RGPD et IA : Comment respecter la vie privée ?

L’intelligence artificielle et la protection des données personnelles

Définie comme étant la possibilité pour une machine de reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ¹, l’intelligence artificielle (IA) présente de nombreuses opportunités pour les entreprises. L’IA permet notamment de prédire les besoins des individus, d’agir de manière anticipée et d’adapter les projets. Elle permet également de répondre aux grands défis qui se présentent dans plusieurs domaines.

En dépit de ces avantages, ces innovations peuvent entraîner des conséquences défavorables pour les personnes physiques et ces risques ne doivent pas être négligés. Leur développement et utilisation doivent ainsi se faire dans le respect de la vie privée des individus et en veillant à la protection de leurs données personnelles.

Articulation entre le RGPD et l’IA

L’IA permet l’élaboration de machines sophistiquées et le développement d’applications pouvant remplacer l’intelligence humaine afin d’aboutir à des solutions, en recourant à des algorithmes. Ainsi, les meilleurs itinéraires permettant d’éviter les embouteillages peuvent être identifiés en analysant en temps réel l’état du trafic routier.

Le développement de ces algorithmes nécessite l’utilisation d’un grand nombre de données dont la plupart sont des données personnelles. L’usage de ces données est, en effet, inévitable en ce qu’elles permettent aux outils de progresser et d’évoluer. L’articulation entre le RGPD et l’IA est dès lors évidente. L’IA engendre des questions complexes notamment au regard de la protection des données à caractère personnel et les acteurs de l’IA doivent porter une attention particulière aux enjeux juridiques liés aux données personnelles. Ces questions doivent être identifiées et prises en compte dès la phase de conception du système. Plus concrètement, un équilibre entre le respect des règles légales et le développement des technologies doit être assuré.

Les risques posés par l’IA

Les risques que peut présenter le recours à l’IA sont nombreux. Ils peuvent concerner les données utilisées pour le développement du système, être liés à l’élaboration même des outils ou encore se rattacher aux données collectées via ces machines.

Ainsi, les systèmes d’IA peuvent être biaisés, donnant naissance à des discriminations à l’encontre de certaines personnes. Des atteintes à la vie privée des individus peuvent également avoir lieu dans le cas où les données sont utilisées à des fin non prévues. De plus, le non-respect des règles applicables en matière de sécurité peut engendrer un vol des données ou encore une altération des données, dont certaines peuvent s’avérer être des données sensibles.

Eviter ces risques n’est pas simple. La difficulté de protéger des systèmes d’IA a d’ailleurs été mise en avant par le laboratoire d’Innovation Numérique de la CNIL en précisant la nature statistique de leur construction les rendant vulnérables aux attaques ².

Dans cette perspective, l’Union Européenne a priorisé cette thématique et plusieurs textes ont été adoptés en la matière dont notamment une résolution sur une politique industrielle européenne globale sur l’intelligence artificielle et la robotique ³. Ces textes favorisent une approche commune dans l’objectif de faciliter le développement de ces technologies et de tirer le meilleur parti de leurs avantages tout en réduisant autant que possible les risques. Dans la continuité de ces objectifs, la Commission européenne a souhaité clarifier les systèmes d’IA interdits en limitant les cas où leur utilisation est tolérée ⁴.

IA & RGPD : Des travaux en cours

En plus du Règlement Général sur la Protection des Données qui s’applique aux pratiques d’IA en Europe, un règlement européen sur l’IA a récemment été adopté par le Parlement européen : Législation sur l’intelligence artificielle, aussi appelé Artificial Intelligence Act ⁵. Ce règlement vise à garantir que l’IA soit conçue et utilisée de manière responsable et respectueuse des droits fondamentaux, notamment des droits des personnes liés à la protection des données personnelles.

Il définit ainsi des exigences spécifiques pour les systèmes d’IA à haut risque, tels que les systèmes utilisés pour la reconnaissance faciale, le profilage ou encore la prise de décision automatisée. Ces systèmes doivent être conçus et mise en œuvre de manière à minimiser les risques pour les personnes concernées.

Ceci est en adéquation avec l’approche européenne en matière d’IA qui est axée « sur l’excellence et la confiance, visant à renforcer la recherche et les capacités industrielles tout en garantissant la sécurité et les droits fondamentaux »⁶.

Des travaux ont également été initiés par la CNIL à ce sujet dans l’objectif de répondre aux défis posés par l’intelligence artificielle. Elle précise que ses travaux ont principalement pour objectif de pouvoir : « appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes, de permettre et encadrer le développement d’IA respectueuses des données personnelles, de fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe, d’auditer et contrôler les systèmes d’IA et protéger les personnes ».

Par ailleurs, en plus de la création d’un service spécifique pour l’IA ⁷, la CNIL a mis en place plusieurs outils afin d’aider les acteurs concernés à mettre en place des systèmes IA conformes :

• Un guide d’auto-évaluation pour les systèmes d’IA⁸
• Un dossier sur la sécurité des systèmes d’IA⁹
• Les bonnes questions à se poser avant d’utiliser un système d’intelligence artificielle¹⁰
• Les mesures à prendre pour garantir la qualité et la transparence du système au cours de son utilisation ¹¹
• Les actions à mettre en place pour sécuriser le traitement des données et empêcher les failles et attaques ¹²
• Les moyens pour promouvoir la transparence et permettre aux personnes d’exercer leurs droits ¹³

Les principales règles à respecter

Les technologies d’IA et notamment celles qui reposent sur l’apprentissage automatique étant, par nature intrusives, il faudrait veiller à ne pas porter atteinte aux droits et libertés des individus lors de la conception et l’utilisation de ces outils. L’approche adoptée doit notamment tenir compte des principes fondamentaux du RGPD, dont notamment la licéité, la loyauté et la proportionnalité du traitement. Elle doit également permettre la réduction des risques ou encore leur prévention :

• Usage de données conformes : Les données utilisées dans le cadre du développement doivent avoir été collectées dans le respect des exigences sur la protection des données et leur utilisation ne doit pas se faire pour des finalités non légitimes. Il faut dès lors que le responsable du traitement s’assure au préalable de la conformité de ces données et identifie les finalités pour lesquelles elles peuvent être traitées.
• Minimisation des données : Les données personnelles collectées pour l’IA doivent être limitées à ce qui est nécessaire pour atteindre l’objectif visé. Ainsi, une évaluation de la quantité des données doit se faire de manière régulière afin de réduire le nombre de données utilisées durant la phase d’apprentissage et celle utilisées lors de l’usage des systèmes.
• Respect du principe de Privacy by Design : Les principes sur la protection des données doivent être pris en compte en amont de tout projet. Ces règles doivent également être respectées durant toutes les phases du projet et une collaboration entre les différents acteurs doit être assurée pour garantir une protection effective des données durant tout leur cycle de vie.
• Collecte conforme des données personnelles : La collecte des données personnelles via ces outils doit se faire dans le respect des exigences sur la protection des données. Ainsi, le consentement des personnes doit être collecté dans le cas où cette base légale s’applique. Il faut également notamment veiller à ne conserver les données que le temps nécessaire pour atteindre les objectifs prédéfinis et à recourir aux mesures permettant d’assurer un niveau de sécurité suffisant.
• Une transparence renforcée: les responsables de traitement doivent élaborer des procédures pour rendre les systèmes d’IA transparents et compréhensibles. Ceci nécessite d’informer les personnes concernées des données personnelles collectées et utilisées et des modalités de prise des décisions par les systèmes d’IA, en particulier en ce qui concerne les décisions ayant un impact significatif sur eux
• Sécurité des données : Des mesures suffisantes et adaptées doivent permettre de sécuriser les données personnelles contre les cyberattaques ou autre violation de données et doivent renforcer la confiance dans l’utilisation des systèmes.

Cette responsabilité d’assurer la conformité des systèmes pèse non seulement sur les fournisseurs, mais également sur les développeurs, importateurs, distributeurs, sous-traitants et fabricants, dont notamment les concepteurs des algorithmes qui doivent garantir cette conformité durant toute la durée de vie des applications.

Sources

¹ Définition et utilisation de l’Intelligence Artificielle du Parlement Européen

² Dossier LINC « Sécurité des systèmes d’IA »

³ Résolution du Parlement européen du 12 février 2019

⁴ Proposition de Règlement du Parlement Européen et du Conseil du 21 avril 2021

⁵ L’Artificial Intelligence Act

⁶ L’approche Européenne concernant l’Intelligence Artificielle

⁷ La CNIL créé un service de l’Intelligence Artificielle

⁸ Guide sur l’intelligence artificielle d’auto-évaluation de la CNIL

⁹ Dossier de la CNIL concernant la sécurité des système d’IA

¹⁰ Se poser les bonnes questions avant d’utiliser un système d’IA, guide de la CNIL

¹¹ Utiliser un système d’IA en production, guide de la CNIL

¹² Sécuriser le traitement des données personnelles IA, guide de la CNIL

¹³ Comment permettre le bon exercice de leurs droits par les personnes en cas d’usage de l’IA, guide de la CNIL