La Commission irlandaise de protection des données (Data Protection Commission, DPC) a entamé une procédure contre Google dans l'UE. Elle soupçonne Google de ne pas avoir réalisé d'analyse d'impact sur la protection des données ou de l'avoir fait de manière insuffisante avant d'entraîner son Pathways Language Model 2 (PaLM 2) avec des données de citoyens de l'UE.
Procédure contre Google : n'y a-t-il pas eu d'analyse d'impact sur la protection des données ?
"Une analyse d'impact relative à la protection des données (AIPD) est essentielle pour garantir que les droits et libertés fondamentaux des personnes physiques sont dûment pris en compte et protégés lorsque le traitement de données à caractère personnel est susceptible d'entraîner un risque élevé", explique la DPC dans son communiqué du 12 septembre 2024.
Cette enquête légale s'inscrit dans le cadre d'un effort global visant à réglementer le traitement des données personnelles des personnes concernées dans l'UE lors du développement de modèles et de systèmes d'IA, en collaboration avec ses autorités de régulation des pairs de l'UE/EEE, poursuit la DPC.
La DPC fait référence à l'article 35 du RGPD, qui prévoit qu'une analyse d'impact relative à la protection des données (AIPD) est requise lorsque la nature du traitement, en particulier lorsqu'il fait appel aux nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, compte tenu de la nature, de la portée, des circonstances et des finalités du traitement.
Exigence de pondération pour la formation à l'IA
Il convient de souligner que l'analyse d'impact relative à la protection des données est un processus clé pour l'élaboration et la démonstration de la conformité. Elle garantit que les responsables du traitement identifient et atténuent tous les risques pour la protection des données résultant d'un traitement à haut risque. Elle vise, entre autres, à s'assurer que le traitement est nécessaire et proportionné et que des garanties appropriées existent au regard des risques.
L'autorité irlandaise est compétente pour Google, car la filiale du groupe, Google Ireland Limited, a son siège européen à Dublin, en Irlande. La DPC agit au nom de toutes les autorités de surveillance de la protection des données de l'UE. Dans le passé, elle s'est vu reprocher d'être trop indulgente avec les grands groupes technologiques américains, qui ont tous leur siège européen en Irlande. Mais les choses ont changé depuis.
Conseil de lecture : IA générative - le CEPD publie des orientations sur l'utilisation
Des problèmes d'IA aussi pour X, Meta et Apple
Auparavant, DPC a intenté une action en justice contre la plateforme de médias sociaux X. Au cours de la procédure judiciaire, l'entreprise avait accepté de cesser définitivement le traitement de certaines données à caractère personnel collectées dans l'UE pour l'entraînement de son chatbot d'intelligence artificielle Grok. En conséquence, l'autorité irlandaise a mis fin à la procédure judiciaire contre X.
Et Meta, la société mère de Facebook et Instagram, a annoncé en juillet qu'elle ne mettrait pas le successeur de son modèle d'IA Llama à la disposition des clients de l'Union européenne pour le moment. Auparavant, Meta avait cessé d'utiliser les données de clients européens pour l'entraînement de son IA après l'intervention des autorités européennes de protection des données.
Le groupe technique Apple montre lui aussi à quel point le thème de l'IA et de la protection des données est brûlant. Le 9 septembre, le groupe a déclaré dans un communiqué d'assistance que sa propre IA, Apple Intelligence, ne fonctionnerait pas pour l'instant si l'on se trouvait dans l'UE et si l'identifiant Apple était réglé sur un pays ou une région de l'UE.
French 
German 
English 
Italian