6 Janvier, 2025
Le Comité européen de la protection des données a publié son «Avis 28/2024 sur certains aspects de la protection des données liés au traitement des données personnelles dans le contexte des modèles d’IA».
Dans cet article, l’EDPB aborde 3 questions principales:
Quand un modèle d’IA entraîné avec des données personnelles peut-il être considéré comme anonyme?
Il est nécessaire de procéder à une analyse au cas par cas:
- Compte tenu de la probabilité que les données personnelles soient directement extraites ou obtenues à partir des requêtes saisies
- En tenant compte de « tous les moyens raisonnablement susceptibles d’être utilisés » par le responsable du traitement ou par un tiers (y compris des tiers involontaires)
L’EDPB propose une liste non exhaustive de méthodes que les responsables du traitement peuvent utiliser pour démontrer que le modèle est anonyme.
Quand l’intérêt légitime peut-il être utilisé comme base juridique lors du développement et du déploiement du système?
Il est nécessaire d’effectuer un test en 3 étapes, qui nécessite:
- Identifier un intérêt légitime du responsable du traitement ou d’un tiers qui est poursuivi. Cet intérêt légitime doit être licite, clairement et précisément exprimé et réel et non hypothétique
- Déterminer que le traitement est nécessaire pour atteindre la finalité qui ne peut être atteinte par d’autres moyens moins intrusifs
- Effectuer un exercice d’équilibre entre les droits et libertés de la personne concernée et les intérêts du responsable du traitement ou du tiers. L’EDPB souligne que l’impact pour les individus peut être positif ou négatif et que les attentes raisonnables des individus doivent être prises en considération
L’EDPB propose une liste non exhaustive de mesures d’atténuation, avec des exemples spécifiques de scénarios de suppression de sites Web.
Pour plus de détails sur l’intérêt légitime comme base juridique, les récentes lignes directrices de l’EDPB sur le traitement des données personnelles fondées sur l’intérêt légitime (pour consultation publique):
Quelles sont les conséquences d’un traitement illicite de données personnelles?
Les lignes directrices présentent 3 scénarios possibles dans lesquels un responsable du traitement traite illégalement des données personnelles pour développer le modèle:
Scénario 1: Les données personnelles sont conservées dans le modèle et sont ensuite traitées par le même responsable du traitement (par exemple dans le cadre du déploiement du modèle):
Les conséquences pour le nouveau contrôleur dépendront:
- Que les objectifs des phases de développement et de déploiement soient différents ou non,
- Comment l’illicéité du traitement initial affecte la licéité du traitement ultérieur
Scénario 2: les données personnelles sont conservées dans le modèle et sont traitées par un autre responsable du traitement dans le cadre du déploiement du modèle:
- Les AS détermineront si le nouveau responsable du traitement a procédé ou non à une évaluation appropriée pour s’assurer que les données personnelles n’ont pas été traitées illégalement pendant la phase de développement
- L’EDPB souligne que la déclaration de conformité de l’UE requise pour les fournisseurs de systèmes d’IA à haut risque pourrait ne pas suffire à démontrer la conformité
Scénario 3: Un responsable du traitement traite illégalement des données personnelles pour développer le modèle, puis s’assure que le modèle est anonymisé, avant que le même responsable ou un autre responsable du traitement n’initie un autre traitement de données personnelles dans le cadre du déploiement:
- Si l’utilisation du modèle par le nouveau responsable du traitement n’implique pas de traitement de données personnelles, le RGPD ne s’appliquerait pas
- Si des données personnelles sont traitées par des responsables du traitement ultérieurs lors du déploiement du modèle précédemment anonymisé, le RGPD s’appliquerait à ces nouveaux traitements, qui ne devraient pas être affectés par l’illicéité du traitement pendant la phase de développement
