Publié le 19/08/2024
Une technologie reposant sur des données personnelles
Création de contenus textuels, visuels et graphiques, chat-bot conversationnel, ciblage marketing, reconnaissance faciale, maintenance prédictive, détection des fraudes, analyse des candidatures... L’intelligence artificielle (IA) offre un champ exponentiel d'usages en entreprise.
Pour fonctionner, cette technologie – capable de reproduire un raisonnement humain – nécessite de très importants volumes de données, bien souvent à caractère personnel, voire même sensible. C’est pourquoi vous devez notamment garantir votre conformité avec le RGPD (Règlement général sur la protection des données) pour bien utiliser l’IA.
Lire aussi : Quels sont les usages de l'IA dans la communication ?
L’adoption de solutions IA confronte l’entreprise à différents enjeux de conformité réglementaire, mais également de sécurité et de protection des données. Pour compléter le cadre du RGPD, encadrant uniquement l’usage des informations personnelles, l'Union européenne vient d'adopter la première loi sur l'intelligence artificielle.
Ce nouveau règlement européen prévoit notamment(1) :
La Cnil (Commission nationale de l'informatique et des libertés) a publié plusieurs recommandations pour favoriser l'intégration de l'intelligence artificielle, conformément au RGPD et au règlement européen, notamment dans l'optique de concilier innovation et respect du droit des personnes(2).
Lire aussi : Comment rattraper votre retard vis-à-vis du RGPD ?
Tout système reposant sur l'intelligence artificielle et utilisant des données personnelles doit être développé avec un objectif spécifique. Autrement dit, vous devez définir l'usage précis de la solution d’intelligence artificielle, notamment pour encadrer les informations personnelles qui sont utilisées.
Pour être conforme, la finalité du système doit être :
Votre responsabilité vis-à-vis de l’usage des données utilisées par le système IA dépend du rôle que vous jouez. Vous pouvez tout d'abord être le responsable du traitement (RT), notamment si vous développez et/ou utilisez la solution pour votre compte. Dans ce cas, vous aurez plusieurs obligations spécifiques, telles que définies dans les étapes ci-dessous.
A contrario, vous pouvez être sous-traitant (ST) si vous traitez les données pour un donneur d'ordre, à savoir le responsable du traitement. Vos obligations sont alors moindres car vous devez principalement respecter les instructions du RT.
La base légale est le fondement autorisant le traitement de données personnelles, notamment par un système d'IA. Vous avez le choix entre 6 bases différentes :
Ce choix est essentiel car il détermine vos obligations et les droits des personnes sur leurs données.
Vous devez suivre plusieurs principes pour définir et encadrer les données personnelles qui sont utilisées par le système reposant sur l’intelligence artificielle.
Constituer une base de données : vous pouvez collecter spécifiquement des données pour le fonctionnement de la solution IA ou réutiliser des données déjà collectées. Une fois encore, vos impératifs vont dépendre de la solution retenue.
Minimiser les données : vous devez faire en sorte de n'utiliser que les données qui sont expressément nécessaires au fonctionnement de la solution.
Définir une durée de conservation : les données utilisées par le système d'IA ne peuvent être conservées que pendant une durée limitée, conformément à la finalité de la collecte.
Les systèmes IA présentent plusieurs risques en matière de sécurité : non-respect de la confidentialité, violation du droit d’auteur, déformation des informations, perte ou vol de données, etc. Dans cette optique, la Cnil recommande de réaliser une analyse d’impact sur la protection des données (AIPD).
Cette démarche vise à cartographier les risques afin d'en limiter les chances de survenue. Elle peut permettre d'identifier les mesures nécessaires pour mieux protéger les données : chiffrement, minimisation, anonymisation, désapprentissage machine, audit, etc.
Plus globalement, la conception et/ou l’usage de solutions IA imposent d’encadrer tout son écosystème de travail, en ce qui concerne le choix de ses prestataires et la formation des collaborateurs à l’utilisation des systèmes par exemple.
Pour mieux protéger votre responsabilité, vous pouvez d’ailleurs souscrire le contrat Generali Protection Numérique. Cette assurance vous permet de prévenir, gérer et couvrir tous les principaux risques numériques en entreprise, dont ceux relatifs à l'usage de l'intelligence artificielle.
Sources :
(1) Intelligence artificielle : les députés adoptent une législation historique - Parlement européen - 2024
(2) Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD - Cnil - 2024