Le Comité Européen de la Protection des Données (CEPD) a publié son avis 28/2024 portant sur le traitement des données personnelles dans le cadre du développement et du déploiement de modèles d’intelligence artificielle (IA).
Cet avis souligne l’importance de la conformité au Règlement Général sur la Protection des Données (RGPD) et s’articule autour de trois axes principaux : l’anonymat des modèles d’IA, l’utilisation de l’intérêt légitime comme base juridique, et les conséquences de l’entraînement illicite des modèles sur des données personnelles.
🟠 1 – L’anonymat dans les modèles d’IA : une condition indispensable
Le CEPD rappelle que l’anonymisation des données utilisées dans le cadre de l’entraînement des modèles d’IA constitue une exigence fondamentale.
Dans le domaine de l’IA, l’entraînement désigne le processus par lequel un modèle est alimenté par de grandes quantités de données afin d’apprendre à reconnaître des schémas, à effectuer des prédictions ou à prendre des décisions. Ce processus est au cœur du fonctionnement des IA, mais lorsqu’il repose sur des données personnelles collectées de manière illégale ou non conforme au RGPD, il devient problématique tant sur le plan juridique qu’éthique.
En effet, les données personnelles ne doivent être utilisées qu’après avoir été anonymisées de manière efficace, ce qui signifie qu’il doit être impossible de réidentifier une personne à partir des données.
Toutefois, le Comité met en garde contre les méthodes d’anonymisation évaluées comme insuffisantes. Par exemple, des techniques qui laissent subsister un risque de réidentification pourraient entraîner une non-conformité au RGPD et exposer les entreprises à des sanctions significatives. L’avis préconise donc une évaluation approfondie des méthodes employées pour garantir un niveau de protection optimal.
🟠 2 – L’intérêt légitime comme fondement juridique : une justification sous conditions
Le développement et le déploiement de modèles d’IA reposent fréquemment sur l’utilisation de l’intérêt légitime comme base juridique pour le traitement des données personnelles. Le CEPD insiste sur la nécessité d’une analyse rigoureuse de cette base juridique, rappelant qu’elle ne peut être invoquée que si les droits fondamentaux des personnes concernées ne priment pas sur cet intérêt.
Cet équilibre doit être établi à travers une évaluation détaillée des impacts potentiels sur la vie privée des individus. Toute utilisation abusive de ce fondement pourrait non seulement être jugée illégale mais également affaiblir la confiance du public envers les technologies d’IA.
Des exemples d’intérêts légitimes acceptables sont cités, comme le développement d’un agent conversationnelle pour améliorer l’expérience utilisateur ou l’utilisation de l’IA pour renforcer la cybersécurité.
🟠 3 – Les conséquences de l’entraînement illicite sur des données personnelles
L’entraînement de modèle d’IA sur des données personnelles obtenues de manière illicite constitue une infraction grave au RGPD. Le CEPD met en évidence les risques significatifs liés à cette pratique, notamment l’érosion de la protection des données et l’augmentation des vulnérabilités liées aux biais algorithmiques.
L’avis préconise une vigilance accrue des entreprises quant à l’origine des données utilisées et recommande la mise en place de mécanismes robustes de vérification. En outre, les régulateurs sont appelés à intensifier les contrôles pour dissuader les pratiques non conformes.
🟠 4 – Un rappel des obligations imposées par le RGPD
Le CEPD insiste sur la nécessité d’adopter une approche proactive en matière de conformité au RGPD dans le contexte de l’IA. Cela inclut notamment :
- La réalisation d’évaluations d’impact sur la protection des données pour les traitements présentant un risque élevé pour les droits et libertés des individus ;
- L’information claire et transparente des utilisateurs concernant l’utilisation de leurs données ;
- La mise en place de garanties techniques et organisationnelles pour protéger les données traitées.
🟠 Conclusion
Cet avis du CEPD marque une étape importante dans la régulation des technologies d’IA, rappelant aux entreprises l’importance de respecter les obligations du RGPD.
Le développement de l’IA présente des opportunités considérables, mais exige une vigilance accrue pour garantir une utilisation éthique et conforme aux réglementations en vigueur.
Pour en savoir plus / sources :
https://www.cnil.fr/fr/modeles-dia-et-rgpd-le-cepd-publie-son-avis-pour-une-ia-responsable
Depuis le 1er mars 2024, le cadre réglementaire des promotions sur les produits de grande consommation a été profondément modifié. Jusque-là limité aux produits alimentaires, l’encadrement des promotions s’étend désormais à l’ensemble des produits de grande consommation, impactant ainsi les stratégies commerciales des entreprises, notamment dans le secteur du e-commerce. Cette réforme, issue de la loi Descrozaille / Egalim 3 du 30 mars 2023, vient compléter et modifier les dispositions de la loi Asap du 7 décembre 2020. Dans ce contexte, la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) veille à l’application stricte de ces nouvelles obligations, afin de garantir une concurrence loyale et une meilleure information des consommateurs.
Le week-end du 23 et 24 novembre 2024, un cybercriminel a affirmé avoir piraté la Banque de France et être en possession de données sensibles concernant ses clients et ses salariés. En réponse à ces déclarations, l'institution a précisé qu'aucune "attaque sur le système d'information sécurisé" n'avait été constatée, tout en reconnaissant une intrusion sur son extranet.
Le Comité Européen de la Protection des Données (CEPD) a adopté, le 3 décembre 2024, de nouvelles lignes directrices visant à encadrer les transferts de données personnelles en dehors de l’Union Européenne (UE). Ces orientations, qui s'inscrivent dans le prolongement du RGPD, rappellent les exigences strictes auxquelles doivent se conformer les entreprises pour garantir une protection équivalente des données, même en dehors du territoire européen.
Le Comité Européen de la Protection des Données (CEPD) a publié son avis 28/2024 portant sur le traitement des données personnelles dans le cadre du développement et du déploiement de modèles d’intelligence artificielle (IA). Cet avis souligne l’importance de la conformité au Règlement Général sur la Protection des Données (RGPD) et s’articule autour de trois axes principaux : l’anonymat des modèles d’IA, l’utilisation de l’intérêt légitime comme base juridique, et les conséquences de l’entraînement illicite des modèles sur des données personnelles.