Intervenant dans des domaines aussi divers que la médecine, l’industrie ou la finance, l’intelligence artificielle est un « phénomène » grandissant, aux impacts multiples sur nos métiers, nos usages, notre quotidien et donc notre société.

L’intelligence artificielle fait référence à des technologies ou à des systèmes permettant à un ordinateur de réaliser des tâches supposant une simulation de l’intelligence humaine, y compris la prise de décision ou l’apprentissage. Ainsi, toute technologie ou système doté des qualités de l’esprit humain (l’habilité à raisonner, la capacité d’apprendre des expériences passées etc.) entre dans le champ de l’intelligence artificielle.

L’intelligence artificielle pose des questionnements multiples notamment au regard de la protection des données à caractère personnel. Ainsi, si votre projet impose de collecter des données à caractère personnel, le moyen de traitement qu’est l’intelligence artificielle devra être analysée au regard des nouvelles exigences et procédures.

Dans ce contexte, Mathias Avocats vous propose une check-list de quelques points à ne pas négliger si vous souhaitez développer des projets d’intelligence artificielle.

Avez-vous pensé à bien définir les données que vous utiliserez ?

Si vous collectez des informations, que vous utilisez pour le développement puis l’utilisation d’une intelligence artificielle, qui se rapportent à une personne physique identifiée ou identifiante, vous traitez des données à caractère personnel. Dès lors, vous êtes assujettis à la réglementation spécifique, notamment constituée du RGPD. Il est alors primordial de bien sélectionner les données nécessaires à la réalisation de votre projet et de maîtriser ces données.

Cette sélection et maîtrise des données correspond à l’application du principe de minimisation imposant de ne collecter que les données nécessaires, adéquates et pertinentes au regard du but poursuivi.

Egalement, au début de votre projet, le RGPD exige d’intégrer la protection des données dès la conception de vos outils, applications et traitements de données (Privacy by design) et de ne collecter que les données nécessaires au regard de chaque finalité spécifique et dont l’accès est limité aux seules personnes ayant besoin d’en connaitre (Privacy by default).

Avez-vous déterminé la base sur laquelle vous traiterez ces données ?

Six bases juridiques sont envisageables afin de traiter des données à caractère personnel dans le cadre de votre projet : consentement, exécution d’un contrat, obligation légale du responsable de traitement, sauvegarde des intérêts vitaux de la personne, exécution d’une mission de service public et la poursuite d’intérêts légitimes. Dès lors, il faut veiller à choisir le fondement juridique approprié afin que la collecte de données ne soit pas illicite.

Avez-vous pensé aux implications de la prise de décisions automatisées ?

Le RGPD prévoit que les personnes dont les données sont collectées ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé qui produit des effets juridiques à son égard. L’intelligence artificielle, impliquant une possibilité de prise de décision par un ordinateur, simulant une intelligence humaine, donne naissance à des décisions automatisées concernant des personnes physiques. A titre d’illustration, c’est le cas de décisions d’octroi de prêts ou d’hypothèques prises sur la base de la classification de personnes physiques dans des groupes de solvabilité, après collecte de leurs données et réalisation de profils. Une telle décision automatisée est néanmoins possible si elle est nécessaire à la conclusion ou à l’exécution d’un contrat, est autorisée par le droit de l’Union ou le droit de l’Etat membre auquel le responsable du traitement est soumis ou si elle est fondée sur le consentement explicite de la personne. Dans le cas d’un traitement fondé sur le consentement ou sur le contrat, des mesures pour assurer la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée doivent être prises par le responsable de traitement et comprennent notamment le droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision.

Entre aussi, dans le périmètre de la décision automatisée, le profilage. Ce dernier se définit comme l’utilisation de données pour évaluer certaines caractéristiques relatives aux personnes concernées et ainsi analyser ou prédire des éléments concernant par exemple leurs préférences personnelles ou leur comportement etc. La prise de décision automatisée, y compris le profilage, impose d’en informer les personnes.

Avez-vous pensé au droit à la portabilité des données ?

Ce droit est prévu par le RGPD. Son exercice permet à une personne concernée de recevoir ses données dans un format compréhensible, et le droit de transmettre ces données à un autre responsable lorsque le traitement est fondé sur le consentement, y compris pour la collecte de données sensibles, ou sur un contrat et que le traitement est effectué à l’aide de procédés automatisés.

Avez-vous envisagé de réaliser une analyse d’impact relative à la protection des données ?

Avec l’avènement de la logique de responsabilisation ou « accountability » instaurée par le RGPD, la preuve de la conformité aux dispositions qu’il prévoie, en continu et à tout moment, a été consacrée. Ainsi, le respect de l’accountability passe par la documentation de votre conformité au règlement. Dans ce contexte, l’analyse d’impact est un instrument qui va permettre de décrire le traitement envisagé, d’en évaluer la nécessité et la proportionnalité ainsi que d’aider à gérer les risques créés pour les droits et libertés des personnes.

Avez-vous prévu une procédure de notification de violation de données et les moyens de détecter une telle violation ?

Le développement de l’intelligence artificielle et sa complexité croissante peut rendre plus difficile de déterminer quand une cyber-attaque est intervenue ainsi que l’entité responsable en cas de la violation de données. Dans ce cadre, il est primordial d’instaurer une politique de sécurité des données et d’imposer des standards de sécurité aux prestataires intervenant dans le projet d’intelligence artificielle. De surcroit, il est nécessaire de contrôler l’application de ces standards par la mise en œuvre d’audits.

Mathias Avocats peut vous accompagner dans vos projets et met à votre disposition un Livre blanc sur les problématiques juridiques posées par l’intelligence artificielle.