Secteur d'activité
Depuis mai 2018, l’Union européenne s’est dotée d’un règlement sur la gestion et la protection des données personnelles, le RGPD. Toutes les entreprises souhaitant développer leurs marchés sur le territoire européen s’en sont retrouvées fortement impactées. En parallèle, les avancées technologiques de l’intelligence artificielle (IA) transforment profondément notre société et présentent de nombreuses opportunités pour ces mêmes entreprises. Comment faire cohabiter RGPD et intelligence artificielle ?
Quel est le lien entre le RGPD et l’intelligence artificielle ?
L’IA est une technologie en plein essor. Elle révolutionne de nombreux aspects de notre vie quotidienne, de la santé à la finance, en passant par l’automobile. Toutefois, l’utilisation de l’IA soulève des questions importantes concernant la protection de la vie privée et la sécurité des données personnelles.
Le RGPD est un cadre juridique essentiel mis en place par l’Union européenne et contrôlé en France par la CNIL. Il a pour but de protéger les droits des individus concernant l’usage de leurs données personnelles. Et justement, l’IA repose souvent sur la collecte et l’analyse de grandes quantités de datas.
Les grands principes du RGPD
Le Règlement général sur la protection des données (RGPD) repose sur plusieurs principes qui visent à protéger les droits fondamentaux des individus en matière de vie privée et de données personnelles.
- Licéité, loyauté et transparence : La collecte et le traitement des données doivent être conformes à au moins un des fondements de la licéité. Les individus doivent en être informés de manière claire et compréhensible.
- Limitation des finalités : Les données personnelles ne doivent être collectées que pour des finalités spécifiques, légitimes et explicites. Elles ne peuvent pas être traitées différemment ultérieurement.
- Minimisation des données : les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées.
- Exactitude : Les données personnelles doivent être exactes et tenues à jour.
- Limitation de la conservation : les datas des personnes inactives ne peuvent pas être conservées plus de 36 mois, à moins d’être anonymisées. Un consentement doit être demandé tous les 13 mois.
- Intégrité et confidentialité : La sécurisation est le point majeur du RGPD. Le responsable des datas doit en garantir la sécurité et la confidentialité.
L’intelligence artificielle, une technologie incontournable pour les entreprises
L’utilisation de l’intelligence artificielle révolutionne les modèles d’affaires et les stratégies de nombreux acteurs de l’industrie. L’IA présente de multiples avantages pour une entreprise. Elle améliore l’efficacité opérationnelle en automatisant des tâches répétitives grâce à des algorithmes. Elle aide à prendre des décisions stratégiques grâce à l’analyse rapide de grandes quantités de données. Elle permet également de personnaliser l’expérience client et contribue au développement de produits plus innovants.
Injectée dans des chatbots et des agents virtuels, elle offre un service client amélioré. Ses analyses prédictives viennent en aide aux entreprises en termes de sécurité, par exemple en détectant les fraudes et en prévenant les cyberattaques. Toutefois, l’utilisation accrue de l’IA soulève des questions éthiques et des défis concernant la protection des données et la vie privée. De fait, les organisations doivent trouver un moyen de se mettre en conformité quant à la protection des données, en développant une approche responsable et éthique de l’usage de l’IA.
Quelles sont les nouvelles approches de la gestion des données avec l’IA ?
La qualité des données est un enjeu majeur pour les entreprises. Effectivement, elle conditionne directement la fiabilité et la pertinence des analyses, ainsi que les décisions qui en découlent. L’IA est en mesure de traiter un grand nombre de données dans un temps réduit. Ainsi, l’associer avec une approche Data Driven peut s’avérer une stratégie efficace. Une organisation Data Driven pilote sa stratégie business par les données qu’elle collecte, traite et analyse.
Face à l’augmentation constante de la quantité de données générées par les entreprises, l’approche centralisée de la gestion de données semble avoir atteint ses limites. Un nouveau paradigme d’organisation de la data a fait son apparition depuis quelques années : le Data Mesh (maillage des données). Cette approche permet de construire une architecture de données favorisant le partage et la réutilisation.
L’IA analyse les données en continu et ajuste ses prédictions en fonction des changements. C’est un énorme atout pour les organisations qui peuvent ainsi adapter leur stratégie en fonction des évolutions du marché. Les géants du e-commerce, par exemple, peuvent ainsi ajuster leurs prix en temps réel. Enfin, concernant les données sensibles, comme celles concernant la santé ou la propriété intellectuelle, les organisations peuvent utiliser l’intelligence artificielle et ses algorithmes pour développer des jeux de données synthétiques.
Quels sont les principaux risques liés à l’IA face au RGPD ?
L’intelligence artificielle soulève de nombreuses questions et préoccupations en matière de protection des données personnelles. En effet, l’IA collecte et traite de grandes quantités de datas. Pour les organisations, cela représente un défi en termes de respect de la vie privée et de mise en conformité avec le RGPD. De plus, la sécurité des données est une source d’inquiétude majeure dans le contexte de l’IA.
Nous l’avons vu, l’un des principes du RGPD est que seules les données strictement nécessaires peuvent être collectées. Or, l’IA peut être tentée de collecter une quantité importante de données pour améliorer ses performances et ses modèles prédictifs. Aussi, le transfert international de données est un gros sujet d’inquiétude, notamment lorsque des informations personnelles sont transférées en dehors de l’Union européenne vers des pays ne garantissant pas un niveau adéquat de protection des données.
C’est le cas par exemple avec les IA génératives, comme ChatGPT. Celles-ci soulèvent de plus en plus d’interrogations concernant la protection et la sécurisation des données personnelles. Outre les datas collectées classiques liées à l’utilisateur, ChatGPT se nourrit des conversations et des prompts en vue d’une analyse ultérieure. Sans compter qu’il est quasi impossible pour un utilisateur de comprendre la politique de gestion des données personnelles, voire impossible d’exercer ses droits.
Le RGPD nécessite-t-il plus d’exigence face à l’intelligence artificielle ?
La nécessité d’un encadrement spécifique de l’intelligence artificielle ne fait aucun doute pour la CNIL, qui a publié en mai 2023 un plan d’action IA. Celui-ci a pour objectif de mieux appréhender le développement de l’IA, et surtout de mieux répondre aux enjeux qu’il suscite. La CNIL se penche tout particulièrement sur les IA génératives, comme ChatGPT ou encore Midjourney.
A juste titre, les autorités de protection des données personnelles européenne et canadienne ont ouvert des enquêtes concernant ces types d’Intelligences artificielles. L’Italie, la France, l’Irlande et l’Allemagne, ont quant à elles exprimé des inquiétudes concernant l’usage des données à caractère personnel par ChatGPT.
L’intelligence artificielle peut-elle être conforme au RGPD ?
Le 14 juin 2023, le Parlement européen a adopté un texte régulant les intelligences artificielles, sous le nom de AI Act (pour Artificial Intelligence Act). De son côté, la CNIL a publié dès 2022 un guide des grands principes de la loi informatique et Liberté et du RGPD, afin d’aider les entreprises utilisant l’IA à se mettre en conformité.
Définir une finalité et établir une base légale
La finalité, ou l’objectif, de la collecte de données doit être légitime. Elle doit respecter le cadre légal en vigueur et ne peut être modifiée par la suite. Cette finalité doit être établie en amont du projet. Dans le cadre de l’IA, la CNIL considère deux phases :
- Une phase d’apprentissage durant laquelle l’IA va être conçue, développée et entraînée ;
- Une phase de production, qui correspond au déploiement opérationnel.
Même si ces deux étapes n’ont pas le même objectif, celui-ci doit être claire et légitime. Ensuite, un système d’IA exploitant des données personnelles doit correspondre à une justification prévue par la loi. Le choix de cette base légale est indispensable et doit intervenir avant la mise en œuvre du traitement des données.
Minimiser les données et définir une durée de conservation
Si les systèmes d’IA utilisent des quantités importantes de données, le principe de minimisation ne doit pas être considéré comme un obstacle. Il s’agit de mettre en place un usage raisonné des données. Ainsi, durant la phase d’apprentissage, des expérimentations et tests peuvent être réalisés sur des données synthétiques fictives, sans lien avec des personnes.
La mise en œuvre d’un système d’IA nécessite souvent une conservation de données personnelles sur du long terme. Encore une fois, le RGPD n’a pas vocation à être un obstacle. Toutefois, la durée doit être proportionnée à la finalité poursuivie. Par exemple, dans le cas de traitement d’IA à des fins de recherche scientifique, la conservation peut être allongée.
Le challenge de la transparence et l’explicabilité
Selon le principe de transparence du RGPD, toute information ou communication relative au traitement de données personnelles doit être accessible et transparente. Si ce principe s’applique aux systèmes d’IA, les informations à fournir peuvent varier selon les cas. D’autant que la complexité et l’opacité de certains systèmes ne facilitent pas la tâche.
Certains cas permettent de déroger au droit à l’information, par exemple si les données n’ont pas été collectées directement auprès des personnes concernées et qu’il s’avère impossible ou difficile d’informer ces personnes.
L’exercice des droits, un élément fondamental
Si le système d’IA implique le traitement de données personnelles, les principes d’exercice des droits par les personnes prévus par le RGPD doivent être respectés. Nous parlons ici de l’accès (article 15), la rectification (article 16), l’effacement (article 17), la limitation (article 18), la portabilité (article 20) et l’opposition (article 21). Des mécanismes et des procédures appropriés doivent être prévus dès la conception.
En adoptant une approche proactive et en accordant une attention particulière aux exigences du RGPD, les entreprises peuvent utiliser l’IA de manière éthique tout en protégeant les droits et les libertés des individus. Elles doivent notamment prendre des mesures appropriées pour protéger la vie privée et la confidentialité lorsqu’elles utilisent des IA génératives. Il est également essentiel de sensibiliser les utilisateurs et les parties prenantes sur les risques liés aux IA génératives et sur les mesures prises pour protéger la vie privée et les droits des individus.