L’essor de l’IA en entreprise bouleverse la protection des données personnelles : chatbots, recommandation de produits, sélection automatique de candidats à un recrutement… ces outils basés sur l’IA soulèvent des questions de confidentialité et de sécurité des données, mais aussi de biais de traitement. Et en plus du RGPD, l’entrée en vigueur du récent règlement européen sur l’intelligence artificielle (AI Act) impose de nouvelles obligations légales. Comment le délégué à la protection des données (DPO) peut-il relever ces défis ?
L’intelligence artificielle (IA) connaît un essor sans précédent. Elle offre des possibilités révolutionnaires aux organisations, mais soulève de nombreuses inquiétudes concernant la protection des données.
De fait, le délégué à la protection des données personnelles (DPD ou DPO dans son appellation anglaise) se retrouve au cœur de ce défi. Chargé de mettre en œuvre la conformité au règlement européen sur la protection des données (RGPD) au sein de l’organisation qu’il l’a désigné, il doit prendre en compte la nouvelle loi sur l’IA (AI Act, en anglais) votée le 13 mars 2024 par le Parlement européen.
Premier défi du DPO : évaluer les risques liés aux données
L’IA et plus particulièrement les IA génératives (IAG), reposent sur l’exploitation massive de données pour entraîner les modèles algorithmiques, les fameux grands modèles de langage (LLM). Cette collecte et ce traitement soulèvent des préoccupations en matière de respect de la vie privée, de consentement éclairé et de sécurisation des données.
Les données à caractère personnel doivent aussi respecter le principe de minimisation. La CNIL le définit ainsi : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
De plus, les systèmes d’IA peuvent prolonger ou amplifier les biais présents dans les données d’entraînement, menaçant ainsi les principes d’équité et de non-discrimination.
Par exemple, les jeux de données (data sets) d’entraînement utilisés pour nourrir les systèmes de reconnaissance faciale sont majoritairement composés de portraits de personnes blanches. Ces systèmes reconnaitront donc moins bien les personnes de couleur.
Les DPO doivent être vigilants quant aux risques inhérents à l’IA, comme :
- La réidentification des individus à partir de données supposément anonymisées
- L’utilisation de données sensibles (genre, origine ethnique, opinions politiques, etc.) pour l’entraînement des modèles
- Le suivi et le ciblage des individus à des fins de publicité comportementale
- Les décisions automatisées ayant un impact significatif sur les personnes (recrutement, crédit, etc.)
Deuxième défi du DPO : assurer la conformité RGPD de l’IA
Au-delà des risques, les DPO font face à des défis opérationnels pour garantir la conformité des systèmes d’IA avec le RGPD. Parmi les principales difficultés figurent :
– L’évaluation de la nécessité et de la proportionnalité du traitement des données pour les systèmes d’IA
– La conduite d’analyses d’impact sur la protection des données (AIPD) pour les traitements à haut risque
– La mise en place de mesures techniques et organisationnelles appropriées (protection des données dès la conception, etc.)
– La gestion des droits des personnes concernées (accès, rectification, opposition, etc.) dans le contexte de l’IA
– La supervision et le contrôle des sous-traitants impliqués dans le développement ou l’utilisation de l’IA
La loi sur l’IA : un nouveau cadre réglementaire
Face aux défis posés par l’IA, l’Union européenne a proposé l’AI Act, une réglementation visant à établir des règles harmonisées pour le développement, la commercialisation et l’utilisation de systèmes d’IA “fiables”. Cette proposition législative introduit plusieurs concepts clés qui auront un impact significatif sur le rôle des DPO.
Classification des risques de l’IA
L’AI Act classe les systèmes d’IA en quatre niveaux de risque : inacceptable, élevé, limité et minimal. Les DPO devront être en mesure d’identifier le niveau de risque des systèmes d’IA utilisés par leur organisation et de mettre en place les exigences correspondantes.
Exigences pour les systèmes d’IA à haut risque
Pour les systèmes d’IA considérés comme à “haut risque”, par exemple, les systèmes de reconnaissance faciale, les systèmes de notation de crédit, etc., l’AI Act impose des exigences strictes tout au long du cycle de vie du système, telles que :
- La réalisation d’évaluations des risques et de tests de conformité
- La mise en place de systèmes de gestion des risques et de contrôles humains
- L’établissement de registres d’activité détaillés
- La désignation d’une personne chargée de contrôler la conformité du système
Ces exigences impliqueront une collaboration étroite entre les DPO, les équipes de développement et les experts en IA.
Droits des personnes concernées
L’AI Act renforce les droits des individus en leur accordant, notamment, le droit d’être informés lorsqu’ils interagissent avec un système d’IA et le droit de contester les décisions prises par ces systèmes. Les DPO devront veiller au respect de ces droits et mettre en place des procédures adaptées.
Rôle renforcé des autorités de contrôle
L’AI Act confère aux autorités de contrôle (telles que les autorités de protection des données) de nouveaux pouvoirs d’inspection, de surveillance et de sanction à l’égard des systèmes d’IA non conformes. Les DPO devront collaborer étroitement avec ces autorités, notamment la CNIL, et assurer une documentation rigoureuse de leurs activités liées à l’IA.
Perspectives d’avenir pour les DPO
Face à l’essor de l’IA et à l’émergence de réglementations telles que l’AI Act, le rôle des DPO évolue et devient plus stratégique que jamais. Ils seront amenés à travailler en étroite collaboration avec les équipes techniques, juridiques et opérationnelles pour intégrer la protection des données et les exigences réglementaires dès la conception et le déploiement des systèmes d’IA.
Les DPO devront développer une expertise approfondie dans le domaine de l’IA, tant sur les aspects techniques que juridiques et éthiques. Ils joueront un rôle clé dans la sensibilisation et la formation des équipes, ainsi que dans la promotion d’une culture de la protection des données et de l’IA responsable au sein de leur organisation.
En somme, les DPO se trouvent au cœur des défis liés à l’IA en matière de protection des données. Leur capacité à anticiper les risques, à collaborer avec les différentes parties prenantes et à s’adapter aux évolutions réglementaires sera cruciale pour permettre à leur organisation de tirer pleinement parti des avantages de l’IA tout en préservant les droits et libertés fondamentales des individus.