Discrimination, désinformation, atteintes à la vie privée, biais algorithmiques, manipulation des comportements, surveillance de masse, cyberattaques, atteintes à la sécurité des systèmes d’information : tels sont quelques uns des risques liés à l’intelligence artificielle répertoriés par le Massachussetts Institute of Technology dans son AI Risk Repository.
Face à ces enjeux, le législateur européen a été le premier à instaurer les garanties d’une IA éthique et respectueuse des droits fondamentaux. Le Règlement IA (RIA) ou Artificial Intelligence Act, entré en vigueur le 1er août 2024, pose un cadre de responsabilité pour l’ensemble des acteurs de l’Intelligence Artificielle. Cette démarche s’inscrit dans le cadre d’un objectif plus global de la Commission européenne de façonner l’avenir digital de l’Europe, avec un cap, celui de 2030 et des objectifs ambitieux pour notre décennie.
Au cœur de ces ambitions, la volonté de créer un marché unique européen de la donnée a considérablement renforcé les enjeux de gouvernance des données pour les organisations.
Concilier RIA et RGPD – une approche par les risques
A chaque stade de la conception, du développement, du déploiement ou de l’utilisation d’un Système d’IA, vous devrez anticiper les contraintes règlementaires du RIA, en gardant à l’esprit que le RIA s’applique sans préjudice des autres règlementations applicables , notamment le RGPD.
Une telle approche transversale permet d’appréhender au mieux l’environnement juridique global dans lequel s’inscrit un projet IA, pour rester aux commandes de son projet et maîtriser les risques de conformité et de responsabilité contractuelle.
Le RIA propose une approche produit doublée d’une approche par les risques pour la santé, la sécurité et les droits fondamentaux. Le RGPD impose quant à lui un principe de responsabilisation ( Accountability ) selon lequel l’organisme identifie les risques pour les droits et libertés des personnes posés par ses traitements de données.
Dans une série de fiches pratiques publiées en juin 2024, la CNIL précise les modalités d’articulation entre le RGPD et le RIA.
Quelles mesures clés mettre en œuvre pour assurer la conformité au RGPD de vos projets IA ?
1. Identifier les rôles et responsabilités
Les enjeux de qualification des rôles et responsabilités au regard du RGPD se déclinent de manière spécifique dans les cadre des projets IA.
Pour rappel, le Responsable de traitement est l’organisme qui détermine les moyens et les finalités du traitement. Le Sous- traitant, quant à lui, traite les données sur les instructions du responsable de traitement et pour son compte.
En matière de projets IA, sera considéré comme Responsable de traitement le fournisseur d’un système d’IA qui constitue une base d’apprentissage à partir de données qu’il a sélectionnées pour son propre compte, ou encore qui confie cette tâche à un prestataire via des instructions précises. A l’inverse, sera considéré comme Sous-traitant le fournisseur qui développe un SIA pour le compte d’un client en suivant ses instructions détaillées.
2. Veiller à la licéité des traitements de données
Tout traitement de données personnelles doit être licite. Parmi les fondements légaux énumérés à l’article 6.1 du RGPD, le plus couramment invoqué en matière d’IA est l’intérêt légitime. La CNIL précise que l’intérêt légitime pourra utilement fonder un traitement dès lors que :
- Le responsable de traitement met en œuvre des mesures complémentaires telles que la minimisation des données ;
- des garanties supplémentaires sont aménagées, telles que la possibilité pour les personnes concernées de s’opposer discrétionnairement au traitement.
3. Mener une Analyse d’Impact sur la Protection des Données (AIPD)
Pour rappel, l’AIPD (encore nommée Privacy Impact Assessment) est à la fois :
- un outil d’évaluation de l’impact d’un traitement de données personnelles sur la vie privée ;
- et un document d’analyse des risques définissant les mesures appropriées lorsqu’un risque élevé est susceptible d’exister pour les droits et les libertés des personnes.
Une AIPD doit être menée notamment si le traitement de données répond à au moins deux des critères énumérés par le Comité Européen de la Protection des Données, au nombre desquels :
- le recours à la notation (rendement au travail de la personne, sa santé, ses préférences ou centres d’intérêts, sa fiabilité ou son comportement, sa localisation et ses déplacements)
- la prise de décision automatisée avec effets significatifs sur la personne concernée
- le traitement à grande échelle
- croisement d’un ensemble de données
- utilisation d’une technologie innovante (utilisation d’objets connectés, de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale )
Une AIPD doit également être menée si le traitement fait partie de ceux identifiés par la CNIL comme requérant une AIPD (liste-traitements-avec-aipd-requise-v2 (002).pdf )
Dans le cadre d’un projet IA, il faut retenir que l’AIPD est obligatoire pour le développement de modèles de fondation ou de systèmes d’IA à usage général et pour le déploiement de systèmes d’IA identifiés comme présentant un haut risque.
4. Focus sur la collecte des données par moissonnage (webscrapping)
Le développement d’un système d’IA nécessite d’assurer une gestion et un suivi rigoureux des données d’apprentissage. Pour constituer sa base de données d’apprentissage, le fournisseur du SIA peut être amené à réutiliser des données publiquement accessibles qu’il a extraites de sites web au moyen d’outils de moissonnage
Il devra alors s’assurer de minimiser cette collecte de données en s’assurant de définir en amont des critères clairs de pertinence des données, de ne conserver que les données strictement nécessaires et supprimer les autres rapidement. Seule une démarche qualitative de la donnée permet de constituer une base de données fiable et légitimement exploitable
5. Transformer la conformité en levier de croissance
La gouvernance des données est le socle de tout projet IA.
En anticipant les exigences du RIA et du RGPD, les entreprises peuvent sécuriser leurs investissements tout en minimisant les risques de non-conformité, de sanctions financières, de responsabilité contractuelle et de crise réputationnelle. Elles peuvent ainsi transformer les défis posés par les nouvelles normes européennes en avantage concurrentiel et en opportunité de compétitivité.