L’intelligence artificielle et la protection des données personnelles

Définie comme étant la possibilité pour une machine de reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ¹, l’intelligence artificielle (IA) présente de nombreuses opportunités pour les entreprises. L’IA permet notamment de prédire les besoins des individus, d’agir de manière anticipée et d’adapter les projets. Elle permet également de répondre aux grands défis qui se présentent dans plusieurs domaines.

En dépit de ces avantages, ces innovations peuvent entraîner des conséquences défavorables pour les personnes et ces risques ne doivent pas être négligés. Leur développement et utilisation doivent ainsi se faire dans le respect de la vie privée des individus et en veillant à la protection de leurs données personnelles.

Articulation entre le RGPD et l’IA

L’IA permet l’élaboration de machines sophistiquées et le développement d’applications pouvant remplacer l’intelligence humaine afin d’aboutir à des solutions, en recourant à des algorithmes. Ainsi, les meilleurs itinéraires permettant d’éviter les embouteillages peuvent être identifiés en analysant en temps réel l’état du trafic routier.

Le développement de ces algorithmes nécessite l’utilisation d’un grand nombre de données dont la plupart sont des données personnelles. L’usage de ces données est, en effet, inévitable en ce qu’elles permettent aux outils de progresser et d’évoluer. L’articulation entre le RGPD et l’IA est dès lors évidente. L’IA engendre des questions complexes notamment au regard de la protection des données personnelles et les acteurs de l’IA doivent porter une attention particulière aux enjeux juridiques liés aux données personnelles. Ces questions doivent être identifiées et prises en compte dès la phase de conception du système. Plus concrètement, un équilibre entre le respect des règles légales d’une part et le développement des technologies d’autre part doit être assuré.

Risques divers

Les risques que peut présenter le recours à l’IA sont nombreux. Ils peuvent concerner les données utilisées pour le développement du système, être liés à l’élaboration même des outils ou encore se rattacher aux données collectées via ces machines. Ils peuvent ainsi prendre naissance notamment dans le cas où les données utilisées pour la conception des solutions ne sont pas conformes ou encore lorsque les exigences de privacy ne sont pas prises en compte dès la conception. Or, éviter ces risques ne semble pas une chose aisée. La difficulté de protéger des systèmes d’IA a d’ailleurs été mise en avant par le laboratoire d’Innovation Numérique de la CNIL en précisant la nature statistique de leur construction les rendant vulnérables aux attaques ².

Dans cette perspective, l’Union Européenne a priorisé cette thématique et plusieurs textes ont été adoptés en la matière dont notamment une résolution sur une politique industrielle européenne globale sur l’intelligence artificielle et la robotique ³, favorisant une approche commune dans l’objectif de faciliter le développement de ces technologies, de tirer le meilleur parti de leurs avantages et afin de réduire autant que possible les risques. Aussi, la Commission européenne a souhaité clarifier les systèmes d’IA interdits en limitant les cas où leur utilisation est tolérée ⁴. Cette volonté ne peut qu’être saluée en ce qu’elle permet de contribuer à concevoir une IA responsable et de confiance.

Exigences à suivre

Les technologies d’IA et notamment celles qui reposent sur l’apprentissage automatique étant, par nature intrusives, il faudrait veiller à ne pas porter atteinte aux droits et libertés des individus lors de la conception et l’utilisation de ces outils. L’approche adoptée doit tenir compte des principes fondamentaux du RGPD, dont notamment la licéité, la loyauté et la proportionnalité du traitement. Elle doit également permettre la réduction des risques ou encore leur prévention :

• Usage de données conformes : Les données utilisées dans le cadre du développement doivent avoir été collectées dans le respect des exigences sur la protection des données et leur utilisation ne doit pas se faire pour des finalités non légitimes. Il faudrait dès lors s’assurer au préalable de la conformité de ces données et identifier les finalités pour lesquelles elles peuvent être traitées. Les données utilisées doivent aussi être indispensables pour atteindre les objectifs. Ainsi, une évaluation de la quantité des données doit se faire de manière régulière afin de réduire le nombre de données utilisées durant la phase d’apprentissage.
• Respect du principe de Privacy by Design : Les principes sur la protection des données doivent être pris en compte en amont de tout projet. Ces règles doivent également être respectées durant toutes les phases du projet et une collaboration entre les différents acteurs doit être assurée pour garantir une protection effective des données durant tout leur cycle de vie.
• Collecte conforme des données personnelles : La collecte des données personnelles via ces outils doit se faire dans le respect des exigences sur la protection des données. Ainsi, l’information des personnes doit être effectuée et leur consentement doit être collecté dans le cas où cette base légale s’applique. Il faudrait également notamment veiller à ne conserver les données que le temps nécessaire pour atteindre les objectifs prédéfinis et à recourir aux mesures permettant de sécuriser les données de manière suffisante.

La CNIL a mis en place plusieurs outils afin d’aider les acteurs concernés à mettre en place des systèmes IA conformes :

• Les bonnes questions à se poser avant d’utiliser un système d’intelligence artificielle ont été fournies ⁵
• Les mesures à prendre pour garantir la qualité et la transparence du système au cours de son utilisation sont également présentées ⁶
• Les actions à mettre en place pour sécuriser le traitement et empêcher les failles et attaques sont précisées ⁷
• Les moyens pour promouvoir la transparence et permettre aux personnes d’exercer leurs droits sont identifiés ⁸

Cette responsabilité d’assurer la conformité des systèmes pèse non seulement sur les prestataires, mais également sur les développeurs et fabricants, dont notamment les concepteurs des algorithmes qui doivent garantir cette conformité durant toute la durée de vie des applications.

¹ Définition et utilisation de l’Intelligence Artificielle du Parlement Européen

² Dossier LINC « Sécurité des systèmes d’IA »

³ Résolution du Parlement européen du 12 février 2019

⁴ Proposition de Règlement du Parlement Européen et du Conseil du 21 avril 2021

⁵ Se poser les bonnes questions avant d’utiliser un système d’IA, CNIL

⁶ Utiliser un système d’IA en production, CNIL

⁷ Sécuriser le traitement, CNIL

⁸ Permettre le bon exercice de leurs droits par les personnes, CNIL