Marcus Belke
CEO de 2B Advice GmbH, moteur de l'innovation dans le domaine de la vie privée conformité et de la gestion des risques, et a dirigé le développement d'Ailance, la nouvelle génération de conformité plateforme.
Avec l'émergence de technologies d'IA performantes, les exigences envers les responsables de la protection des données augmentent également. En effet, les données sont le carburant de l'IA moderne et les responsables de la protection des données se trouvent à l'intersection de l'innovation, de la gouvernance des données et du risque réglementaire. Il en résulte un champ de tensions : les RGPD exige une stricte Minimisation des données, Alors que les systèmes d'IA se basent souvent sur des quantités massives de données pour obtenir de meilleurs résultats. Les organisations doivent trouver un équilibre entre ces exigences contradictoires. Les responsables de la protection des données devraient jouer un rôle clé dans ce processus et établir des garde-fous pour une utilisation légale, éthique et fiable de l'IA.
Des gestionnaires de données aux conseillers stratégiques en IA
Le rôle des responsables de la protection des données et de la conformité évolue stratégiquement. Alors qu'ils agissaient auparavant principalement en tant que gestionnaires de données, ils doivent désormais devenir des conseillers en IA sur un pied d'égalité. Le règlement sur l'IA souligne cette évolution : il définit des règles basées sur les risques pour les systèmes d'IA et oblige les entreprises à mettre en place des structures de gouvernance de l'IA appropriées. Ainsi, l'article 4 du règlement sur l'IA exige explicitement que les fournisseurs et les utilisateurs de systèmes d'IA veillent à ce que leur personnel dispose d'un „niveau suffisant de compétences en matière d'IA“, indépendamment du niveau de risque du système d'IA. Cette obligation de formation ne concerne pas seulement le personnel interne, mais aussi les acteurs externes tels que les sous-traitants ou les prestataires de services. Les délégués à la protection des données (DPD) sont donc confrontés à la tâche d'intégrer la conformité à l'IA dans l'éventail de leurs tâches et d'adapter leurs connaissances en permanence.
Même si de nombreux délégués à la protection des données pensent qu'ils n'ont pas l'expertise technique nécessaire pour s'impliquer dans les questions d'IA : Des connaissances approfondies en programmation ou en informatique ne sont toutefois pas nécessaires à leur fonction. Il est plus important d'être prêt à reconnaître l'IA comme faisant partie de son domaine de compétence. En effet, presque toutes les applications modernes d'IA traitent des données personnelles, souvent sensibles. Si les délégués à la protection des données ne revendiquent pas activement cet espace de conception, d'autres parties prenantes internes le feront. Dans ce cas, il resterait RGPD son mandat principal, mais elle deviendrait une sous-discipline d'une gouvernance de l'IA plus large, pilotée par d'autres. Son rôle et son influence en tant que DPD diminueraient. Et ce, à une époque où leur participation est plus importante que jamais.
En effet, les autorités de surveillance soulignent que la gouvernance de l'IA n'est pas un sujet purement technique. Ainsi, les lignes directrices de l'ICO britannique en matière d'IA s'adressent spécifiquement aux Responsable dans les rôles de conformité, y compris les délégués à la protection des données, même si certains termes techniques nécessitent l'apport d'experts techniques. Les cadres supérieurs et les délégués à la protection des données restent responsables de la compréhension des questions de protection des données liées à l'IA et ne peuvent pas simplement déléguer cette tâche aux équipes de science des données. Les responsables de la protection des données ne doivent donc pas devenir des ingénieurs en IA, mais en savoir suffisamment pour poser les bonnes questions et remettre en question de manière compétente les décisions des départements spécialisés.
Compétence en IA + expertise juridique : la clé pour des DPD prêts pour l'avenir
L'utilisation croissante de l'IA aggrave considérablement les risques existants en matière de protection des données et de sécurité. Les violations peuvent être plus lourdes de conséquences, les effets sont plus étendus et le contrôle devient plus complexe, car les systèmes d'IA agissent souvent de manière opaque. Certes, le RGPD offre un cadre de protection, mais il ne suffit pas à lui seul à maîtriser pleinement les risques spécifiques de l'IA. C'est précisément pour cette raison que la réflexion classique basée sur les risques des responsables de la protection des données est aujourd'hui indispensable.
Les applications d'IA peuvent produire des erreurs ou des abus à plus grande échelle, par exemple une discrimination systématique due à des biais dans les données d'apprentissage ou à des décisions automatisées non contrôlées. Ainsi, les modèles d'IA peuvent renforcer les distorsions existantes et désavantager certains groupes. Les systèmes de reconnaissance faciale mal calibrés en sont un exemple. La nature de boîte noire de nombreux algorithmes d'IA rend également difficile de comprendre pourquoi une décision a été prise. En cas de doute, cela nuit à l'obligation de rendre des comptes. En outre, les modèles peuvent subir une dégradation des performances (Model Drift) après le déploiement, lorsque les données ou les environnements changent. Pour les entreprises, cela signifie que le respect de la vie privée dès la conception et les évaluations d'impact sur la vie privée doivent intervenir encore plus tôt et être envisagés de manière plus globale. Les DPD devraient intégrer les principes de protection des données dès le début des projets d'IA afin de réduire les risques de manière proactive avant que les systèmes ne soient déployés en production.
Cette nécessité est soulignée par les prescriptions de l'UE. Ainsi, le règlement sur l'IA exige des mesures strictes tout au long du cycle de vie pour les systèmes d'IA „à haut risque”. Il s'agit par exemple d'évaluations des risques, de la gestion des risques, de l'enregistrement de toutes les opérations et de la désignation d'une personne responsable de la surveillance de la conformité. L'introduction de systèmes d'IA sans formation suffisante du personnel ou sans contrôles adéquats peut être considérée comme un acte de négligence, ce qui peut entraîner des amendes plus élevées en cas de non-respect. Les entreprises qui souhaitent profiter des opportunités offertes par l'IA ont donc tout intérêt à s'appuyer sur l'expertise de leur délégué à la protection des données. Les outils classiques de ce dernier - tels que l'évaluation des risques, la mise en œuvre du respect de la vie privée dès la conception et la réalisation de DSFA - sont plus demandés que jamais. Ils doivent simplement être adaptés à l'environnement complexe de l'IA.
Conseil de lecture : Réussir la gouvernance de l'IA
Ce que les OPH doivent savoir sur l'IA (sélection)
Pour pouvoir remplir leur rôle élargi, les délégués à la protection des données doivent disposer d'une compréhension fondamentale des systèmes d'IA et de leurs risques. Les domaines de connaissances importants sont notamment
- Fonctionnement et catégories des systèmes d'IA : Comment les modèles d'IA sont développés, formés et utilisés. Cela inclut une vue d'ensemble des modèles classiques d'apprentissage automatique, de l'IA générative (par exemple, les LLM) et des systèmes d'IA à haut risque qui relèvent du règlement sur l'IA. Les DPD doivent connaître les quatre niveaux de risque du règlement sur l'IA et savoir à quelle catégorie appartiennent quelles applications.
- Notions techniques centrales : compréhension de notions telles que l'ensemble de données, l'entraînement, l'inférence de modèles (tirer une conclusion) ainsi que l'entrée/sortie de systèmes d'IA. C'est la seule façon d'évaluer correctement les flux de données et les traitements. Il est par exemple important de savoir comment un jeu de données d'entraînement peut influencer la performance et le biais d'un modèle.
- cycle de vie des systèmes d'IA : Les phases vont du développement et de la formation d'un modèle au déploiement et à l'utilisation, jusqu'à la surveillance continue. Différents risques peuvent survenir à chaque phase, par exemple les paramètres de protection des données pendant la phase de développement, la qualité des données pendant la formation, la dérive du modèle pendant l'exploitation ou les réponses aux incidents pendant la surveillance.
- Qualité et éthique des données : comment les données de formation et de test façonnent le comportement des modèles d'IA. Les DPO doivent être attentifs à l'origine, à la représentativité et à la qualité des données. Anonymisation des données afin de minimiser les risques tels que la discrimination ou la ré-identification. Ils doivent également être familiers avec des concepts tels que les hallucinations (contenus inventés par des modèles génératifs) ou la distorsion des données/biais.
- Risques typiques liés à l'IA : Outre les biais et les hallucinations, il s'agit par exemple de la dérive des modèles (détérioration insidieuse), du manque de transparence dû aux modèles complexes de type "boîte noire", de l'(in)équité des résultats et d'une dépendance excessive vis-à-vis des décisions automatisées (biais d'automatisation). Il convient de connaître et de pouvoir évaluer ces risques dans la perspective de la protection des données.
- Obligations de documentation et de preuve : Le règlement sur les IC exige de nombreuses Documentation et Transparence. Les DPD doivent savoir quels enregistrements doivent être conservés pour les systèmes d'IA (par exemple, les journaux d'événements, les rapports techniques, les rapports de sécurité, etc. Documentation) et quelles sont les obligations d'information et d'explication envers les personnes concernées. Par exemple, les personnes ont le droit d'être informées lorsqu'elles interagissent avec l'IA et de contester les décisions prises par l'IA.
Les premiers pas : Comment les OPH peuvent développer des compétences en IA
Personne ne s'attend à devenir un expert en IA du jour au lendemain. Il existe toutefois des moyens pratiques permettant aux responsables de la protection des données d'acquérir progressivement les outils nécessaires :
- Utiliser des démonstrations internes d'IA : Participez à des démonstrations d'IA en interne ou à des sessions d'intégration de nouveaux outils d'IA. Cela vous permettra de vous faire une idée des cas d'utilisation et de poser des questions à un stade précoce, par exemple sur les sources de données, les modèles utilisés et la prévention des biais.
- Ateliers avec des équipes de spécialistes : Recherchez l'échange avec les équipes de science des données, d'informatique ou de sécurité de votre entreprise. Des ateliers communs ou des réunions „brown bag“ peuvent aider à transmettre des connaissances mutuelles. Posez des questions techniques de base (par exemple : "Comment notre modèle d'IA est-il entraîné et quelles données sont utilisées ?).
- Obtenir des informations de la part des fabricants : Utilisez les sessions des fournisseurs d'IA ou des fabricants (par ex. les webinaires des fabricants d'outils d'IA, les fournisseurs de cloud, etc.) pour en savoir plus sur l'architecture des systèmes utilisés. Comprenez d'où proviennent les données, comment elles circulent, où elles sont stockées et quelles sont les interfaces existantes.
- Analyser ses propres cas d'utilisation de l'IA : Examinez de plus près les projets d'IA déjà en cours dans votre organisation. Où se trouvent les flux de données critiques ? Quel type de données personnelles est utilisé et s'agit-il vraiment du minimum nécessaire ? Certains types de risques (biais, imprécisions, manque d'explicabilité) sont-ils récurrents ?
- Rejoindre les organes de gouvernance : Si votre entreprise dispose déjà d'un comité de pilotage interne de l'IA ou d'un conseil de gouvernance de l'IA, essayez d'y participer ou au moins de suivre les procès-verbaux. Vous serez ainsi impliqué dans les décisions importantes et pourrez intégrer très tôt la perspective de la protection des données.
- S'impliquer tôt dans les projets : Insistez pour être présent dès la définition du problème d'un projet d'IA. Déterminez avec les services spécialisés quel problème commercial doit être résolu avant de procéder à l'acquisition des données et au choix du modèle. Demandez-leur si le même objectif peut être atteint avec moins de données personnelles et quels champs de données sont vraiment indispensables. Ces impulsions de privacy-by-design au début permettent d'économiser beaucoup d'efforts par la suite.
DPD en tant que responsable de l'intelligence artificielle
Bien que le règlement sur l'IA ne prévoie pas le rôle obligatoire d'un „responsable de l'IA”, les entreprises doivent créer des responsabilités internes pour se conformer aux obligations du règlement. Certaines organisations nomment donc volontairement un responsable IA chargé de coordonner le respect des règles en matière d'IA. Toutefois, un délégué à la protection des données bien informé peut souvent assumer cette fonction ou travailler en étroite collaboration avec un AI Officer, ce qui a un effet positif sur une gouvernance intégrée.
Dans tous les cas, il s'agit de jeter un pont entre le droit et la technique. Les responsables de la protection des données disposant d'un savoir-faire en matière de protection des données et d'IA deviennent indispensables à leur organisation, car ils sont en mesure de placer les exigences juridiques dans le contexte technique et d'identifier ainsi les risques à un stade précoce.
Vous souhaitez préparer et protéger vos données pour l'IA ?
Avec Ailance DSB nous mettons à disposition des délégués à la protection des données certifiés qui sont non seulement conformes au RGPD mais aussi posséder les compétences appropriées en matière d'IA et vous accompagner activement à travers les exigences du règlement IA.
Marcus Belke est CEO de 2B Advice ainsi que juriste et expert en IT pour Protection des données et numérique Conformité. Il écrit régulièrement sur la gouvernance de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French