Projets IA : comment mettre en œuvre une IA respectueuse de la vie privée. Par Florence Ivanier, Avocate.

Projets IA : comment mettre en œuvre une IA respectueuse de la vie privée.

Par Florence Ivanier, Avocate.

1028 lectures 1re Parution: Modifié: 4.5  /5

Ce que vous allez lire ici :

L'intelligence artificielle présente des risques tels que la discrimination et la désinformation. Le Règlement IA, en vigueur depuis août 2024, établit des normes éthiques. Pour assurer la conformité avec le RGPD, les organisations doivent identifier les rôles, garantir la légalité des traitements, réaliser des AIPD et gérer les données rigoureusement.
Description rédigée par l'IA du Village

Cet article analyse les enjeux de conformité liés au Règlement IA (RIA), en vigueur depuis le 1ᵉʳ août 2024 et au RGPD (Règlement général sur la protection des données). S’appuyant sur les fiches pratiques de la CNIL (Commission nationale de l’informatique et des libertés), il propose des recommandations pragmatiques pour accompagner les organisations dans la mise en œuvre de leurs projets IA. En adoptant une gouvernance des données optimisée, les entreprises sont à même de sécuriser leurs projets IA et de transformer les contraintes réglementaires en levier de compétitivité.

-

Discrimination, désinformation, atteintes à la vie privée, biais algorithmiques, manipulation des comportements, surveillance de masse, cyberattaques, atteintes à la sécurité des systèmes d’information : tels sont quelques-uns des risques liés à l’intelligence artificielle répertoriés par le Massachusetts Institute of Technology dans son AI Risk Repository.

Face à ces enjeux, le législateur européen a été le premier à instaurer les garanties d’une IA éthique et respectueuse des droits fondamentaux. Le Règlement IA (RIA) ou Artificial Intelligence Act, entré en vigueur le 1ᵉʳ août 2024, pose un cadre de responsabilité pour l’ensemble des acteurs de l’Intelligence Artificielle.

Cette démarche s’inscrit dans le cadre de l’objectif plus global de la Commission européenne de créer un marché unique européen de la donnée. L’importance de s’assurer de la conformité de la gouvernance des données avec ces règlementations émergentes devient ainsi cruciale pour les organisations.

Concilier RIA et RGPD - une approche par les risques.

Vous êtes fournisseur de solutions d’IA ou vous déployez un système d’IA au sein de votre organisation, les contraintes règlementaires du RIA s’imposent à chaque stade de la conception, du développement, du déploiement ou de l’utilisation d’un Système d’IA, en gardant à l’esprit que le RIA s’applique sans préjudice aux autres règlementations applicables, notamment le RGPD.

Une telle approche transversale permet d’appréhender au mieux l’environnement juridique global dans lequel s’inscrit un projet IA, pour rester aux commandes de son projet et maîtriser les risques de conformité et de responsabilité contractuelle.

Le RIA propose une approche produit doublée d’une approche par les risques pour la santé, la sécurité et les droits fondamentaux. Le RGPD impose quant à lui un principe de responsabilisation (accountability) selon lequel l’organisme identifie les risques pour les droits et libertés des personnes posés par ses traitements de données.

En juin 2024, la CNIL a apporté des précisions sur les modalités d’articulation entre le RGPD et le RIA. Cet éclairage nous amène à identifier les mesures essentielles pour vous assurer que votre projet d’IA est respectueux de la vie privée et conforme au RGPD.

Quelles mesures clés mettre en œuvre pour assurer la conformité au RGPD de vos projets IA ?

1. Identifier les rôles et responsabilités des acteurs de l’IA.

Lorsque votre organisation intervient dans la chaîne d’approvisionnement et de distribution d’un système d’IA, la première qualification à opérer est celle de son rôle au regard du RIA, dont dépendra l’étendue de sa responsabilité.

Schématiquement, est qualifiée de fournisseur l’organisation qui conçoit ou développe un système d’IA, le met en service sous son propre nom et le met sur le marché.

L’organisation qui utilise un système d’IA reçoit quant à elle la qualification de déployeur. Cependant, les critères de qualification sont subtils et l’appartenance à une catégorie n’est pas immuable. Ainsi, si le déployeur appose son nom ou sa marque sur un système d’IA à haut risque déjà sur le marché, y apporte une modification substantielle ou encore modifie sa destination, il peut basculer dans la qualification de fournisseur d’un système d’IA à haut risque.

Un second type de qualification à considérer concerne le rôle de l’organisation au regard du RGPD. Ainsi que la CNIL l’a précisé dans ses recommandations, les exigences du RGPD se déclinent de manière spécifique dans le cadre des projets IA.

Pour rappel, le responsable de traitement est l’organisme qui détermine les moyens et les finalités du traitement. Le sous-traitant, quant à lui, traite les données sur les instructions du responsable de traitement et pour son compte.

En matière de projets IA, sera considéré comme responsable de traitement le fournisseur d’un système d’IA qui constitue une base d’apprentissage à partir de données qu’il a sélectionnées pour son propre compte, ou encore qui confie cette tâche à un prestataire via des instructions précises.

A l’inverse, sera considéré comme sous-traitant le fournisseur qui développe un SIA pour le compte d’un client en suivant ses instructions détaillées.

2. Veiller à la licéité des traitements de données.

Tout traitement de données personnelles doit être licite. Parmi les fondements légaux énumérés à l’article 6.1 du RGPD, le plus couramment invoqué en matière d’IA est l’intérêt légitime. La CNIL précise que l’intérêt légitime pourra utilement fonder un traitement dès lors que :

  • Le responsable de traitement met en œuvre des mesures complémentaires telles que la minimisation des données ;
  • Des garanties supplémentaires sont aménagées, telles que la possibilité pour les personnes concernées de s’opposer discrétionnairement au traitement.

3. Mener une Analyse d’Impact sur la Protection des Données (AIPD).

Pour rappel, l’AIPD (encore nommée Privacy Impact Assessment) est à la fois :

  • un outil d’évaluation de l’impact d’un traitement de données personnelles sur la vie privée ;
  • et un document d’analyse des risques définissant les mesures appropriées lorsqu’un risque élevé est susceptible d’exister pour les droits et les libertés des personnes.

Une AIPD doit être menée notamment si le traitement de données répond à au moins deux des critères énumérés par le Comité Européen de la Protection des Données, au nombre desquels :

  • le recours à la notation (rendement au travail de la personne, sa santé, ses préférences ou centres d’intérêts, sa fiabilité ou son comportement, sa localisation et ses déplacements)
  • la prise de décision automatisée avec effets significatifs sur la personne concernée
  • le traitement à grande échelle
  • le croisement d’un ensemble de données
  • l’utilisation d’une technologie innovante (utilisation d’objets connectés, de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale).

Une AIPD doit également être menée si le traitement fait partie de ceux identifiés par la CNIL comme requérant une AIPD.

Dans le cadre d’un projet IA, il faut retenir que l’AIPD est obligatoire pour le développement de modèles de fondation ou de systèmes d’IA à usage général et pour le déploiement de systèmes d’IA identifiés comme présentant un haut risque.

4. Focus sur la collecte des données par moissonnage (webscrapping).

Le développement d’un système d’IA nécessite d’assurer une gestion et un suivi rigoureux des données d’apprentissage. Pour constituer sa base de données d’apprentissage, le fournisseur du SIA peut être amené à réutiliser des données publiquement accessibles qu’il a extraites de sites web au moyen d’outils de moissonnage.

Il devra alors s’assurer de minimiser cette collecte de données en s’assurant de définir en amont des critères clairs de pertinence des données, de ne conserver que les données strictement nécessaires et supprimer les autres rapidement. Une démarche qualitative est exigée afin de constituer une base de données fiable et légitimement exploitable.

Transformer la conformité en levier de croissance.

La gouvernance des données est le socle de tout projet IA. En anticipant les exigences du RIA et du RGPD, les entreprises peuvent sécuriser leurs investissements tout en minimisant les risques de non-conformité, de sanctions financières, de responsabilité contractuelle et de crise réputationnelle. Elles peuvent ainsi transformer les défis posés par les nouvelles normes européennes en avantage concurrentiel et en opportunité de compétitivité.

Florence Ivanier, Avocate au Barreau de Paris, fondatrice du cabinet Aurele IT, DPO externalisée
fivanier chez aurele-it.fr
https://aurele-it.fr/

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

2 votes

"Ce que vous allez lire ici". La présentation de cet article et seulement celle-ci a été générée automatiquement par l'intelligence artificielle du Village de la Justice. Elle n'engage pas l'auteur et n'a vocation qu'à présenter les grandes lignes de l'article pour une meilleure appréhension de l'article par les lecteurs. Elle ne dispense pas d'une lecture complète.

A lire aussi :

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 155 880 membres, 27190 articles, 127 152 messages sur les forums, 2 380 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Parution des statistiques annuelles 2024 sur l'emploi des Avocats et Juristes : l'emploi stagne !

• Publication du Rapport sénatorial "Impact de l’intelligence artificielle générative sur les métiers du droit"... et nécessaire évolution de la pratique du Droit.




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs