Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
Intelligence artificielle et protection des données à caractère personnel : quelles règles s’appliquent ?
16 août 2023

La Confédération des organisations européennes de protection des données a créé un groupe de travail sur l’intelligence artificielle (IA) et les données personnelles. Ce groupe de travail a élaboré un guide à l’attention des délégués à la protection des données (DPO), qui devront inévitablement traiter des enjeux liés au développement de l’IA, notamment ceux liés à l’utilisation de logiciels d’apprentissage automatique.

Mathias Avocats vous propose une analyse des réflexions et recommandations contenues dans ce guide.

Le traitement automatisé implique-t-il systématiquement un recours à l’IA ? Le Règlement général sur la protection des données (RGPD) s’applique-t-il à l’IA ? Quels sont les apports du règlement européen sur l’IA ?

En tant que DPO, comment faire face au développement de systèmes utilisant l’Intelligence artificielle ?

Intelligence artificielle et apprentissage automatique : de quoi s’agit-il ?

L’IA et l’apprentissage automatique sont deux domaines étroitement liés mais distincts. Les définitions qui en sont données dans le guide sont les suivantes :

  • L’IA désigne des systèmes, des machines, capables d’effectuer des tâches qui requièrent généralement l’intelligence humaine. Cela inclut un large éventail de technologies, telles que le traitement du langage naturel (natural language processing), l’apprentissage automatique, la robotique, la reconnaissance d’images, la vision par ordinateur, etc.

La création d’un système d’IA implique le développement de machines et d’algorithmes, capables d’apprendre à partir de données, de comprendre et de traiter le langage humain, d’interpréter les informations visuelles, de proposer des solutions en fonction des données entrées.

  • L’apprentissage automatique est une sous-catégorie de l’IA, qui désigne le développement d’algorithmes capables d’apprendre et de s’améliorer au fils du temps. Il consiste à enseigner aux machines à apprendre à partir de données, sans être explicitement programmées, ce qui peut leur permettre de faire des prédictions en se basant sur de grandes quantités de données.

Le traitement automatisé implique-t-il nécessairement l’IA ou l’apprentissage automatique ?

L’automatisation est le processus de réalisation d’une tâche sans intervention humaine, en utilisant des ordinateurs et des systèmes informatiques. Cela peut être réalisé de différentes manières.

Certaines d’entre elles impliquent l’utilisation d’IA, mais ce n’est pas toujours le cas. Certaines tâches automatisées peuvent être effectués simplement en utilisant des algorithmes et des règles programmées, sans utiliser de technologies d’IA, par exemple : l’utilisation d’un logiciel de gestion de la relation client (CRM) pour enregistrer les informations des clients.

Le profilage est un autre concept lié à l’automatisation. Il consiste à utiliser des données pour analyser et prédire des aspects spécifiques d’une personne, comme ses préférences, ses intérêts ou son comportement. Le profilage peut être également réalisé avec ou sans l’utilisation de l’IA. Par exemple, un site de commerce en ligne peut utiliser le profilage pour recommander des produits en fonction des achats précédents de l’utilisateur, et cela peut être fait sans nécessairement utiliser l’IA.

Quelle application du RGPD vis-à-vis de l’intelligence artificielle et de l’apprentissage automatique ?

Le Règlement général sur la protection des données (RGPD) régule toutes les formes de technologies qui traitent des données à caractère personnel. On peut donc en déduire qu’il s’applique aussi à l’IA et à l’apprentissage automatique.

Les notions d’IA et d’apprentissage automatique n’apparaissent dans aucune disposition du RGPD. De même concernant les termes « blockchain », objets connectés, jetons non fongible (NFT) et autres technologies émergentes.

Cette absence de référence à de telles technologies s’explique par le principe de « neutralité technologique » du RGPD découlant du considérant 15, lequel a été examiné et confirmé par la Cour de justice de l’Union européenne dans une décision du 10 juillet 2018.

En conséquence, les principes et règles définis par le RGPD sont-ils susceptibles de s’appliquent quelle que soit la technologie considérée dès lors que des données à caractère personnel sont traitées.

A titre d’exemple, la réponse à la pandémie de Covid-19 en 2020 a démontré comment les principes du RGPD pouvaient être appliqués à une urgence inattendue, notamment à la création rapide de nouvelles technologies potentiellement intrusives pour la vie privée, telles que les applications de traçage Covid-19. L’évolution de modèles innovants de langage, tels que ChatGPT, n’avait pas été spécifiquement envisagée lors de l’introduction du RGPD en 2018. Cependant, si une technologie d’IA traite des données personnelles, le RGPD s’applique.

Si le RGPD régit déjà l’IA, quels seront les apports du Règlement européen à venir sur l’IA ?

Le RGPD et le règlement européen sur l’IA (AI Act) en cours de discussion définissent toutes deux des régimes de responsabilité, de gouvernance et de surveillance. Toutefois, elles remplissent des objectifs réglementaires distincts dans le contexte de l’IA.

Le RGPD vise principalement à protéger les données à caractère personnel et ne fait pas explicitement référence à des applications technologiques spécifiques, telles que l’IA. Il s’applique chaque fois qu’un traitement de données à caractère personnel est mis en œuvre, au moyen de l’IA ou non, par une entité établie au sein de l’Union européenne ou par une entité établie dans un pays tiers suivant les conditions définies par l’article 3, paragraphe 2 du RGPD.

L’AI Act reconnait que l’utilisation de l’IA suscite des préoccupations éthiques et sociétales plus larges, qui dépassent le cadre du RGPD. Par exemple, certaines pratiques utilisant l’IA ou l’apprentissage automatique peuvent perpétuer des biais culturels ou des pratiques discriminatoires, ou induire des risques de sécurité.

L’AI Act vise à créer un cadre réglementaire adapté à l’évolution de ces technologies et à promouvoir l’innovation responsable en matière d’IA dans l’Union européenne, tout en respectant les droits et valeurs fondamentaux de celle-ci. Pour rappel, la proposition de règlement européen sur l’IA a été adoptée par le Parlement européen le 14 juin 2023, ouvrant ainsi la voie aux discussions au sein du Conseil de l’UE. L’objectif est de parvenir à un accord d’ici la fin de l’année 2023.

Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !