Le Comité européen de la protection des données (CEPD) a publié le 18 décembre, son premier avis concernant l’utilisation des données personnelles dans le cadre du développement et du déploiement de modèles d’intelligence artificielle. Ce document, sollicité par l’Autorité irlandaise de protection des données, aborde trois points principaux : Quand et comment les modèles d’IA peuvent être considérés comme anonymes. Si, et dans quelles conditions, l’intérêt légitime peut servir de base juridique pour le développement ou l’utilisation de modèles d’IA. Les conséquences de l’utilisation de données personnelles traitées illégalement dans le développement de modèles d’IA.
Le CEPD affirme que les modèles d’IA entraînés à partir de données personnelles ne peuvent pas être considérés comme anonymes par défaut.
Pour qu’un modèle soit reconnu comme anonyme, deux conditions précisées doivent être remplies :
- Il doit être hautement improbable d’identifier directement ou indirectement les personnes concernées.
- Il doit être impossible d’extraire des données personnelles à partir des requêtes effectuées sur le modèle.
L’avis souligne la nécessité au responsable de traitement de démontrer cet anonymat en fournissant une liste de mesures à appliquer pour y parvenir.
L’intérêt légitime comme base juridique
Le CEPD reconnaît que l’intérêt légitime peut, dans certaines situations, être une base légale valide pour le développement ou le déploiement de modèles d’IA.
Dans ces cas, le consentement explicite des personnes concernées n’est pas toujours requis.
L’avis propose des exemples d’intérêts légitimes si les services peuvent être bénéfiques pour les individus et si le traitement est démontré comme strictement nécessaire et dans la mesure où l’équilibre des droits est respecté.
Des services sont alors possibles :
– si les données personnelles ont un caractère publiquement accessible ou non ;
– selon la nature de la relation entre la personne et le responsable du traitement ;
– selon le type de service ;
– selon le contexte dans lequel les données ont été collectées ou encore la source à partir de laquelle elles ont été collectées,
– selon les utilisations ultérieures potentielles du modèle ;
– si les personnes avaient effectivement connaissance du fait que leurs données étaient accessibles en ligne.
Les données personnelles traitées illégalement
Lorsqu’un modèle d’IA a été développé à partir de données personnelles traitées illégalement, la licéité de son déploiement est compromise. Toutefois, si le modèle a été dûment anonymisé, cette problématique pourrait être atténuée.
Compte tenu de la diversité et de l’évolution rapide des modèles d’IA, l’avis du CEPD propose des orientations générales permettant une analyse approfondie au cas par cas.
En complément, le CEPD travaille sur des lignes directrices portant sur des questions spécifiques, telles que le web scraping, afin de fournir davantage de clarté aux parties concernées.
“Les technologies de l’IA peuvent apporter de nombreuses opportunités et avantages à différents secteurs et domaines de la vie. Nous devons veiller à ce que ces innovations soient réalisées de manière éthique, sûre et bénéfique pour tous. Le CEPD souhaite soutenir l’innovation responsable en matière d’IA en garantissant la protection des données personnelles et le plein respect du Règlement général sur la protection des données” affirme la présidente du CEPD, Anu Talus.
