IA, MISE EN CONFORMITE ET PROTECTION DES DONNEES - Ouest Valorisation

Rechercher
Generic selectors
Exact matches only
Search in title
Search in content
  1. Accueil
  2. Dossiers d'experts
  3. IA, MISE EN CONFORMITE ET PROTECTION DES DONNEES

Infos juridiques

IA, MISE EN CONFORMITE ET PROTECTION DES DONNEES

TIC & sciences de l'ingénieur

L’IA permet, en recourant à des algorithmes, l’élaboration de systèmes sophistiqués et d’applications pouvant assister ou se substituer à l’intelligence humaine. Pour fonctionner correctement et avec précision, le développement des systèmes d’IA nécessite l’utilisation de nombreuses données, y compris de données personnelles, dont la mise en œuvre comporte des risques pour la protection de la vie privée.

La nécessaire articulation entre le Règlement général sur la protection des données (RGPD) et l’IA est alors évidente. L’IA engendre des questions juridiques complexes notamment au regard de la protection des données personnelles. Ces questions doivent être identifiées et prises en compte dès la phase de conception du système afin qu’un équilibre entre le respect des règles légales et le développement des technologies soit assuré

Le Règlement sur l’Intelligence Artificielle (RIA) ne remplace pas les exigences du RGPD mais il a pour but de les compléter, en posant les conditions requises pour développer et déployer des systèmes d’IA de confiance. Cette approche doit donc tenir compte des principes fondamentaux du RGPD.

 

IA Act : comment être en conformité ?

En avril 2024 et dans l’attente de règles plus précises sur l’articulation entre les exigences de l’IA Act et du RGPD, la CNIL a publié des fiches pratiques sur lesquelles nous nous appuyons pour cet article[1]. Le but des fiches de la CNIL est de présenter les obligations posées par la règlementation et formulent des recommandations pour le développement des systèmes d’intelligence artificielle (SIA) ainsi que la constitution de bases de données utilisées pour leur apprentissage, qui impliquent des données personnelles.

Fiche 1 : déterminer le régime juridique applicable

La CNIL délimite d’abord le périmètre des fiches : celles-ci ne concernent que les traitements qui relèvent du RGPD. Or il existe des régimes juridiques différents :

  • le régime résultant du RGPD s’applique à l’ensemble des traitements de données personnelles, à la fois dans le secteur public et le secteur privé,
  • le régime sectoriel spécifique à la « police-justice » s’applique à l’ensemble des traitements des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (titre III de la loi « informatique et libertés »),
  • le régime sectoriel intéressant la défense nationale ou la sûreté de l’État (dispositions de la loi « informatique et libertés »).

 

Lorsque les phases de développement et de déploiement d’un SIA constituent des traitements de données personnelles, le régime du RGPD s’applique. Les traitements relevant des deux régimes applicables aux secteurs mentionnés ci-dessus font l’objet de dispositions spécifiques que nous ne traiterons donc pas dans cet article.

 

Fiche 2 : définir une finalité et intégrer l’IA de manière proportionnée

Un SIA reposant sur un traitement de données personnelles doit être développé avec une finalité, ou objectif qui soit « déterminée, explicite et légitime » (Article 5.1.b RGPD). Concrètement, l’organisme doit veiller à récolter et traiter des données qui remplissent un objectif bien établi, compréhensible et compatible avec les missions de l’organisme. Cette exigence est importante puisqu’elle conditionne l’application d’autres principes du RGPD à savoir la transparence, la minimisation et la limitation des durées de conservation.

En effet, le développement de l’IA devrait être inspiré par le principe de proportionnalité (Article 5.1.c RGPD), c’est à dire que les techniques d’IA choisies doivent être strictement nécessaires pour atteindre l’objectif.

 

Fiche 3 : déterminer la qualification juridique des acteurs

Le développement et le déploiement d’un SIA suit un processus de tâches variées pouvant faire intervenir plusieurs acteurs. Au regard du RIA, la CNIL invite chaque organisme intervenant dans le développement d’un SIA, avec des degrés d’implication différents sur le traitement des données personnelles, à déterminer son rôle :

  • Le fournisseur de SIA est celui qui développe ou fait développer un système et qui le met sur le marché ou le met en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit,
  • L’importateur, le distributeur et l’utilisateur du système sont entendus comme des personnes déployant des SIA.

Lorsque des données personnelles sont utilisées pour le développement de SIA, l’organisme développant un SIA doit déterminer s’il est :

  • Le responsable de traitement,
  • Le sous-traitant: entité qui traite les données pour le compte du responsable de traitement,
  • Ou responsable conjoint: plusieurs entités déterminent les finalités et moyens de traitement avec d’autres organismes.

Cette qualification est importante puisqu’elle détermine le régime de responsabilité afférent.

 

Fiche 4 : assurer que le traitement est licite

Fiche 4 (1/2) : définir une base légale

La base légale d’un traitement est le fondement qui donne le droit à un organisme de traiter des données personnelles. Le traitement des données doit être fondé sur une base légale appropriée (Article 6 RGPD). Le choix de la base légale est la première étape indispensable pour assurer la conformité du traitement. Selon la base légale retenue, les obligations de l’organisme et les droits des personnes seront différents.

Le RGPD prévoit six bases légales qui induisent des droits et obligations différentes :

 

Fiche 4 (2/2) : en cas de réutilisation des données

La CNIL rappelle que le responsable du traitement est tenu d’effectuer des vérifications afin de garantir que la réutilisation des données est compatible avec la finalité pour laquelle les données personnelles ont été initialement collectées (Article 5.1 b RGPD). Pour caractériser l’existence d’une telle compatibilité (Article 6.4 RGPD), il convient de tenir compte :

  • De l’existence d’un lien entre les finalités pour lesquelles les données personnelles ont été collectées (traitement initial) et les finalités du traitement ultérieur envisagé (traitement ultérieur),
  • Du contexte dans lequel les données ont été collectées, en particulier la relation entre les personnes concernées et le responsable du traitement,
  • De la nature des données personnelles concernées,
  • Des éventuelles conséquences du traitement ultérieur envisagé pour les personnes concernées,
  • De l’existence de garanties appropriées dans le cadre du traitement initial et du traitement ultérieur prévu.

Des traitements sont toutefois considérés par le RGPD comme étant compatibles avec le traitement initial (Article 5.1 b RGPD) ; il s’agit des traitements ultérieurs qui sont mis en place :

  1. A des fins archivistiques dans l’intérêt public,
  2. A des fins de recherche scientifique ou historique,
  3. A des fins statistiques.

Ces finalités sont considérées comme un traitement licite compatible avec les finalités initiales pour lequel aucun fondement juridique distinct n’est requis (considérant 50 du RGPD). Dans le cadre de ses travaux, un chercheur mène une recherche grâce à des données collectées spécialement à cet effet, c’est le traitement initial pour lequel une base légale est définie.  Ce chercheur peut alors réutiliser les fichiers de données collectés initiaux à des fins de recherche sous réserve du respect de l’article 89.1 du RGPD, c’est le traitement ultérieur.

 

Fiche 5 : réaliser une analyse d’impact si nécessaire

L’analyse d’impact sur la protection des données (AIPD) est une étude qui doit être menée lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Le but est d’établir un plan d’action pour les réduire à un niveau acceptable et de définir les mesures de sécurité pour protéger les données.

Dans ses lignes directrices concernant l’AIPD, le Comité européen de la protection des données (CEPD) recommande de réaliser une AIPD pour le développement de systèmes d’IA « susceptibles d’engendrer un risque élevé », notamment lorsque deux des critères identifiés par le CEPD sont remplis[2] :

  • évaluation ou notation de personnes,
  • prise de décisions automatisée avec effet juridique ou effet similaire significatif,
  • surveillance systématique,
  • données sensibles ou données à caractère hautement personnel,
  • données traitées à grande échelle,
  • données concernant des personnes vulnérables, croisement ou combinaison d’ensembles de données,
  • utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles,
  • opérations visant à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat.

Plus le traitement remplit de critères, plus il est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées et donc de nécessiter une AIPD.

 

Fiche 6 : tenir compte de la protection des données dans la conception du système

En lien avec l’ensemble des recommandations énumérées précédemment, le responsable de traitement doit prendre en compte la protection des données personnelles lors de la conception du système, aussi connu sous le nom de « Privacy by design » (Article 25.1 RGPD).

Cette obligation de protection permet d’assurer que les choix de conception soient conformes avant déploiement. Un responsable de traitement doit donc s’interroger sur :

  • La finalité, l’objectif du traitement,
  • La méthode de développement à employer qui aura une incidence sur les caractéristiques de la base de données afin qu’elle soit la plus respectueuse possible des droits des personnes,
  • Les sources données collectées et ensuite sélectionner les données strictement nécessaires à l’objectif recherché,
  • La validité des choix précédemment opérés qui peut prendre la forme d’une réalisation d’une étude pilote ou d’un avis d’un comité éthique.

 

Fiche 7 : tenir compte de la protection des données dans la collecte et la gestion des données

Pour garantir une collecte et une gestion des données conformes aux principes du RGPD, le responsable de traitement doit s’assurer que :

  • Les vérifications nécessaires ont été faites sur les jeux de données collectées pour l’apprentissage du système,
  • Les données utilisées sont nettoyées et protègent la vie privée,
  • Les données sont mises à jour et suivies de manière régulières,
  • Les données sont conservées pour une durée déterminée,
  • Des mesures de sécurité adéquates sont mises en œuvre,
  • Un suivi documentaire des jeux de données est effectué.

 

Le périmètre des huit premières fiches publiées porte sur le développement des SIA. D’autres fiches, en cours d’élaboration et soumises à consultation publique jusqu’au 1er octobre 2024., portent sur le déploiement des SIA.

  • Fiche 8: mobiliser la base légale de l’intérêt légitime pour développer un système d’IAA
  • Fiche 8 (1/2) : la base légale de l’intérêt légitime : fiche focus sur la diffusion des modèles en source ouverte (open source)
  • Fiche 8 (2/2) : la base légale de l’intérêt légitime : fiche focus sur les mesures à prendre en cas de collecte des données par moissonnage (web scraping)
  • Fiche 9 : informer les personnes concernées
  • Fiche 10 : respecter et faciliter l’exercice des droits des personnes concernées
  • Fiche 11 : annoter les données
  • Fiche 12 : garantir la sécurité du développement d’un système d’IA

 

Le RIA reconnait que l’utilisation de l’intelligence artificielle suscite des préoccupations éthiques et sociétales, qui dépassent le cadre du RGPD. Par exemple, certaines pratiques basées sur l’IA ou l’apprentissage automatique peuvent perpétuer des biais culturels ou des pratiques discriminatoires, ou induire des risques de sécurité.

LE RIA vise donc à créer un cadre réglementaire adapté à l’évolution de ces technologies et à promouvoir l’innovation responsable en matière d’IA dans l’UE, tout en veillant à ce qu’elles ne nuisent pas à la dignité humaine, aux droits de l’homme et aux libertés fondamentales de toute personne. Comme détaillé dans l’article PANORAMA DE L’IA ACT, l’IA Act impose essentiellement des exigences strictes pour les systèmes d’IA à haut risque, encourage la transparence des systèmes d’IA peu risqués, et interdit certaines pratiques considérées comme inacceptables.

 

[1] Source : CNIL – https://www.cnil.fr ; contenu extrait du site en juillet-aout 2024. Le contenu est mis à disposition selon les termes de la licence CC BY-ND-NC 3.0 FR.

[2] Source : https://www.cnil.fr/sites/cnil/files/atoms/files/wp248_rev.01_fr.pdf

Contactez-nous

Vous avez un projet innovant ? Laissez-nous vous aider à le concrétiser

Parlez-nous de votre projet