Le RGPD appliqué à l'intelligence artificielle : les clés de la mise en conformité
Article rédigé par Audrey Arbusa, avocat associé du cabinet TGS France.
Temps de lecture : 4mn| Intelligence Artificielle
Récemment adopté, le Règlement européen sur l’intelligence artificielle (RIA)[1] marque l’inclusion de l’intelligence artificielle dans notre vie courante. Ce Règlement offre une première définition du système d’intelligence artificielle (SIA) [2] comme « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ». Le SIA est donc un logiciel présentant des fonctionnalités particulières, et dont le fonctionnement requiert par nature un grand volume de données. Lorsque ces données sont à caractère personnel, se pose la question de la conformité de leur utilisation via le SIA au Règlement européen sur la Protection des Données Personnelles (RGPD)[3]. Cet article présente les clés de conformité des SIA au RGPD.
Etape 0 – Etablir une gouvernance du SIA
Avant de recourir à un SIA, comme pour tout nouveau projet, la désignation d’un comité de pilotage afin d’assurer la prise en compte du RGPD est indispensable. Elle permet de définir les besoins de l’entité en matière de SIA, d’établir une cartographie des traitements de données concernés, d’évaluer les actions nécessaires à la mise en œuvre d’un projet conforme au RGPD, de les hiérarchiser, et enfin et surtout, de les mettre en œuvre.
Etape 1 – Définir son rôle et ses responsabilités
Le développement puis l’utilisation d’un SIA peuvent donner lieu à l’intervention d’acteurs variés en fonction du projet : développeur, éditeur de SIA, utilisateur (avec ou sans personnalisation ou « fine tuning ») professionnel ou non, fournisseur de base de données d’entraînement, etc. Pour déterminer le statut de chacun[4], une analyse de chaque étape du cycle de vie du SIA est requise.
A cette fin, chacun des acteurs doit s’interroger sur la qualification des parties prenantes en tant que responsable de traitement ou sous-traitant.
Par exemple, lorsqu’un SIA est développé sur la base d’un cahier des charges défini par le client et pour son usage interne, ce dernier semble devoir être qualifié de responsable de traitement dans la mesure où il détermine les finalités et les moyens du traitement, le développeur intervenant en tant que sous-traitant. A l’inverse, un éditeur de SIA commercialisé à des clients professionnels a développé ce dernier de manière standardisée et autonome. Il semble pouvoir être qualifié de responsable de traitement unique des traitements de données de la phase de conception et d’entrainement dudit SIA.
Une analyse in concreto est donc essentielle pour chaque projet, en tenant compte de chaque étape de développement, d’entraînement, de déploiement ou d’exploitation.
Etape 2 – Définir la finalité des traitements
Les données sont utilisées pour atteindre une finalité[5] qui pourra être la même ou évoluer au long du cycle de vie du SIA. En effet, selon la CNIL[6], quand un SIA est spécifiquement conçu pour un client, la finalité poursuivie lors de son développement est la même que celle poursuivie par son utilisation. Dans une autre configuration, les données d’entrainement peuvent être utilisées pour une finalité différente en phase d’entrainement par l’éditeur, et en phase d’exploitation par un client, surtout si ce dernier a personnalisé l’usage du SIA à un besoin spécifique.
Etape 3 – Choisir la base légale du traitement
Une fois la finalité déterminée, une base légale doit être choisie[7]. Au vu des finalités successives que peut présenter un SIA, la base légale de l’intérêt légitime peut présenter un intérêt certain. Sa mise en œuvre devra respecter les conditions posées par le RGPD[8] et l’avis du G29[9] sur la notion d’intérêt légitime[10], avec une mise en balance des intérêts en présence et le cas échéant, la mise en œuvre de garanties suffisantes. La CNIL a établi une liste[11] de garanties spécifiques au SIA, tel que limiter le volume de données, faciliter l’exercice des droits des personnes concernées ou mettre en œuvre des mesures organisationnelles pour éviter les biais discriminatoires. Le recours à la base légale de l’intérêt légitime implique donc une analyse sérieuse et documentée donnant lieu à des mesures pratiques permettant de sécuriser le bon usage des données.
Le recours à des bases de données existantes pour entraîner ou déployer un SIA nécessite une attention particulière, puisqu’elles sont souvent constituées pour une autre finalité ou par un tiers.
Il convient alors de se renseigner sur les modalités de collecte pour contrôler la compatibilité entre la finalité initiale et celle poursuivie lors de la réutilisation des données. Si cette compatibilité est avérée, l’entité ré-utilisatrice devra informer les personnes concernées et déterminer une base légale appropriée. En cas d’incompatibilité, les données ne peuvent être utilisées.
Enfin, lorsque la base de données utilisée est publique, il n’est pas possible d’échanger avec l’entité qui a collecté les données pour obtenir l’information susvisée. La CNIL conseille[12] donc de redoubler de prudence et de vérifier les conditions de collecte des données, l’information fournie aux personnes concernées, la licéité des traitements, que ces données ne proviennent pas d’activités illicites (vol ou moissonnage non autorisé), et qu’elles ne contiennent pas de données sensibles ou considérées comme telles.
Etape 4 – Information des personnes concernées
Le responsable de traitement doit assurer une information des personnes concernées[13] concernant les traitements mis en œuvre. Cette information doit être claire, lisible et compréhensible. Dans la mesure où plusieurs finalités de traitement définies par un même responsable de traitement peuvent se succéder dans le cycle de vie du SIA, et où les données peuvent provenir de sources différentes, il est crucial d’identifier en amont ces éléments afin de définir une stratégie d’information des personnes concernées.
Etape 5 – Exercice des droits des personnes
Au regard du fonctionnement autonome des SIA et du grand volume de données concernées, il est souhaitable d’intégrer des mécanismes techniques et organisationnels permettant l’exercice des droits des personnes concernées[14] directement dans le SIA, et donc dans le cahier des charges de développement du SIA.
Etape 6 – Proportionnalité et minimisation des données
Un des enjeux des SIA est le respect du principe de minimisation des données[15]. La CNIL recommande[16] ainsi de procéder à l’analyse des types de données utilisées à chaque étape du cycle de vie des données pour assurer le respect de ce principe, et fournit diverses recommandations telles que l’utilisation de données synthétiques ou anonymisées, un contrôle renforcé des données traitées, la suppression ou l’archivage des données lorsque leur traitement n’est plus nécessaire et/ou la collecte des données sous une forme agrégée ou moins précise.
Dans la mesure où un SIA peut utiliser des données dans la durée, se pose la question du respect du principe d’exactitude des données[17]. La CNIL recommande[18] à cet égard d’intégrer des mécanismes de contrôle et d’alerte, permettant une vérification continue de la validité des données utilisées.
Enfin, l’un des risques majeurs des SIA réside dans la présence de biais faussant ses résultats. Pour lutter contre ce phénomène, la CNIL[19] recommande notamment une surveillance régulière des performances du SIA, une évaluation critique de la source des données, et un contrôle humain. Cette recommandation rejoint les obligations d’ores et déjà prévues par le RGDP pour encadrer une prise de décision de manière entièrement automatisée, ce qui constitue un traitement à risque[20]. Dans ce cadre, les bases légales envisageables sont limitées (le consentement, l’exécution d’un contrat et l’exécution d’une obligation légale), une information spécifique sur cette prise de décision automatisée et le droit à une intervention humaine devront être prévus au bénéfice de la personne concernée[21].
Une fois encore, prendre en compte les mesures de minimisation et d’exactitude, et de contrôle du recours à une décision entièrement automatisé dans le cahier des charges du SIA semble être la meilleure option pour assurer leur effectivité.
Etape 7 – Sécurité des données et des systèmes
La sécurité des données[22] peut être assurée par l’adoption de mesures organisationnelles et techniques robustes, telles que le cryptage, la limitation des accès et des évaluations régulières des performances du système.
Les relations contractuelles entre les différents acteurs doivent être encadrées, notamment en cas de transfert de données hors espace économique européen (EEE).
Le cas échéant, une analyse d’impact sur la protection des données (AIPD)[23] doit aussi être envisagée pour tout SIA présentant des risques élevés avant sa mise en œuvre, ce qui est d’ores et déjà acquis pour les SIA à haut risque[24].
Etape transverse – Accountability et sensibilisation
Afin de pouvoir démontrer de manière continue sa conformité au RGPD,[25] l’entité ayant recours à un SIA doit documenter, dès les premières étapes, l’ensemble de ses démarches
Les notices et informations techniques fournies par les développeurs de SIA au titre du RIA[26], pourront être réutilisées par toute entité utilisant le SIA développé pour satisfaire cette exigence de documentation.
Enfin, l’acculturation de l’ensemble des acteurs est un élément clé au respect du RGPD dans le recours à un SIA. Dès lors, une sensibilisation régulière non seulement des membres impliqués dans le développement, l’entraînement et l’exploitation des SIA, mais également des utilisateurs de SIA, aux règles du RGPD semblent nécessaires.
[1] Règlement UE 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle
[2] Article 3.1) du RIA « « système d’IA » », système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels »
[3] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données.
[4] Articles 24 et 28 du RGPD
[5] Article 5 du RGPD
[6] Fiche CNIL « IA : Définir une finalité »
[7] Article 6 1. du RGPD
[8] Article 6 1. f) du RGPD
[9] Ancienne dénomination du groupe des autorités de protection des données européennes, devenu le Comité européen de la protection des données (CEPD).
[10] Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE
[11] Fiche CNIL « IA : Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA »
[12] Fiche CNIL « La base légale de l’intérêt légitime : fiche focus sur la diffusion des modèles en source ouverte (open source) »
[13] Articles 13 et 14 du RGPD
[14] Articles 15 à 23 du RGPD
[15] Article 5. 1. c) du RGPD
[16] Fiche CNIL « IA : Tenir compte de la protection des données dans la conception du système »
[17] Article 5. 1. d) du RGPD
[18] Fiche CNIL « « IA : Tenir compte de la protection des données dans la collecte et la gestion des données »
[19] Fiche CNIL « IA : Tenir compte de la protection des données dans la collecte et la gestion des données »
[20] Article 22 du RGPD
[21] Etape 4
[22] Articles 26 et 28 du RGPD
[23] Article 35 du RGPD
[24]Article 26. 9. du RIA « Le cas échéant, les déployeurs de systèmes d’IA à haut risque utilisent les informations fournies en application de l’article 13 du présent règlement pour se conformer à leur obligation de procéder à une analyse d’impact relative à la protection des données en vertu de l’article 35 du règlement (UE) 2016/679 ou de l’article 27 de la directive (UE) 2016/680 »
[25] Article 5. 2 du RGPD
[26] Articles 13, 26 et 53 précités
Vous avez aimé l’article ?
N’hésitez pas à le partager et à nous suivre sur nos réseaux sociaux pour en apprendre plus