Le Comité Européen de la Protection des Données (CEPD) a publié son avis 28/2024 portant sur le traitement des données personnelles dans le cadre du développement et du déploiement de modèles d’intelligence artificielle (IA).
Cet avis souligne l’importance de la conformité au Règlement Général sur la Protection des Données (RGPD) et s’articule autour de trois axes principaux : l’anonymat des modèles d’IA, l’utilisation de l’intérêt légitime comme base juridique, et les conséquences de l’entraînement illicite des modèles sur des données personnelles.
🟠 1 – L’anonymat dans les modèles d’IA : une condition indispensable
Le CEPD rappelle que l’anonymisation des données utilisées dans le cadre de l’entraînement des modèles d’IA constitue une exigence fondamentale.
Dans le domaine de l’IA, l’entraînement désigne le processus par lequel un modèle est alimenté par de grandes quantités de données afin d’apprendre à reconnaître des schémas, à effectuer des prédictions ou à prendre des décisions. Ce processus est au cœur du fonctionnement des IA, mais lorsqu’il repose sur des données personnelles collectées de manière illégale ou non conforme au RGPD, il devient problématique tant sur le plan juridique qu’éthique.
En effet, les données personnelles ne doivent être utilisées qu’après avoir été anonymisées de manière efficace, ce qui signifie qu’il doit être impossible de réidentifier une personne à partir des données.
Toutefois, le Comité met en garde contre les méthodes d’anonymisation évaluées comme insuffisantes. Par exemple, des techniques qui laissent subsister un risque de réidentification pourraient entraîner une non-conformité au RGPD et exposer les entreprises à des sanctions significatives. L’avis préconise donc une évaluation approfondie des méthodes employées pour garantir un niveau de protection optimal.
🟠 2 – L’intérêt légitime comme fondement juridique : une justification sous conditions
Le développement et le déploiement de modèles d’IA reposent fréquemment sur l’utilisation de l’intérêt légitime comme base juridique pour le traitement des données personnelles. Le CEPD insiste sur la nécessité d’une analyse rigoureuse de cette base juridique, rappelant qu’elle ne peut être invoquée que si les droits fondamentaux des personnes concernées ne priment pas sur cet intérêt.
Cet équilibre doit être établi à travers une évaluation détaillée des impacts potentiels sur la vie privée des individus. Toute utilisation abusive de ce fondement pourrait non seulement être jugée illégale mais également affaiblir la confiance du public envers les technologies d’IA.
Des exemples d’intérêts légitimes acceptables sont cités, comme le développement d’un agent conversationnelle pour améliorer l’expérience utilisateur ou l’utilisation de l’IA pour renforcer la cybersécurité.
🟠 3 – Les conséquences de l’entraînement illicite sur des données personnelles
L’entraînement de modèle d’IA sur des données personnelles obtenues de manière illicite constitue une infraction grave au RGPD. Le CEPD met en évidence les risques significatifs liés à cette pratique, notamment l’érosion de la protection des données et l’augmentation des vulnérabilités liées aux biais algorithmiques.
L’avis préconise une vigilance accrue des entreprises quant à l’origine des données utilisées et recommande la mise en place de mécanismes robustes de vérification. En outre, les régulateurs sont appelés à intensifier les contrôles pour dissuader les pratiques non conformes.
🟠 4 – Un rappel des obligations imposées par le RGPD
Le CEPD insiste sur la nécessité d’adopter une approche proactive en matière de conformité au RGPD dans le contexte de l’IA. Cela inclut notamment :
- La réalisation d’évaluations d’impact sur la protection des données pour les traitements présentant un risque élevé pour les droits et libertés des individus ;
- L’information claire et transparente des utilisateurs concernant l’utilisation de leurs données ;
- La mise en place de garanties techniques et organisationnelles pour protéger les données traitées.
🟠 Conclusion
Cet avis du CEPD marque une étape importante dans la régulation des technologies d’IA, rappelant aux entreprises l’importance de respecter les obligations du RGPD.
Le développement de l’IA présente des opportunités considérables, mais exige une vigilance accrue pour garantir une utilisation éthique et conforme aux réglementations en vigueur.
Pour en savoir plus / sources :
https://www.cnil.fr/fr/modeles-dia-et-rgpd-le-cepd-publie-son-avis-pour-une-ia-responsable
Le 13 novembre 2024, la Défenseure des droits a publié un rapport alarmant sur l’utilisation croissante d’algorithmes au sein des services publics français. Ce document attire l’attention sur les dérives potentielles que pourrait engendrer l’automatisation des décisions administratives. Dans un contexte où les administrations se numérisent à grande vitesse, la question de la protection des droits fondamentaux face aux technologies d’intelligence artificielle devient importante.
Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
La protection des données personnelles est au cœur des préoccupations des régulateurs et des citoyens. Récemment, la SNCF s’est retrouvée sous le feu des projecteurs en raison de sa pratique de collecte systématique de la civilité (Madame, Monsieur, âges etc.) de ses clients via son service en ligne SNCF Connect. Une affaire qui a conduit la Cour de justice de l’Union européenne (CJUE) à trancher sur la conformité de cette pratique au regard du RGPD.
Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.