’utilisation d’une IA avec le RGPD.
Sommaire de l’article :
- Pourquoi l’IA pose-t-elle un défi pour le RGPD ?
- Respecter les principes essentiels du RGPD avec l’IA
- Mettre en place des bonnes pratiques pour une utilisation conforme de l’IA au RGPD
Pourquoi l’IA pose-t-elle un défi pour le RGPD ?
La création d’une IA suppose principalement trois phases différentes :- la phase de conception de l’IA, c’est-à-dire la définition des besoins auxquels l’IA pourrait permettre de répondre et la constitution de la base de données nécessaires à l’IA ;
- la phase d’entrainement de l’IA, qui s’entraîne ainsi sur les données collectées ;
- la phase de déploiement de l’IA, c’est-à-dire le moment où le produit ou le service d’une entreprise intégrant l’IA est prêt à être mis à disposition d’utilisateurs. Dans ce cas, il est possible de collecter les données communiquées à l’IA dans le cadre de sa maintenance ou de son amélioration.
- la mise en place d’une IA peut permettre de prendre des décisions automatisées (c’est-à-dire sans intervention humaine) concernant une personne ;
- les IA peuvent avoir des biais c’est-à-dire des résultats qui ne soient pas neutres, loyaux ou équitables et qui entrainent ainsi des risques de discrimination ;
- la sécurité de l’IA est essentielle pour limiter les risques de violation de données.
Respecter les principes essentiels du RGPD avec l’IA
L’ensemble des règles du RGPD s’applique aux IA dès lors que des données personnelles sont présentes dans les bases de données utilisées pour les développer. Si c’est le cas et que vous souhaitez développer ou utiliser une IA, vous devez vous assurer que vous respectez les principes essentiels du RGPD, notamment les principes de :Détermination des finalités
La finalité du traitement des données personnelles dans l’IA doit être clairement définie lors de la phase de développement de l’IA ainsi que dans sa phase de déploiement. La finalité doit être déterminée, explicite et légitime. Par exemple, l’IA pourrait être un modèle de reconnaissance vocale permettant d’identifier un locuteur, sa langue ou encore son genre. La finalité peut alors être déduite de l’usage opérationnel de l’IA ou de ses objectifs ;Définition d’une base légale
Pour être licite, le traitement de données mis en œuvre par l’IA doit reposer sur une base légale, comme le consentement des personnes concernées, l’intérêt légitime de votre entreprise, la mission d’intérêt public, l’existence d’un contrat. Par exemple, si vous souhaitez utiliser les images de participants à un évènement pour développer une IA capable de détecter des poses ou émotions, le consentement des participants devra être recueilli ;Minimisation des données
Même s’il est possible de constituer et d’utiliser de larges bases de données personnelles dans une IA, seules les données personnelles utiles à l’entraînement et au fonctionnement de l’IA doivent être utilisées. Par exemple, vous pouvez décider de réutiliser des données publiquement accessibles (comme l’open data) pour entraîner votre IA : vous devez dans ce cas procéder à un nettoyage de cette base de données pour conserver uniquement les données utiles aux objectifs de votre IA ;Conservation limitée des données
Si la CNIL considère qu’une durée de conservation prolongée peut être justifiée selon les cas d’usage de l’IA, vous ne pouvez pas les conserver indéfiniment et une durée justifiée doit être définie. Vous devez notamment définir une durée de conservation des données dans la phase de développement et d’entrainement de l’IA mais également pour son amélioration ou sa maintenance ;Transparence des données
Si, par exemple, vous souhaitez réutiliser les données de vos clients pour entraîner une IA, vous devez informer ces personnes de l’utilisation de leurs données dans ce cadre et leur permettre d’exercer leurs droits ;Mise en place de mesures de sécurité
En utilisant des IA, vous devez assurer la sécurité des données pour assurer leur confidentialité et intégrité. Ces mesures doivent être adaptées en vue de sécuriser les techniques de collecte des données utilisées, de protéger les données collectées, le système d’information utilisé pour le développement de l’IA et le matériel informatique associé à l’IA. En complément du respect des grands principes du RGPD, ses autres obligations s’appliquent, et notamment :- déterminer la qualification juridique des acteurs intervenant dans la création de l’IA au moyen d’une analyse au cas par cas : responsable du traitement, responsable conjoint ou sous-traitant ;
- vérifier, si applicable, les conditions dans lesquelles vous allez réutiliser une base de données personnelles existante, étant rappelé qu’une telle réutilisation doit se faire de manière conforme au RGPD ;
- réaliser, lorsque les conditions sont réunies au regard de l’article 35 du RGPD et des neuf critères identifiés dans les lignes directrices aidant à déterminer si un traitement est susceptible d’engendrer un risque élevé, une analyse d’impact sur la vie privée (AIPD) pour s’assurer que les solutions d’IA à développer ou à utiliser respectent le RGPD car l’IA peut présenter des risques spécifiques pour les personnes concernées (par exemple, la discrimination ou la prise d’une décision automatisée causée par un biais) et afin de limiter ces risques ;
Mettre en place des bonnes pratiques pour une utilisation conforme de l’IA au RGPD
Quelques bonnes pratiques peuvent facilement être mises en place pour utiliser l’IA de façon conforme au RGPD, telles que :- La tenue d’une documentation pour démontrer la conformité au RGPD. Par exemple , la CNIL fournit un modèle pour le fournisseur d’IA utilisant des sources multiples de données ou constituant plusieurs bases de données.
- La sensibilisation et la formation au RGPD et aux enjeux de protection de la vie privée des équipes développant ou utilisant une IA. Cette sensibilisation peut, par exemple, porter :
- dans le cas de la conception d’une IA, sur le choix des données à collecter, leur nature (par exemple concernant les données sensibles) ainsi que leur représentativité, pour éviter les biais discriminatoires ou, dans le cas d’algorithmes de profilage, pour éviter les phénomènes de « bulle de filtre » c’est-à-dire la proposition de contenus à un utilisateur qui correspond uniquement à ses goûts ou fortement similaire aux contenus consultés par l’utilisateur ;
- dans le cas d’une utilisation de l’IA, pour apprendre à utiliser efficacement l’IA pour éviter les discriminations ;
- La mise en œuvre d’audits réguliers de l’IA pour s’assurer que celle-ci demeure conforme au RGPD ou que les éventuelles mesures de correction identifiées dans l’analyse d’impact relative à la vie privée sont intégrées.