IA/RGDP

Le développement de l’intelligence artificielle limité par le RGPD

En passant Pierre-Antoine Rizk1 commentaire

Le propre d’un système d’intelligence artificielle est d’être en mesure de développer des éléments de réflexion de manière autonome, c’est-à-dire indépendamment de l’être humain. Pour ce faire, sont intégrées dans le système des données qui serviront de fondement à son raisonnement. De manière logique, le recours au Big Data est souvent effectué, puisque celui-ci est un ensemble extrêmement massif de données. Par exemple, Tesla a utilisé le Big Data pour concevoir Autopilot, une fonctionnalité de pilote automatique s’inscrivant dans le cadre du projet des voitures autonomes[i].

Le Big Data contient également des données personnelles, que l’article 2 de la Loi informatique et libertés du 6 janvier 1978 modifiée définit comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne[ii]. »

De plus, il est loin d’être aisé d’obtenir l’anonymisation des données personnelles puisque le Big Data augmente de manière exponentielle les possibilités de recoupement entre les données, et par voie de conséquence l’éventuelle identification d’une personne par l’intermédiaire de ses données[iii].

Néanmoins, il faudra désormais composer avec le nouveau règlement européen sur la protection des données personnelles (RGPD) qui a été adopté le 27 avril 2016 et entrera en application le 25 mai 2018. Ce texte a pour objectif de faire en sorte que les Etats européens adaptent leurs cadres juridiques aux nouvelles réalités issues des évolutions liées au numérique. Il repose sur trois piliers : renforcer le droit des personnes, responsabiliser les acteurs traitant les données et enfin rendre la régulation plus crédible, notamment par une meilleure coopération entre les autorités de protection des données dont la CNIL[iv]. Ces autorités sont dotées de plusieurs pouvoirs importants, parmi lesquelles on peut citer ceux d’émettre des avertissements, de mettre en demeure l’entreprise mais également d’ordonner la limitation, la rectification ou l’effacement des données.

Il faut aussi mettre en exergue la possibilité pour ces autorités d’infliger des sanctions extrêmement lourdes aux entités qui ne respecteraient pas le règlement, avec notamment le pouvoir de les condamner via des amendes à payer la somme de 10 à 20 millions d’euros, ou de 2 à 4% du chiffre d’affaires mondial si le contrevenant est une entreprise.

Lors de l’événement IA Paris du 7 juin 2017, l’avocat Alain Bensoussan a ainsi expliqué aux entreprises qu’elles seront dans l’obligation de « vider (les) Data Lake des données personnelles qui ne s’accompagnent pas du consentement explicite des personnes concernées, sinon il y a un risque de condamnation très sérieux [v]».

Pour éviter de se voir sérieusement épinglés par les autorités de protection des données, les responsables de traitement, c’est-à-dire toutes personnes responsables des finalités et des moyens de ce traitement, se sont vus imposer un certain nombre de règles à respecter.

Tout d’abord, ils doivent appliquer le principe de la « privacy by design », autrement dit faire tout leur possible pour que les données personnelles soient respectées dès la conception du produit ou service.

De plus, les entreprises responsables de traitement seront soumises à un principe d’ « accountability », ce qui signifie qu’elles auront l’obligation d’instaurer une forme de gouvernance de la donnée afin d’être en mesure de rendre des comptes sur leurs actions aux autorités de protection si celles-ci le demandent. Il découle de ce principe que les obligations de produire des déclarations administratives concernant les traitements ne mettant pas en jeu la vie privée des personnes ne sont plus d’actualité avec ce règlement.
Les traitements comportant des risques pour la vie privée sont ceux portant sur l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou l’orientation sexuelle, ou encore sur les données génétiques ou biométriques de l’individu concerné. Le responsable de ce type de traitement se verra contraint d’effectuer une étude d’impact sur la vie privée expliquant « les caractéristiques du traitement, les risques et les mesures adoptées ». Les autorités de protection auront leur mot à dire si le risque est élevé et auront même la faculté de s’y opposer.

Les responsables de traitement doivent en outre traiter les données collectées de manière sécurisée et confidentielle, et sont même obligés d’adresser une notification à l’autorité de protection compétente dans leur pays dans l’hypothèse où ils constateraient une violation de données à caractère personnel. Cette notification devra alors être effectuée dans les 72 heures qui suivent le constat de la violation.

Il est également pertinent de souligner l’obligation pour certains responsables de traitement de désigner un Data protection officer (DPO), traduit en français par « délégué à la protection des données ». Avec le RGPD, sa nomination deviendra obligatoire dans trois cas de figure : lorsque le responsable de traitement exerce au sein du secteur public, lorsqu’il découle de ses activités la réalisation d’un suivi régulier et systématique des personnes à grande échelle ou bien le traitement de données dites sensibles ou portant sur des condamnations pénales ou des infractions[vi].

Ce DPO aura pour mission d’informer et de conseiller le responsable de traitement qui l’emploie, de s’assurer du respect du droit concernant la protection des données personnelles, et enfin d’assurer la coopération avec l’autorité de protection des données.

De ce fait, l’articulation entre les dispositions du RGPD et les besoins de l’intelligence artificielle représentera un enjeu conséquent dans les mois à venir.

[i] http://www.lebigdata.fr/intelligence-artificielle-et-big-data

[ii] https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee#Article2

[iii] https://cvpip.wp.imt.fr/files/2013/11/TELECOM_169extrait_C_Levallois_Barth.pdf

[iv] https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

[v] http://www.larevuedudigital.com/lintelligence-artificielle-menacee-par-la-reglementation-sur-les-donnees-personnelles/

[vi] https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

Une réflexion sur “Le développement de l’intelligence artificielle limité par le RGPD

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s