Le Contrôleur européen de la protection des données (CEPD) a publié les premières orientations visant à garantir la protection des données personnelles dans l’utilisation des IA génératives. Elles s’adressent à toutes les institutions publiques européennes. Bien évidemment, les structures privées gagneront également à les appliquer.
Ces nouvelles orientations visent à déterminer si l’utilisation d’IA implique un traitement de données personnelles. Par exemple, l’identification automatique de personnes à partir de sources publiques (réseaux sociaux par exemple) reste de manière générale soumise au RGPD. Par ailleurs, le CEPD précise que l’utilisation de données anonymisées ou synthétiques ne garantit pas toujours l’absence de données personnelles identifiables. Les orientations visent donc à clarifier les conditions d’utilisation.
Les études d’impacts sont nécessaires
Le CEPD appelle à des analyses de risques rigoureuses pour vérifier que les données personnelles ne sont pas traitées par les modèles d’IA. Par exemple, les techniques de scraping web, qui récupèrent des données de sites publics, doivent être maniées avec précaution pour ne pas détourner les finalités mais également pour ne pas enfreindre les principes de minimisation et d’exactitude des données.
Le CEPD souligne l’importance de mener des études d’impacts avant le développement ou le déploiement des systèmes d’IA générative. “Il est essentiel de consulter les personnes concernées ou leurs représentants lors de l’utilisation de l’IA générative” rappelle le CEPD. En outre, il précise qu’un suivi et des contrôles réguliers des évaluations des risques sont nécessaires pour identifier et gérer les nouveaux risques potentiels.
Les recommandations clarifient les conditions de licéité. Elles stipulent clairement que sans consentement ou base légale, toutes les données doivent être supprimées. Les fournisseurs de services d’IA peuvent invoquer l’intérêt légitime pour développer et valider leurs systèmes. En cas de transferts hors UE, les organisations restent responsables. Elles doivent s’assurer de la cohérence avec les finalités initiales du traitement des données.
Il est également précisé l’impératif de minimiser les données et de bien les qualifier pour réduire les risques. Les procédures de gouvernance doivent garantir l’exactitude des données à chaque étape du système.
Rappel du devoir de transparence des IA
Les orientations insistent sur l’importance d’impliquer le délégué à la protection des données (DPO) afin d’obtenir une compréhension détaillée du cycle de vie des systèmes d’IA générative. L’objectif : garantir la conformité et offrir un soutien dans les études d’impact sur la protection des données. Il est rappelé que le responsable de traitement doit également s’assurer que les processus soient documentés et que le devoir de transparence soit assuré notamment avec la tenue d’un inventaire spécifique des systèmes et applications pilotées par l’IA générative.
Les développeurs et fournisseurs sont encouragés à fournir des informations détaillées sur les activités de traitement à chaque stade de développement. Cela répond à l’obligation d’informer les personnes en cas de profilage et de décisions automatisées.
Le CEPD pousse à l’adoption de mesures visant à réduire les biais et à garantir un traitement équitable. Des évaluations régulières des systèmes doivent être effectuées pour détecter et corriger les biais éventuels. Enfin, le CEPD insiste sur l’importance des mesures techniques, organisationnelles et de formation pour assurer la protection des données.
Patrice Remeur
