Le 17 décembre 2024, le Comité européen de la protection des données (l’EDPB’) a publié son avis très attendu sur les modèles d’IA et la conformité au RGPD [Avis 28/2024 sur certains aspects de la protection des données liés au traitement des données à caractère personnel dans le contexte des modèles d’IA (‘l’avis’)].
Malheureusement, l’avis n’a pas répondu aux attentes des parties prenantes. Plutôt que de fournir des orientations directes, il exige une analyse au cas par cas de l’applicabilité du RGPD, en mettant notamment l’accent sur la responsabilité et la tenue de registres. En outre, l’avis propose d’utiliser l’intérêt légitime comme base juridique potentielle, dans certains scénarios.
L’approche de l’EDPB est-elle suffisamment claire pour les parties prenantes?
Pas tout à fait. En lieu et place d’orientations faisant autorité, l’EDPB fournit certains paramètres à prendre en compte pour déterminer si le modèle d’IA relève ou non du champ d’application des lois sur la protection des données. L’avis met également l’accent sur les exigences en matière de documentation comme moyen pour les parties prenantes de démontrer la conformité légale.
Un modèle d’IA peut-il être considéré comme anonyme s’il est formé à partir de données personnelles?
L’EDPB estime que les modèles d’IA formés à l’aide de données à caractère personnel ne peuvent pas toujours être considérés comme ‘anonymes’. Pour que les modèles d’IA soient considérés comme « anonymes », il faut qu’il ne soit pas possible d’extraire de manière significative les données à caractère personnel des personnes concernées à partir du modèle d’apprentissage ou des requêtes (directement ou non).
L’avis fournit une liste non exhaustive de méthodes qui peuvent être mises en œuvre pour obtenir l’anonymat au sein du modèle d’IA. Il s’agit notamment de la minimisation des données, de la réduction de l’identifiabilité et de la vérification de la résistance du modèle d’IA aux attaques. La liste susmentionnée exige en outre que les entreprises documentent de manière adéquate toute forme de traitement mis en œuvre pour former le modèle d’IA, y compris lorsque les données à caractère personnel sont rendues anonymes.
Dans quelles circonstances l’intérêt légitime peut-il être considéré comme une base juridique appropriée pour former des modèles d’IA?
L’EDPB reconnaît que ‘l’intérêt légitime’ peut être utilisé comme base légale pour former et mettre en œuvre des modèles d’IA. Néanmoins, les entreprises doivent démontrer que le traitement des données à caractère personnel est essentiel pour atteindre son objectif initial et minimiser les risques associés aux droits des personnes. Notamment, l’étendue de la collecte de données (en particulier par des méthodes telles que la récupération d’informations accessibles au public sur le web) est impérative pour la détermination susmentionnée. L’avis souligne en outre la nécessité d’effectuer et de publier un ‘test de mise en balance’ au cas par cas.
Que se passe-t-il si un modèle d’IA a été entraîné à l’aide de données d’origine illégale?
Lorsqu’un modèle d’IA est entraîné à l’aide de données personnelles d’origine illégale, son utilisation ultérieure peut être compromise. L’EDPB encourage tous ceux qui déploient des systèmes d’IA à procéder à une évaluation appropriée, en fonction de la forme et du degré des risques associés au développement et au déploiement du modèle d’IA. Cela permet de s’assurer que les données à caractère personnel n’ont pas été traitées de manière illicite au cours du développement du modèle utilisé.
Comment les organisations doivent-elles se préparer à l’évolution future des réglementations?
Bien que perspicaces, les orientations de l’EDPB posent davantage de questions qu’elles n’apportent de réponses concrètes. Lorsqu’elles évaluent les avantages et les opportunités de l’IA, les entreprises doivent suivre de près l’évolution de la réglementation et se préparer à une surveillance accrue de la mise en œuvre de l’IA en Europe. L’EDPB met l’accent sur la responsabilité, la légalité et la tenue de registres. En outre, il encourage les organisations à tenir des registres détaillés de toutes les activités de traitement, tant pour la phase de développement que pour la phase de déploiement du modèle d’IA. Il s’agit notamment de procéder à des évaluations de l’impact sur la protection des données (‘DPIA’), à des tests d’équilibre (le cas échéant) et de tenir des registres appropriés des activités de traitement (‘ROPA’). Il est également fortement recommandé d’examiner et de mettre à jour régulièrement les processus de protection des données afin de garantir la conformité au RGPD.
Cela vous concerne-t-il? Soyez proactif!
Alors que les réglementations en matière d’IA continuent d’évoluer, assurer la conformité avec le RGPD et la loi sur l’IA peut s’avérer difficile. Les organisations doivent agir de manière proactive en évaluant leurs modèles d’IA, en documentant les efforts de conformité et en gardant une longueur d’avance sur les attentes réglementaires.
Besoin d’aide? Nos experts en IA sont là pour vous aider
Chez MyData-TRUST, notre équipe interne d’experts en IA et en protection des données est prête à vous aider à relever ces défis. Que vous ayez besoin de conseils sur l’applicabilité du RGPD, les évaluations de la base légale ou les meilleures pratiques de gouvernance de l’IA, MyData-TRUST est là pour vous aider.
AUTEURS:
Noelia Fernandez Freire
