ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !
En savoir plus

Avis de l'EDSA sur l'utilisation des données à caractère personnel dans les modèles d'IA

L'EDSA a publié un avis sur le développement et l'utilisation de modèles d'IA en conformité avec le RGPD.
Catégories :
, ,

Le 18 décembre 2024, le Comité européen de la protection des données (CEPD) a publié un avis complet sur le développement et l'utilisation de modèles d'IA respectueux de la vie privée. L'avis aborde les principales questions liées au traitement des données à caractère personnel et fournit des orientations pratiques pour les entreprises et les organisations.

Anonymat des modèles d'IA

Un thème central de l'avis de l'EDSA est la définition et la garantie de l'anonymat des modèles d'IA. L'anonymat d'un modèle est d'une importance capitale. En effet, c'est lui qui détermine si les données traitées sont encore considérées comme personnelles et donc soumises aux exigences du RGPD. L'AESPD souligne qu'un modèle ne peut être considéré comme anonyme que si l'identification des personnes concernées est techniquement pratiquement impossible. Il ne doit pas non plus être possible d'extraire des données à caractère personnel du modèle par une interrogation ou une reconstruction ciblée.

Pour garantir l'anonymat, le comité recommande l'utilisation de méthodes spécifiques. Les principales méthodes sont le K-anonymat, la confidentialité différentielle et la pseudonymisation. Le K-anonymat vise à masquer les enregistrements individuels dans un groupe de telle sorte qu'ils ne puissent plus être clairement attribués à une personne. La confidentialité différentielle va encore plus loin et garantit que les modifications de la base de données n'ont pas d'influence significative sur le modèle, ce qui minimise le risque de ré-identification. La pseudonymisation, quant à elle, remplace les caractéristiques d'identification par des pseudonymes, mais n'offre pas une protection totale contre la ré-identification et peut être annulée sous certaines conditions.

Un autre aspect important est la réalisation d'analyses d'impact sur la protection des données conformément à l'article 35 du RGPD, en particulier lorsqu'il existe un risque élevé pour les droits et libertés des personnes concernées. Les entreprises devraient prendre des mesures non seulement techniques, mais aussi organisationnelles, pour s'assurer que leurs modèles d'IA sont formés et utilisés conformément à la protection des données. Il s'agit par exemple de vérifier régulièrement l'anonymat des données et de mettre en place des mécanismes de contrôle pour éviter toute ré-identification involontaire.

intérêt légitime : Test en trois étapes

Un élément essentiel de l'avis de l'EDSA est la classification juridique de l'intérêt légitime comme base juridique possible pour le traitement des données à caractère personnel dans le contexte des modèles d'IA. Conformément à l'article 6, paragraphe 1, point f), du RGPD, un traitement peut être autorisé s'il existe un intérêt légitime du responsable du traitement ou d'un tiers qui prévaut sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. Afin de procéder à cette mise en balance en toute sécurité juridique, l'EDSA propose un test en trois étapes qui nécessite un examen et une documentation minutieux.

Tout d'abord, le responsable du traitement doit définir clairement la finalité du traitement et justifier pourquoi le traitement des données à caractère personnel est nécessaire à la poursuite de cet intérêt. L'intérêt légitime peut par exemple résider dans le développement de technologies d'IA innovantes ou dans l'amélioration des services grâce à des analyses pilotées par les données. Il convient de veiller à ce que cet intérêt ne soit pas vague ou spéculatif, mais repose sur une base réelle et démontrable.

Dans un deuxième temps, il convient d'examiner si le traitement est réellement nécessaire pour atteindre la finalité fixée. Cela signifie que le responsable du traitement doit analyser s'il existe des moyens alternatifs permettant d'atteindre la même finalité avec des mesures moins intrusives pour les personnes concernées. Si tel est le cas, le traitement peut être considéré comme disproportionné et ne peut donc pas être fondé sur l'intérêt légitime.

La troisième étape, décisive, consiste à mettre en balance les intérêts du responsable du traitement et les droits et libertés fondamentaux des personnes concernées. Il convient notamment de tenir compte des attentes raisonnables des personnes concernées. Si une personne concernée ne s'attend pas raisonnablement à ce que ses données soient traitées pour une finalité donnée, cela peut constituer un indice fort de l'illicéité du traitement. De même, des mesures de protection spécifiques doivent être envisagées afin de minimiser le risque pour les personnes concernées. Par exemple, en communiquant de manière transparente sur le traitement des données ou en prenant des mesures de sécurité techniques supplémentaires.

Conséquences d'un traitement illicite des données

Une autre préoccupation de l'EDSA est le traitement des données à caractère personnel traitées illégalement dans les modèles d'IA. L'avis précise qu'il n'est pas possible de légitimer a posteriori un traitement de données non autorisé. Les responsables sont tenus de prendre les mesures appropriées pour minimiser l'impact d'un traitement illicite et pour se conformer aux exigences de la législation sur la protection des données.

Parmi ces mesures figure en priorité la suppression complète des données collectées illégalement dans le modèle d'IA et les bases de données associées. Si la suppression n'est pas techniquement réalisable, par exemple parce que le modèle a déjà été entraîné avec les données en question et qu'une extraction n'est plus possible, l'EDSA recommande des solutions alternatives. L'une de ces solutions consiste à entraîner à nouveau le modèle à l'aide d'une nouvelle base de données légitime (réentraînement du modèle à l'aide de données collectées légalement). Dans les cas où cela n'est pas réalisable, il peut être nécessaire de restreindre l'utilisation du modèle concerné.

En outre, l'EDSA souligne que les entreprises sont tenues de documenter les violations existantes de la protection des données et de prendre les mesures internes appropriées afin d'empêcher tout traitement illicite des données à l'avenir. Ces mesures comprennent la réalisation régulière d'évaluations d'impact sur la protection des données conformément à l'article 35 du RGPD et la mise en place de mécanismes de contrôle permanent des opérations de traitement des données. 

Conseil de lecture : Règlement sur l'intelligence artificielle (RIA) - ce qui s'appliquera aux entreprises à partir de février 2025

Conséquences pratiques pour les entreprises

L'avis de l'EDSA fournit des conseils pratiques aux entreprises qui développent ou utilisent des technologies d'IA. Les recommandations suivantes peuvent en être tirées :

L'EDSA précise que l'anonymat des modèles d'IA ne dépend pas uniquement de l'intention du responsable du traitement, mais doit être garanti par des mesures techniques appropriées et des processus de vérification réguliers. Les entreprises qui utilisent des technologies d'IA doivent s'assurer qu'elles mettent en place des mesures de protection des données appropriées et qu'elles vérifient en permanence leurs modèles afin d'identifier les risques potentiels pour la vie privée.

L'application du test en trois étapes pour évaluer l'existence d'un intérêt légitime n'est pas seulement une exigence formelle. Elle nécessite une réflexion de fond sur l'impact du traitement des données sur les personnes concernées. Les entreprises devraient donc mettre en œuvre des mesures de transparence (conformément à l'article 12 du RGPD) et documenter en détail les raisons pour lesquelles leur intérêt légitime prévaut. Cela peut se faire par le biais d'analyses d'impact sur la protection des données ou d'une analyse de risque interne détaillée.

En cas de doute, il est recommandé de se concerter avec les autorités de protection des données afin d'éviter toute insécurité juridique et de garantir la conformité au RGPD.

Conclusion : l'EDSA met les entreprises face à leurs responsabilités en matière d'IA

L'avis de l'EDSA fournit des lignes directrices importantes pour l'utilisation des technologies d'IA dans le respect de la protection des données. Il indique clairement que le développement et l'utilisation de modèles d'IA sont soumis à des exigences strictes en matière d'anonymat, de base juridique et de traitement des données. Les entreprises devraient donc mettre en œuvre des mesures appropriées pour garantir la conformité avec le RGPD et éviter les risques de responsabilité. En traitant les données personnelles de manière transparente et responsable, il est possible de concilier la force d'innovation de l'IA avec les droits des utilisateurs en matière de protection des données.

Vous voulez préparer votre entreprise à l'utilisation de l'IA ? Nous nous y attelons ensemble ! Nos experts se feront un plaisir de vous conseiller. Appelez-nous ou écrivez-nous :
Tél: +33 1 856 59880
Courrier électronique : paris@2b-advice.com

Source : Avis de l'EDSA sur les modèles d'IA

Prendre contact
Les tags :
, ,
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages

fr_FRFrench
de_DEGerman en_USEnglish it_ITItalian fr_FRFrench