PME : Les meilleures pratiques pour faire face aux cybermenaces.

IA et RGPD : une compatibilité possible ?

IA et RGPD : une compatibilité possible ?

La mise en conformité des systèmes d’intelligence artificielle (IA) avec le Règlement général sur la protection des données (RGPD) est un défi complexe, empreint d’incertitudes. La Commission nationale de l’informatique et des libertés (CNIL) a récemment publié sept recommandations pour guider ce processus, mais certaines questions subsistent.

Parmi les recommandations de la CNIL, l’une se concentre sur la protection des données dès la conception des systèmes d’IA, avec un accent particulier sur le principe de minimisation des données. Ce principe stipule que seules les données « adéquates, pertinentes et limitées à ce qui est nécessaire » doivent être utilisées. Selon la CNIL, le respect de ce principe dépend des connaissances scientifiques disponibles. Cela signifie que, lors de la phase d’entraînement des systèmes d’IA, il est crucial de prendre en compte les incertitudes concernant les performances des différentes architectures.

Le choix des algorithmes et des protocoles d’apprentissage doit également viser à minimiser l’utilisation des données. La CNIL recommande de privilégier les méthodes qui n’utilisent pas l’apprentissage machine si elles peuvent atteindre les objectifs fixés.

Les incertitudes existent aussi en ce qui concerne les analyses d’impact relatives à la protection des données (AIPD). Le RGPD identifie neuf critères pouvant déclencher la nécessité de telles analyses, dont l’« usage innovant ». Cet usage doit être évalué en fonction des connaissances technologiques actuelles, et non seulement du contexte de traitement.

Tous les systèmes d’IA ne représentent pas nécessairement un usage innovant. Par exemple, des techniques d’IA validées expérimentalement depuis plusieurs années ne sont pas considérées comme innovantes. En revanche, des systèmes utilisant des techniques récentes, comme l’apprentissage profond, nécessitent souvent une AIPD en raison des risques encore mal compris.

Un autre critère pour une AIPD est le traitement de données « à grande échelle ». Pour les IA, cela n’est pas systématique. Par exemple, une base de données contenant des millions d’images, mais avec seulement quelques-unes montrant des individus reconnaissables, ne serait pas considérée comme un traitement à grande échelle.

IA à usage général

Les modèles de fondation et les IA à usage général posent des défis particuliers en termes de conformité. La CNIL estime qu’une AIPD est nécessaire dans la plupart des cas dès lors qu’il y a traitement de données. Identifier les usages spécifiques de ces IA est complexe, mais essentiel pour garantir le respect du principe de finalité.

Pour déterminer cette finalité, il faut considérer le type de système développé (par exemple, LLM, générateur de son, vision par ordinateur) et ses fonctionnalités techniques envisageables. Cela permet de garantir que le responsable de traitement respecte le principe de finalité même si toutes les applications futures ne peuvent être définies dès le départ.

Exemples de finalités explicites :

  • LLM capable de répondre à des questions, générer du texte, effectuer des traductions ou des résumés.
  • Modèle de reconnaissance vocale capable d’identifier un locuteur, sa langue, son âge.
  • Modèle de vision par ordinateur capable de détecter des objets, des piétons, du mobilier urbain.

Bases légales de traitement

Définir une base légale de traitement est crucial. Le consentement est souvent difficile à obtenir, notamment pour des données accessibles en ligne ou des bases de données ouvertes. D’autres bases légales peuvent être invoquées, comme la mission d’intérêt public, l’exécution d’un contrat, une obligation légale ou l’intérêt légitime.

La CNIL précise que l’intérêt légitime ne s’applique pas, par exemple, pour prédire le profil psychologique d’une personne à partir de données en ligne pour des fins commerciales. En revanche, il pourrait être invoqué pour créer une base de données à partir de commentaires publics afin de prévoir l’appréciation d’œuvres d’art par le grand public.

L’AVIS PÉRENNE’IT, EXPERT EN CYBERSÉCURITÉ

Il est essentiel de comprendre que la mise en conformité des systèmes d’intelligence artificielle (IA) avec le RGPD est un processus complexe et en constante évolution.

Pour les PME, cela signifie qu’il faut :

  1. Intégrer dès le départ les principes de protection des données dans la conception des systèmes d’IA, en se concentrant sur la minimisation des données et le respect des meilleures pratiques.
  2. Évaluer régulièrement l’impact de vos systèmes d’IA sur la protection des données, en tenant compte des critères du RGPD et des recommandations de la CNIL.
  3. Suivre les évolutions des recommandations et des réglementations pour ajuster vos pratiques de conformité en conséquence.
  4. S’entourer de professionnels de la cybersécurité et de la protection des données pour assurer une mise en conformité efficace et continue.