Le lundi 18 décembre 2024, le Comité Européen de la Protection des Données (CEPD) a publié un avis concernant l’utilisation des données personnelles dans le domaine de l’Intelligence Artificielle, suite à la demande de l’autorité de protection des données Irlandaise.
Qu’est-ce que le CEPD ?
Le Comité Européen de la Protection des Données, ou CEPD (European Data Protection Board en anglais, ou EDPB) est un organisme formé par les autorités de protection des données européennes, afin de définir des lignes directrices, publier des avis, ou prendre des décisions communes au sein de l’Union Européenne sur des sujets ayant trait à la protection des données à caractère personnel.
Le CEPD, dans son avis, semble prendre conscience des difficultés que peuvent rencontrer les organismes souhaitant développer des outils basés sur l’Intelligence Artificielle, et les contraites que le RGPD fait peser dans ce domaine. Il rappelle néanmoins que le RGPD est, évidemment, applicable à toute donnée personnelle utilisée pour l’entraînement ou le développement d’une IA, et précise comment les autorités de contrôle pourront déterminer l’un des éléments principaux de la conformité du traitement des données.
L’intérêt légitime comme fondement du traitement des données
Selon le Règlement Général sur la Protection des Données, tout traitement doit se baser sur un fondement de licéité.
Il en existe 6 au total, mais la plupart des traitements ne peuvent se baser que sur un, voire deux, fondements de licéité.
Le CEPD précise, dans son avis, que les responsables du traitement pourront se baser sur leur intérêt légitime pour récolter et utiliser des données aux fins du développement de l’IA. Le CEPD reconnaît ainsi qu’il n’est pas pertinent de s’attendre à ce que les organismes développant de l’IA se basent sur le consentement des personnes au traitement de leurs données (consentement qui peut être refusé, ou retiré à posteriori) ou ne contractent avec les personnes.
Il rappelle néanmoins qu’un intérêt légitime se justifie. Le responsable du traitement doit être en mesure de démontrer l’existence de cet intérêt légitime, dont la justification sera analysée par l’autorité de contrôle compétente (en France, la CNIL) et pourra être retoquée.
Il rappelle par ailleurs que le traitement des données doit être nécessaire, et doit être mis en oeuvre d’une manière assurant un équilibre entre les droits des personnes, et l’intérêt légitime de l’organisme.
Assurer un développement responsable
Le CEPD rappelle par ailleurs que les principes fondamentaux du RGPD, et notamment l’obligation de minimisation prévue à son article 5, s’appliquent même en présence de l’intérêt légitime du responsable de traitement.
Il reste donc nécessaire, pour les organismes développant un système d’IA dont l’entraînement est basé sur des données personnelles, de s’assurer de tous les éléments habituellement revus durant une analyse de protection des données dès la conception et par défaut :
- qu’un fondement de licéité a été choisi et justifié par le responsable du traitement ;
- que les données traitées sont assorties d’une durée de conservation limitée ;
- que seules les données strictement nécessaires sont récoltées ;
- que les données sont traitées de façon sécurisée.
Le responsable du traitement devra, en plus, s’assurer de pouvoir mettre à disposition des personnes dont les données sont traitées des mentions d’information complètes à première demande concernant le traitement et l’origine des données, et de respecter les droits des personnes (notamment le droit de suppression des données) dans le délai réglementaire de 30 jours.
En résumé
L’utilisation de données à caractère personnel pour le développement et l’entraînement d’une IA sont autorisés.
Lorsque des données personnelles sont traitées dans ce cadre, les obligations prévues par le RGPD s’appliquent, et il est important que le responsable du traitement soit le plus transparent possible dans la gestion qu’il fait des données.
Une anonymisation efficace peut permettre de protéger les données qui seront utilisées, et de faciliter les activités de l’organisme puisqu’une donnée anonyme sort du champ d’application du RGPD.
Vous souhaitez approfondir vos connaissances sur le RGPD ou l’IA ? Notre équipe d’experts est là pour vous aider. Contactez-nous pour découvrir comment nous pouvons vous accompagner dans vos démarches.