L’avis 28/2024 du Comité Européen de la Protection des Données (CEPD) apporte un éclairage précieux sur l’interaction complexe entre l’IA et la protection des données, et propose aux entreprises des recommandations pour relever ces défis. Cet avis aborde des questions clés telles que les risques liés à l’utilisation de données traitées de manière illicite, l’anonymisation des modèles d’IA, l’utilisation de l’intérêt légitime comme base juridique pour le traitement des données et offre une feuille de route pour assurer la conformité au RGPD dans un environnement en constante évolution.
Que vous soyez un passionné de technologie, un dirigeant d’entreprise ou simplement curieux des enjeux liés à l’IA et à la protection des données, cet article vous apportera des clés pour mieux comprendre ces enjeux complexes.
I. Quels sont les risques d’un traitement illicite des données dans le développement de l’IA ?
Les modèles d’IA sont souvent entraînés sur d’immenses volumes de données, y compris des données à caractère personnel. Toutefois, lorsque ces données sont traitées en violation du RGPD, des risques significatifs peuvent en découler :
a. Atteinte aux droits des personnes concernées.
Lorsque des données à caractère personnel sont collectées et traitées de manière illicite, les droits des individus garantis par le RGPD sont compromis. Par exemple, si des données sont aspirées de sites web publics sans consentement, les personnes concernées peuvent perdre le contrôle sur l’utilisation de leurs informations, ce qui peut entraîner des atteintes à la vie privée.
b. Risque réputationnel et financier.
Les entreprises qui utilisent des données traitées illégalement pour entraîner leurs modèles d’IA s’exposent à des sanctions financières et à une perte de confiance de la part du public. Les autorités de protection des données disposent du pouvoir d’imposer des amendes et de prendre des mesures correctives.
c. Insécurité juridique pour l’utilisation future du modèle.
Si un modèle d’IA est développé à partir de données traitées de manière illicite, sa légalité peut être remise en cause, que ce soit pour l’entreprise qui l’a conçu ou pour des tiers qui l’exploitent. Cela crée une incertitude significative pour les entreprises, en particulier celles qui dépendent des modèles d’IA pour produire des livrables essentiels à leurs opérations quotidiennes et à leur succès global.
II. L’anonymisation des modèles d’IA.
L’avis du CEPD examine le principe d’anonymisation dans le contexte des modèles d’IA. Si un modèle garantit une anonymisation effective des données traitées, celles-ci cessent d’être considérées comme des données à caractère personnel et ne relèvent plus du RGPD.
Pour évaluer l’anonymisation, les autorités de protection des données analysent deux facteurs principaux :
- Possibilité d’extraction directe : les données personnelles peuvent-elles être extraites, même de manière probabiliste, du modèle d’IA ?
- Divulgation involontaire : existe-t-il un risque que des données personnelles soient révélées par les réponses du modèle d’IA ?
Les entreprises doivent évaluer le degré d’anonymisation de leurs modèles afin de déterminer leur conformité au RGPD.
III. L’intérêt légitime comme base juridique pour le traitement des données par les modèles d’IA.
Le CEPD précise que les entreprises utilisant des modèles d’IA peuvent invoquer l’intérêt légitime comme base juridique sous réserve de réaliser une évaluation rigoureuse en trois étapes :
1. Identifier l’intérêt légitime : l’intérêt doit être licite, clair et réel (et non hypothétique).
2. Vérifier la nécessité du traitement : il doit exister un lien direct entre le traitement des données et la finalité poursuivie.
3. Effectuer un test de mise en balance : l’intérêt légitime de l’entreprise doit prévaloir sur les droits et libertés des personnes concernées.
