Le Contrôleur européen de la protection des données (CEPD) a récemment publié une première note d'orientation sur l'utilisation de l'intelligence artificielle générative (IAG). Elle s'adresse en premier lieu aux institutions de l'UE. Toutefois, les obligations en matière de protection des données qu'il contient pour l'IA générative peuvent également être utiles aux entreprises.
Conseils sur la protection des données pour l'IA générative
Le guide vise à fournir des conseils pratiques sur le traitement des données à caractère personnel dans le cadre de l'utilisation des systèmes SIG. Il vise ainsi à garantir une utilisation de ces systèmes respectueuse de la protection des données, sans porter atteinte aux droits fondamentaux des personnes concernées.
Dès le début du guide, la bonne nouvelle est que tous les établissements de l'UE peuvent développer et utiliser leurs propres solutions d'IA générative. Ils peuvent également utiliser les solutions disponibles sur le marché pour leur propre usage. Seul le cadre juridique doit être respecté.
Le guide souligne la nécessité d'une évaluation minutieuse des risques et d'une surveillance continue lors de l'utilisation de systèmes d'IA. Cela concerne entre autres la minimisation de la collecte de données et la garantie de l'exactitude des données. En outre, le respect des droits des personnes concernées, tels que le droit d'accès, de rectification ou de suppression de leurs données.
Le rôle du délégué à la protection des données (DPD) est particulièrement mis en avant. Il doit s'assurer que les systèmes GAI sont conformes aux exigences légales en matière de protection des données.
En outre, les institutions doivent prendre des mesures techniques et organisationnelles afin de garantir la sécurité des données et d'empêcher toute utilisation abusive par des tiers.
Licéité du traitement des données à caractère personnel dans les systèmes d'IA
Le guide d'orientation indique expressément que les fournisseurs de modèles d'IA génératifs peuvent invoquer un intérêt légitime en vertu du RGPD comme base juridique pour le traitement des données. Cela s'applique notamment à la collecte de données utilisées pour le développement du système, y compris les processus de formation et de validation.
La CJCE a fixé trois conditions pour que le traitement des données à caractère personnel soit licite :
- la poursuite d'un intérêt légitime par le responsable du traitement (ou par un tiers) ;
- la nécessité de traiter des données à caractère personnel aux fins de l'intérêt légitime poursuivi ;
- les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent pas sur l'intérêt légitime du responsable du traitement (ou d'un tiers).
Le CEPD reconnaît toutefois que Dans le cas du traitement de données par des systèmes d'IA génératifs, de nombreuses circonstances peuvent influencer le processus de mise en balance. Il peut en résulter une insécurité juridique tant pour les personnes concernées que pour les responsables du traitement.
Conseil de lecture : L'AI Act est entré en vigueur le 1er août - voici ce qui se passe maintenant !
Transparence et équité dans l'utilisation des systèmes GAI
L'orientation souligne l'importance de la transparence dans l'information des personnes concernées sur le traitement de leurs données par des systèmes d'IA générative. Les institutions doivent fournir des informations claires et complètes sur les ensembles de données utilisés, le fonctionnement des algorithmes et les conséquences possibles pour les personnes concernées.
En outre, des dispositions doivent être prises pour garantir que les systèmes GAI fonctionnent de manière équitable et sans distorsions discriminatoires. Pour ce faire, il convient d'examiner et d'adapter régulièrement les systèmes afin de détecter et de corriger les distorsions.
Conclusion : L'utilisation de l'IA générative offre de nombreuses possibilités aux institutions de l'UE, mais nécessite une attention particulière aux exigences en matière de protection des données. Les lignes directrices publiées par le CEPD constituent une première étape pour garantir une utilisation de ces technologies respectueuse de la protection des données. Le CEPD a l'intention d'affiner et d'élargir ces lignes directrices au fil du temps afin de répondre aux défis en constante évolution.