Même si l’intelligence artificielle (IA) n’est pas encore personnifiée sous les traits d’une petite fille et aussi développée que dans le film The Creator, l’IA se développe aujourd’hui très rapidement, notamment dans le cadre des intelligences artificielles dites génératives.
Les IA génératives sont des IA permettant de créer des textes, images ou autres contenus à partir des instructions que son utilisateur lui donne.
Le développement et l’entrainement des algorithmes de ces IA supposent l’utilisation de nombreuses données et notamment des données personnelles dont le Règlement Général sur la Protection des Données (RGPD) encadre strictement le traitement afin de protéger la vie privée des personnes physiques.
La protection des données et la conformité au RGPD sont un enjeu crucial en cas de recours à l’IA.
Dune vous dévoile quelques clés pour développer et/ou utiliser une IA en conformité avec le RGPD.
Sommaire
- Pourquoi l’IA pose-t-elle un défi pour le RGPD ?
- Respecter les principes essentiels du RGPD avec l’IA
- Mettre en place des bonnes pratiques pour une utilisation conforme de l’IA au RGPD
1. Pourquoi l’IA pose-t-elle un défi pour le RGPD ?
La création d’une IA suppose principalement trois phases différentes :
- la phase de conception de l’IA, c’est-à-dire la définition des besoins auxquels l’IA pourrait permettre de répondre et la constitution de la base de données nécessaires à l’IA ;
- la phase d’entrainement de l’IA, qui s’entraîne ainsi sur les données collectées ; puis
- la phase de déploiement de l’IA, c’est-à-dire le moment où le produit ou le service d’une entreprise intégrant l’IA est prêt à être mis à disposition d’utilisateurs. Dans ce cas, il est possible de collecter les données communiquées à l’IA dans le cadre de sa maintenance ou de son amélioration.
Ce développement entraîne alors un risque pour la vie privée des personnes dont les données sont utilisées.
Les enjeux sont nombreux pour la protection des données et des personnes concernées :
- la mise en place d’une IA peut permettre de prendre des décisions automatisées (c’est-à-dire sans intervention humaine) concernant une personne ;
- les IA peuvent avoir des biais c’est-à-dire des résultats qui ne soient pas neutres, loyaux ou équitables et qui entraînent ainsi des risques de discrimination ;
- la sécurité de l’IA est essentielle pour limiter les risques de violation de données.
Ainsi, par exemple, l’IA peut être utilisée pour établir le profil d’une personne en fonction de ses recherches puis pour lui proposer automatiquement des contenus « adaptés » à son profil. Ce profilage d’utilisateurs, alors non réalisé par une IA, a déjà donné lieu à des condamnations : le danger n’en sera que plus grand si une IA est à la manœuvre.
2. Respecter les principes essentiels du RGPD avec l’IA
L’ensemble des règles du RGPD s’applique aux IA dès lors que des données personnelles sont présentes dans les bases de données utilisées pour les développer.
Si c’est le cas et que vous souhaitez développer ou utiliser une IA, vous devez vous assurer que vous respectez les principes essentiels du RGPD, notamment les principes de :
- limitation des finalités: la finalité du traitement des données personnelles dans l’IA doit être clairement définie lors de la phase de développement de l’IA ainsi que dans sa phase de déploiement. Par exemple, l’IA pourrait être un modèle de reconnaissance vocale permettant d’identifier un locuteur, sa langue ou encore son genre. La finalité peut alors être déduite de l’usage opérationnel de l’IA ou de ses objectifs ;
- définition d’une base légale: pour être licite, le traitement de données mis en œuvre par l’IA doit reposer sur une base légale, comme le consentement des personnes concernées ou l’intérêt légitime de votre entreprise. Par exemple, si vous souhaitez utiliser les images de participants à un évènement pour développer une IA capable de détecter des poses ou émotions, le consentement des participants devra être recueilli ;
- minimisation des données: même s’il est possible de constituer et d’utiliser de larges bases de données personnelles dans une IA, seules les données personnelles utiles à l’entraînement et au fonctionnement de l’IA doivent être utilisées. Par exemple, vous pouvez décider de réutiliser des données publiquement accessibles (comme l’open data) pour entraîner votre IA : vous devez dans ce cas procéder à un nettoyage de cette base de données pour conserver uniquement les données utiles aux objectifs de votre IA ;
- conservation limitée des données: si la CNIL considère qu’une durée de conservation longue peut être justifiée selon les cas d’usage de l’IA, vous ne pouvez pas les conserver indéfiniment et une durée justifiée doit être définie. Vous devez notamment définir une durée de conservation des données dans la phase d’entraînement de l’IA mais également pour son amélioration ;
- transparence: si, par exemple, vous souhaitez réutiliser les données de vos clients pour entraîner une IA, vous devez informer ces personnes de l’utilisation de leurs données dans ce cadre et leur permettre d’exercer leurs droits ;
- mise en place de mesures de sécurité: en utilisant des IA, vous devez assurer la sécurité des données pour assurer leurs confidentialité et intégrité.
En complément du respect des grands principes du RGPD, ses autres obligations s’appliquent, et notamment :
- réaliser une analyse d’impact sur la vie privée (AIPD) pour s’assurer que les solutions d’IA à développer ou à utiliser respectent le RGPD car l’IA peut présenter des risques spécifiques pour les personnes concernées (par exemple, la discrimination ou la prise d’une décision automatisée causée par un biais) et afin de limiter ces risques ;
- mettre en place la protection des données dès la conception et par défaut. Ainsi, dès la conception d’une IA mais également lors des phases de collecte et de gestion des données, les principes de protection des données doivent être pris en compte et respecter le RGPD et les mesures les plus protectrices doivent être mises en place par défaut.
3. Mettre en place des bonnes pratiques pour une utilisation conforme de l’IA au RGPD
Quelques bonnes pratiques peuvent facilement être mises en place pour utiliser l’IA de façon conforme au RGPD, telles que :
- La sensibilisation et la formation au RGPD et aux enjeux de protection de la vie privée des équipes développant ou utilisant une IA. Cette sensibilisation peut, par exemple, porter :
- dans le cas de la conception d’une IA, sur le choix des données à collecter, leur nature (par exemple concernant les données sensibles) ainsi que leur représentativité, pour éviter les biais discriminatoires ou, dans le cas d’algorithme de profilage, pour éviter les phénomènes de « bulle de filtre » c’est-à-dire la proposition de contenus à un utilisateur qui correspondent uniquement à ses goûts ou fortement similaire aux contenus consultés par l’utilisateur ;
- Dans le cas d’une utilisation de l’IA, apprendre à utiliser efficacement l’IA pour éviter les discriminations ;
- La mise en œuvre d’audits réguliers de l’IA pour s’assurer que celle-ci demeure conforme au RGPD ou que les éventuelles mesures de correction identifiées dans l’analyse d’impact relative à la vie privée sont intégrées.
Pour vous aider à assurer la conformité au RGPD avec l’IA, la CNIL a publié de nombreuses ressources sur son site internet, et notamment un guide d’auto-évaluation pour déterminer si la protection des données a été prise en compte lors de l’utilisation d’une IA.
En complément, la CNIL a récemment publié des fiches pratiques portant sur la constitution de bases de données d’apprentissage des IA.
Ces fiches sont soumises à consultation publique jusqu’au 16 novembre 2023 pour être publiées définitivement au cours de l’année 2024, et devraient être complétées par des fiches spécifiques à la phase de développement des IA.
En résumé, les IA se développent très rapidement et soulèvent de nombreuses questions. Il est indispensable qu’elles soient utilisées conformément au RGPD afin de limiter les risques pour la vie privée des personnes concernées.
Il est essentiel de rester informé sur ce sujet, la réglementation étant en constante évolution.
Vous avez un projet de développement d’une IA ou de l’utilisation d’une IA existante et souhaitez vous assurer que ce projet est conforme au RGPD ? Contactez-nous !