Quels sont les enjeux, en termes de protection des données à caractère personnel, de l’utilisation de l’IA ?

L’utilisation de l’IA par les entreprises peut conduire à des prises de décisions individuelles automatisées, fondées exclusivement sur un traitement automatisé, produisant des effets juridiques ou affectant de manière significative les personnes concernées.  Cela peut être le cas, par exemple, d’outils de présélection des candidats à l’emploi, dont l’utilisation de l’IA contiendrait des biais (et donc des risques de résultats potentiellement discriminants). Les DPO doivent nécessairement en être conscients, pour pouvoir agir et formuler leurs recommandations.

En outre, les DPO doivent comprendre le fonctionnement des algorithmes pour identifier les risques en matière de protection des données à caractère personnel et mettre en place des mesures de protection appropriées si nécessaire. Il en est de même de la compréhension des implications et des limites des systèmes d’IA, en particulier concernant les éventuels biais pouvant exister et la possibilité d’erreurs dans les résultats générés par l’IA.

De nombreuses applications utilisent déjà ou prévoient d’utiliser l’IA et l’apprentissage automatique, par exemple des « chatbots » utilisant des données personnelles pour fournir des réponses personnalisées, le scoring servant de base à l’octroi ou au refus d’un crédit bancaire, ou encore l’utilisation de ChatGPT.

L’entrée en vigueur du règlement européen sur l’intelligence artificielle (AI Act) entraine des obligations supplémentaires, sur lesquelles les DPO doivent se tenir informés. Pour rappel, ce projet de règlement a été adopté le 13 mars 2024. Toutefois, les DPO ne doivent pas attendre cette réglementation spécifique à l’IA : lorsque les systèmes d’IA traitent des données à caractère personnel, le Règlement général sur la protection des données (RGPD) s’applique.

Quelles dispositions du RGPD sont particulièrement pertinentes en matière d’IA ?

Dans le contexte de l’IA, les règles de la protection des données sont essentielles à la protection des droits et libertés des personnes concernées.

Le principe de transparence, défini aux articles 12 et suivants du RGPD, est important dans la gouvernance des systèmes d’IA. Une transparence est exigée par le RGPD, y compris notamment en cas d’existence d’une prise de décision automatisée.

Quelles en sont les raisons ? La complexité du traitement de données et le fonctionnement de ces systèmes automatisés ne relèvent pas de l’évidence pour les personnes concernées.

Ainsi, il est nécessaire que les personnes concernées soient informées de manière concise, transparente et compréhensible sur la logique sous-jacente de la décision automatisée, l’importance et les conséquences prévues du traitement conduisant à ladite décision pour les personnes concernées.

L’AI Act renforce ces exigences en imposant des obligations spécifiques de transparence pour les systèmes d’IA interagissant avec les personnes (« bot ») ou tels que les « deepfake » (supports média produits ou modifiés par l’IA).

Le RGPD exige que les données à caractère personnel soient traitées de manière loyale. Or, certaines pratiques utilisant l’IA ou l’apprentissage automatique peuvent perpétuer des biais culturels ou des pratiques discriminatoires, dans les algorithmes utilisés. En tant que DPO, il faut s’assurer que l’utilisation de l’IA n’induise pas de biais (en termes de genre, âge, origine ethnique, orientation sexuelle, etc.), pouvant conduire à des discriminations dans le traitement des données. Ces questions devront être prises en compte dans le cadre de l’identification et de l’évaluation des risques générés pour les droits et libertés des personnes concernées.

Le principe d’explicabilité signifie la capacité de comprendre les décisions prises par un algorithme d’IA de manière compréhensible pour les individus. Le RGPD requiert que les personnes concernées aient « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement. » (RGPD, articles 13 et 14).

Selon l’article 22 du RGPD, les décisions automatisées, y compris le profilage, peuvent être soumises à des obligations spécifiques. De plus, les personnes concernées doivent pouvoir s’y opposer, sauf exceptions.

Étant donné la complexité et parfois les incertitudes entourant les systèmes d’IA, des protections supplémentaires peuvent être nécessaires pour garantir les droits des personnes concernées. Une analyse d’impact relative à la protection des données sera probablement requise et, le cas échéant, une consultation préalable de l’autorité de contrôle. Les DPO, les métiers souhaitant utiliser les technologies d’IA et les RSSI devront prendre en compte ces enjeux et risques concrets générés par l’IA impliquée lors de la réalisation de l’analyse d’impact relative à la protection des données (AIPD), nécessaire à toute nouvelle activité de traitement des données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Il existe une convergence sur ce point avec la proposition de règlement européen sur l’IA, dans laquelle certains systèmes d’IA sont considérés « à haut risque » (article 6) et requièrent des obligations spécifiques.

En outre, les DPO mais aussi les acteurs internes tels que les juristes, RSSI et responsable de conformité auront certainement à formuler des recommandations de mise en œuvre de diverses mesures organisationnelles, juridiques, ainsi que de gouvernance et de contrôles techniques pour guider, par exemple, l’utilisation appropriée des services d’IA génératives (comme ChatGPT), notamment la mise à jour des politiques d’utilisation des données et de sécurité de l’information, la configuration des outils de prévention de la perte de données pour bloquer ou limiter le partage de données, etc. La sensibilisation des collaborateurs sera également déterminante.

En résumé

De nombreux acteurs, dont le DPO, auront un rôle-clé à jouer dans le suivi et la sensibilisation aux risques que posent ces technologies.

Pour relever les défis posés par l’IA et notamment l’apprentissage automatique, il est recommandé aux DPO de collaborer en interne avec les parties prenantes sur ces sujets, tels que les data scientists, les responsables IT et former un réseau de « relais de l’IA ». Ce réseau veillera à ce que l’utilisation des technologies et systèmes d’IA soit transparente, responsable, loyale et surtout conforme au RGPD – et à l’AI Act.

Le guide liste les étapes-clés que les DPO et leur réseau de « relais de l’IA » peuvent suivre pour se préparer à l’utilisation des systèmes d’IA dans leur organisation :

• Comprendre les technologies d’IA utilisées dans leur organisation (leur fonctionnement, les données qu’elles collectent et traitent, dans chaque service/département et les types de décision que les systèmes d’IA sont capables de prendre) ;
• Spécifier et documenter clairement les finalités du traitement des données liées aux systèmes d’IA ;
• Réaliser des analyses d’impact relatives à la protection des données (AIPD) ;
• Examiner les contrats conclus avec des fournisseurs d’IA tiers concernant la protection des données ;
• Veiller à ce que des mesures de sécurité appropriées soient mises en oeuvre ;
• Auditer régulièrement les systèmes d’IA pour s’assurer de leur bon fonctionnement et gérer les risques en matière de protection des données.

Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !