Pour une IA responsable : comment le RGPD guide les modèles d'IA selon le CEPD

Le comité européen de la protection des données (CEPD) a adopté un avis* sur l’utilisation des données à caractère personnel pour le développement et le déploiement de modèles d’IA.

Le présent avis examine :

1) quand et comment les modèles d’IA peuvent être considérés comme anonymes,

2) si et comment l’intérêt légitime peut être utilisé comme base juridique pour développer ou utiliser des modèles d’IA, et

3) ce qui se passe si un modèle d’IA est développé à l’aide de données à caractère personnel qui ont été traitées illégalement. Il prend également en compte l'utilisation de données de première et de tierce partie.

L'avis a été demandé par l'autorité irlandaise de protection des données (DPA) en vue d'une harmonisation réglementaire à l'échelle européenne. Afin de recueillir des contributions pour le présent avis, qui traite des technologies en évolution rapide qui ont une incidence importante sur la société, l’EDPB a organisé une manifestation des parties prenantes et a eu un échange avec le Bureau de l’UE pour l’IA.

Talus, président du comité européen de la protection des données, a déclaré: «Les technologies de l’IA peuvent offrir de nombreuses possibilités et de nombreux avantages à différents secteurs et domaines de la vie. Nous devons nous assurer que ces innovations sont réalisées de manière éthique, sûre et d'une manière qui profite à tous. L’EDPB souhaite soutenir l’innovation responsable en matière d’IA en veillant à ce que les données à caractère personnel soient protégées et dans le plein respect du règlement général sur la protection des données (RGPD).»

En ce qui concerne l’anonymat, l’avis indique que la question de savoir si un modèle d’IA est anonyme devrait être évaluée au cas par cas par les APD. Pour qu'un modèle soit anonyme, il devrait être très peu probable (1) d'identifier directement ou indirectement les personnes dont les données ont été utilisées pour créer le modèle, et (2) d'extraire ces données personnelles du modèle par le biais de requêtes. L’avis fournit une liste non normative et non exhaustive de méthodes permettant de démontrer l’anonymat.

En ce qui concerne l’intérêt légitime, l’avis contient des considérations générales que les APD devraient prendre en considération lorsqu’elles évaluent si l’intérêt légitime constitue une base juridique appropriée pour le traitement des données à caractère personnel en vue du développement et du déploiement de modèles d’IA.

Un test en trois étapes permet d’évaluer l’utilisation de l’intérêt légitime comme base juridique. Le comité européen de la protection des données donne des exemples d’agent conversationnel chargé d’aider les utilisateurs et d’utilisation de l’IA pour améliorer la cybersécurité. Ces services peuvent être bénéfiques pour les individus et peuvent s'appuyer sur l'intérêt légitime comme base juridique, mais seulement s'il est démontré que le traitement est strictement nécessaire et que la mise en balance des droits est respectée.

L’avis comprend également un certain nombre de critères pour aider les APD à déterminer si les personnes peuvent raisonnablement s’attendre à certaines utilisations de leurs données à caractère personnel. Ces critères sont notamment les suivants:

> si les données à caractère personnel étaient ou non accessibles au public,

> la nature de la relation entre la personne et le responsable du traitement,

> la nature du service, le contexte dans lequel les données à caractère personnel ont été collectées,

> la source à partir de laquelle les données ont été collectées,

> les utilisations ultérieures potentielles du modèle,

> et si les personnes ont effectivement connaissance du fait que leurs données à caractère personnel sont en ligne.

Si le critère de mise en balance montre que le traitement ne devrait pas avoir lieu en raison de l’incidence négative sur les personnes, des mesures d’atténuation peuvent limiter cette incidence négative. L’avis comprend une liste non exhaustive d’exemples de telles mesures d’atténuation, qui peuvent être de nature technique, ou permettre aux particuliers d’exercer plus facilement leurs droits ou d’accroître la transparence.

Enfin, lorsqu’un modèle d’IA a été développé avec des données à caractère personnel traitées illégalement, cela pourrait avoir une incidence sur la légalité de son déploiement, à moins que le modèle n’ait été dûment anonymisé.

Compte tenu de la portée de la demande de l’autorité irlandaise de protection des données, de la grande diversité des modèles d’IA et de leur évolution rapide, l’avis vise à fournir des orientations sur divers éléments qui peuvent être utilisés pour mener une analyse au cas par cas.

En outre, l’EDPB élabore actuellement des lignes directrices couvrant des questions plus spécifiques, telles que le web scraping.

Ce communiqué de presse a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.​