Comment intégrer l’intelligence artificielle en entreprise de manière conforme ?
Publié le 19/08/2024
En raison de leurs nombreuses fonctionnalités, les systèmes reposant sur intelligence artificielle (IA) sont de plus en plus présents au sein des entreprises. Toutefois, leur intégration vous soumet à des impératifs stricts, notamment en ce qui concerne la sécurité et la protection des données personnelles.
Quels sont les enjeux de conformité liés à l’intégration de l’IA ?
Une technologie reposant sur des données personnelles
Création de contenus textuels, visuels et graphiques, chat-bot conversationnel, ciblage marketing, reconnaissance faciale, maintenance prédictive, détection des fraudes, analyse des candidatures... L’intelligence artificielle (IA) offre un champ exponentiel d'usages en entreprise.
Pour fonctionner, cette technologie – capable de reproduire un raisonnement humain – nécessite de très importants volumes de données, bien souvent à caractère personnel, voire même sensible. C’est pourquoi vous devez notamment garantir votre conformité avec le RGPD (Règlement général sur la protection des données) pour bien utiliser l’IA.
Lire aussi : Quels sont les usages de l'IA dans la communication ?
Le tout premier règlement sur l’usage de l’IA
L’adoption de solutions IA confronte l’entreprise à différents enjeux de conformité réglementaire, mais également de sécurité et de protection des données. Pour compléter le cadre du RGPD, encadrant uniquement l’usage des informations personnelles, l'Union européenne vient d'adopter la première loi sur l'intelligence artificielle.
Ce nouveau règlement européen prévoit notamment(1) :
- l'interdiction de certaines pratiques reposant sur l'IA : techniques subliminales, usage des vulnérabilités dues à l'âge ou au handicap, évaluation de la fiabilité d'un individu en fonction de son comportement social ou de ses caractéristiques personnelles, reconnaissance des émotions sur le lieu de travail, etc. ;
- des obligations spécifiques pour les systèmes à haut risque (santé, éducation, formation professionnelle, emploi, etc.), notamment en matière d'évaluation des risques et de supervision humaine ;
- des impératifs de transparence, imposant notamment un meilleur respect du droit d'auteur et le signalement des contenus créés artificiellement (aussi appelés « deep fakes »).
Comment adopter l’intelligence artificielle en entreprise ?
La Cnil (Commission nationale de l'informatique et des libertés) a publié plusieurs recommandations pour favoriser l'intégration de l'intelligence artificielle, conformément au RGPD et au règlement européen, notamment dans l'optique de concilier innovation et respect du droit des personnes(2).
Lire aussi : Comment rattraper votre retard vis-à-vis du RGPD ?
1. Définir la finalité du système d’intelligence artificielle
Tout système reposant sur l'intelligence artificielle et utilisant des données personnelles doit être développé avec un objectif spécifique. Autrement dit, vous devez définir l'usage précis de la solution d’intelligence artificielle, notamment pour encadrer les informations personnelles qui sont utilisées.
Pour être conforme, la finalité du système doit être :
- déterminée dès la définition du projet ;
- explicite, à savoir connu et compréhensible ;
- légitime, autrement dit conforme avec les missions de l'entreprise.
2. Déterminer votre responsabilité
Votre responsabilité vis-à-vis de l’usage des données utilisées par le système IA dépend du rôle que vous jouez. Vous pouvez tout d'abord être le responsable du traitement (RT), notamment si vous développez et/ou utilisez la solution pour votre compte. Dans ce cas, vous aurez plusieurs obligations spécifiques, telles que définies dans les étapes ci-dessous.
A contrario, vous pouvez être sous-traitant (ST) si vous traitez les données pour un donneur d'ordre, à savoir le responsable du traitement. Vos obligations sont alors moindres car vous devez principalement respecter les instructions du RT.
3. Définir la base légale autorisant le traitement
La base légale est le fondement autorisant le traitement de données personnelles, notamment par un système d'IA. Vous avez le choix entre 6 bases différentes :
- le consentement ;
- le respect d’une obligation légale ;
- l’exécution d’un contrat ;
- l’exécution d’une mission d’intérêt public ;
- la sauvegarde des intérêts vitaux ;
- la poursuite d’un intérêt légitime.
Ce choix est essentiel car il détermine vos obligations et les droits des personnes sur leurs données.
4. Encadrer l’usage des données par l’IA
Vous devez suivre plusieurs principes pour définir et encadrer les données personnelles qui sont utilisées par le système reposant sur l’intelligence artificielle.
Constituer une base de données : vous pouvez collecter spécifiquement des données pour le fonctionnement de la solution IA ou réutiliser des données déjà collectées. Une fois encore, vos impératifs vont dépendre de la solution retenue.
Minimiser les données : vous devez faire en sorte de n'utiliser que les données qui sont expressément nécessaires au fonctionnement de la solution.
Définir une durée de conservation : les données utilisées par le système d'IA ne peuvent être conservées que pendant une durée limitée, conformément à la finalité de la collecte.
5. Garantir la sécurité des données utilisées
Les systèmes IA présentent plusieurs risques en matière de sécurité : non-respect de la confidentialité, violation du droit d’auteur, déformation des informations, perte ou vol de données, etc. Dans cette optique, la Cnil recommande de réaliser une analyse d’impact sur la protection des données (AIPD).
Cette démarche vise à cartographier les risques afin d'en limiter les chances de survenue. Elle peut permettre d'identifier les mesures nécessaires pour mieux protéger les données : chiffrement, minimisation, anonymisation, désapprentissage machine, audit, etc.
Plus globalement, la conception et/ou l’usage de solutions IA imposent d’encadrer tout son écosystème de travail, en ce qui concerne le choix de ses prestataires et la formation des collaborateurs à l’utilisation des systèmes par exemple.
Pour mieux protéger votre responsabilité, vous pouvez d’ailleurs souscrire le contrat Generali Protection Numérique. Cette assurance vous permet de prévenir, gérer et couvrir tous les principaux risques numériques en entreprise, dont ceux relatifs à l'usage de l'intelligence artificielle.
Sources :
(1) Intelligence artificielle : les députés adoptent une législation historique - Parlement européen - 2024
(2) Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD - Cnil - 2024
