La loi phare de l'UE en matière de protection des données contient des dispositions essentielles pour les systèmes d'IA qui traitent des données à caractère personnel, notamment des règles relatives à la prise de décision automatisée.
Le Règlement général sur la protection des données (RGPD), en vigueur depuis le 25 May 2018, est la loi globale de l'UE en matière de protection des données. Bien qu'il ne s'agisse pas spécifiquement d'une réglementation sur l'IA, le RGPD contient plusieurs dispositions qui ont des implications profondes pour les systèmes d'IA qui traitent des données à caractère personnel, ce qui en fait l'une des réglementations les plus déterminantes pour la conformité de l'IA à l'échelle mondiale.
L'article 22 du RGPD confère aux personnes le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou l'affectant de manière significative de façon similaire. Cette disposition régit directement les systèmes de prise de décision fondés sur l'IA utilisés dans des domaines tels que la notation de crédit, la tarification en assurance, le recrutement et la fourniture de services publics. Les organisations doivent fournir des informations utiles concernant la logique sous-jacente, l'importance et les conséquences prévues d'un tel traitement.
Les exigences relatives à la base légale au titre des articles 6 et 9 sont particulièrement délicates pour les systèmes d'IA. Le consentement doit être libre, spécifique, éclairé et univoque, des exigences difficiles à satisfaire lorsque le traitement par l'IA est complexe et opaque. Les évaluations de l'intérêt légitime doivent mettre en balance les besoins de l'organisation et les droits des personnes, ce qui requiert de comprendre comment les systèmes d'IA affectent les personnes concernées.
La minimisation des données (article 5, paragraphe 1, point c)) présente une tension fondamentale avec le développement de l'IA, qui bénéficie souvent de vastes ensembles de données. Les organisations doivent veiller à ne collecter que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité déterminée. Cela a une incidence sur les stratégies relatives aux données d'entraînement de l'IA et requiert une justification soigneuse de l'étendue des ensembles de données.
Le droit à l'explication et les exigences de transparence (articles 13 à 15) imposent aux organisations de fournir des informations utiles sur la prise de décision automatisée. Pour les modèles d'IA complexes, en particulier les systèmes d'apprentissage profond, fournir des explications compréhensibles sur la manière dont les décisions sont prises constitue un défi technique et juridique de taille.
Les analyses d'impact relatives à la protection des données (AIPD) au titre de l'article 35 sont obligatoires pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes. La plupart des systèmes d'IA traitant des données à caractère personnel à grande échelle déclencheront les exigences d'AIPD. L'AIPD doit évaluer la nécessité et la proportionnalité du traitement, les risques pour les personnes et les mesures destinées à traiter ces risques.
La limitation des finalités (article 5, paragraphe 1, point b)) restreint l'utilisation des données à caractère personnel aux finalités pour lesquelles elles ont été collectées. Les développeurs d'IA doivent examiner attentivement si l'entraînement de modèles d'IA constitue une finalité compatible, et les récentes modifications du RGPD ainsi que les orientations réglementaires ont apporté une certaine souplesse pour la recherche scientifique et les finalités statistiques.
Les dispositions relatives aux transferts internationaux (chapitre V) affectent également les systèmes d'IA, en particulier les services d'IA en nuage et les modèles entraînés sur des données provenant de plusieurs juridictions. Les organisations doivent garantir des garanties adéquates pour tout transfert de données à caractère personnel en dehors de l'EEE.
Les autorités de protection des données dans toute l'Europe se montrent de plus en plus actives dans l'application du RGPD à l'encontre des systèmes d'IA. Des actions répressives notables ont visé des entreprises de reconnaissance faciale, des systèmes publicitaires pilotés par l'IA et la notation de crédit automatisée, établissant des précédents qui façonnent la manière dont les organisations doivent encadrer le traitement de données à caractère personnel par l'IA.
Établir une base légale pour le traitement des données à caractère personnel dans les systèmes d'IA (article 6)
Mettre en œuvre des garde-fous pour la prise de décision individuelle automatisée (article 22)
Fournir des informations utiles sur la logique de l'IA, l'importance et les conséquences (articles 13 à 15)
Permettre le droit à une intervention humaine dans les décisions automatisées
Réaliser des analyses d'impact relatives à la protection des données pour les traitements d'IA à haut risque (article 35)
Appliquer les principes de minimisation des données aux données d'entraînement et opérationnelles de l'IA
Garantir la limitation des finalités pour l'entraînement et l'inférence des modèles d'IA
Mettre en œuvre la protection des données dès la conception et par défaut dans les systèmes d'IA (article 25)
Tenir un registre des activités de traitement faisant intervenir l'IA (article 30)
Permettre les droits des personnes concernées : accès, rectification, effacement, portabilité pour les données traitées par l'IA
Désigner un délégué à la protection des données si cela est requis pour les activités de traitement par l'IA
Garantir des transferts internationaux de données licites pour les services d'IA (chapitre V)
Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées (article 32)
Signaler les violations de données à caractère personnel impliquant des systèmes d'IA dans un délai de 72 hours (article 33)
Oui, mais vous avez besoin d'une base légale valable (par exemple, l'intérêt légitime, le consentement ou l'exemption pour la recherche). Vous devez également appliquer la minimisation des données, réaliser des AIPD lorsque cela est requis et garantir la transparence quant à l'utilisation des données à caractère personnel à des fins d'entraînement.
Pour les décisions automatisées au titre de l'article 22, vous devez fournir des informations utiles sur la logique sous-jacente. Cela ne nécessite pas forcément une explicabilité technique complète, mais les personnes concernées doivent comprendre les principaux facteurs influençant les décisions ainsi que la logique générale du système.
L'EU AI Act complète le RGPD sans le remplacer. Les systèmes d'IA traitant des données à caractère personnel doivent se conformer aux deux. L'EU AI Act ajoute des exigences en matière de gestion des risques, d'évaluation de la conformité et de transparence qui vont au-delà de la protection des données. Les AIPD au titre du RGPD et les analyses d'impact sur les droits fondamentaux au titre de l'EU AI Act peuvent se recouper.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.