Comment concilier le déploiement des modèles d’IA et la protection des données personnelles ? Le Comité Européen de la Protection des Données adopte un premier avis


Le 20 décembre dernier, l’autorité de protection italienne (la Garante per la protezione di dati personali) a annoncé avoir infligé une sanction de 15 millions d’euros à OpenIA pour ne pas avoir respecté le Règlement (UE) Général sur la Protection des Données 2016/629 (« RGPD ») lors des traitements de données personnelles réalisés pour l’entraînement de ses modèles d’intelligence artificielle (« IA ») utilisés par ChatGPT. Quelques jours auparavant, le Comité Européen de la Protection des Données (European Data Protection Board – « CEPD ») publiait un premier avis à ce sujet.

En effet, si les outils se multiplient et se déploient de manière exponentielle dans tous les domaines, de nombreuses interrogations demeurent quant à l’application dans ce contexte des règles encadrant les traitements de données personnelles, en particulier le RGPD.

Une première position européenne harmonisée

Le CEPD, qui réunit les autorités nationales de protection des données des États membres de l’Union Européenne, telle que la CNIL, avait été saisi par l’autorité Irlandaise afin de donner un éclairage sur trois points :

  • Les conditions dans lesquelles les modèles d’IA peuvent être considérés comme « anonymes » - et donc échapper au champ d’application du RGPD ;
  • La possibilité de fonder les traitements réalisés pour le développement ou l’utilisation de modèles d’IA sur l’intérêt légitime ;
  • Les impacts sur l’exploitation d’un modèle d’IA de l’illicéité des traitements mis en œuvre au cours de sa phase de développement.

A l’instar de la Garante qui semble avoir attendu la publication de l’avis du CEPD pour prononcer sa sanction contre OpenAI, ces orientations étaient très attendues car elles constituent une première position harmonisée au niveau européen sur le sujet.

A cet égard, le CEPD a rappelé en introduction que les technologies d’IA créent des opportunités importantes et bénéficient à un grand nombre d’activités. De la même manière, le CEPD souligne que le RGPD doit être perçu comme un vecteur d’encouragement d’une innovation responsable et non comme un frein à la création.

Sans surprise, l’anonymisation des données doit être démontrée

L’anonymisation des données constitue un enjeu de taille puisque cela permet de sortir du champ d’application du RGPD. Néanmoins, le CEPD estime que les autorités nationales doivent procéder à une analyse au cas par cas dès lors qu’il n’est pas possible de considérer de manière systématique que les modèles d’IA sont entraînés sur la base de données anonymes.

Le CEPD donne des critères pour déterminer les cas dans lesquels un modèle d’IA est susceptible d’être anonyme. Pour cela, les autorités doivent tenir compte de la probabilité de pouvoir identifier directement ou indirectement les personnes concernées dont les données ont été traitées pour entraîner le modèle d’IA. De plus, la possibilité d’obtenir, intentionnellement ou non, des données personnelles à partir des requêtes a également un impact sur cette analyse.

Le CEPD indique également que les autorités doivent se fonder sur la documentation fournie par les responsables de traitements pour démontrer le caractère anonyme de leur outil et donne des exemples de mesures pouvant être retenues.

Une clarification attendue : l’intérêt légitime comme base légale

La question de la base légale des traitements de données personnelles réalisés pour entraîner et exploiter des modèles d’IA est centrale dès lors qu’il existe beaucoup de cas où il n’existe pas de lien direct, et notamment de lien contractuel ou de moyen de collecte du consentement, entre les personnes concernées et les responsables de traitement.

Le CEPD confirme que l’intérêt légitime (article 1. (f) RGPD) peut constituer la base légale de ces traitements sous réserve de remplir les conditions de validité du « test des trois étapes », établies dans un précédent avis récent du Comité (1). Ce test vise notamment à s’assurer de la nécessité du traitement au regard de l’intérêt légitime poursuivi, qui doit être précisément identifié, et de la proportionnalité au regard des intérêts et droits fondamentaux des personnes concernées.

L'avis du CEPD constitue une certaine avancée dans la mesure où il apporte un premier éclairage sur les modalités d'application du RGPD aux modèles d'IA. Néanmoins, de nombreuses incertitudes demeurent pour les acteurs du monde de l'IA, tant pour leurs fournisseurs que les usagers, sur les enjeux de la protection des données personnelles : respect des exigences de transparence, respect des droits personnes concernées, définition des schémas de responsabilités applicables... autant de questions sur lesquelles la position des autorités, comme celles des juridictions, est attendue.

(1). Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR

Lire les commentaires (0)

Soyez le premier à réagir

Ne sera pas publié

Envoyé !