À la suite d’une demande de l’autorité irlandaise de protection des données, le CEPD (Comité européen de la protection des données) a adopté le 17 décembre 2024 un avis (Opinion 28/2024) concernant le traitement de données à caractère personnel dans le cadre du développement et le déploiement des modèles d’intelligence artificielle (IA).
Cet avis constitue une première étape importante et fournit les lignes directrices des autorités européennes (à l’attention des autorités nationales et des responsables de traitement) sur la manière d’intégrer les règles applicables en matière de protection des données à caractère personnel dans ce contexte.
L’avis aborde plusieurs points cruciaux, tels que les conditions dans lesquelles les modèles d’IA peuvent être considérés comme anonymes, la possibilité de justifier d’un ‘intérêt légitime comme base juridique pour justifier le traitement de données à caractère personnel lors du développement et du déploiement de modèles d’IA, ainsi que les conséquences sur les traitements ultérieurs si un modèle d’IA est élaboré à partir de données personnelles traitées illégalement.
L’anonymisation des modèles d’IA
Pour qu’un modèle IA soit considéré comme anonyme, il doit être hautement improbable (ceci doit pouvoir être démontré par le responsable du traitement) qu’il soit possible, directement ou indirectement d’identifier les personnes dont les données à caractère personnel ont été utilisées pendant la phase de développement du modèle ou d’extraire ces données personnelles du modèle via des requêtes (ou « prompts ») dans sa phase de déploiement.
L’appréciation de cet anonymisation doit donc se faire au cas par cas, en fonction des spécificités de chaque modèle.
Pour aider à cette évaluation, le CEPD fournit une liste non exhaustive de méthodes permettant au responsable du traitement que son modèle est anonymisé (ou presque étant donné qu’une anonymisation totale est toujours très difficile et que l’évolution de la technologie permet parfois une réidentification dans le futur).
Le CEPD (Comité Européen de la Protection des Données) souligne également que les modèles d’IA spécifiquement conçus pour fournir des données à caractère concernant des individus dont les données ont été utilisées pour développer le modèle (par exemple : un modèle génératif affiné sur l’enregistrement vocal d’un individu pour imiter sa voix) ne peuvent en principe jamais être considérés comme anonymes.
Utilisation de l’intérêt légitime comme base légale pour justifier le traitement de données à caractère personnel pendant le développement et le déploiement de modèles d’IA.
L’avis du CEPD fournit des considérations générales que les autorités de protection des données (APD) et les responsables du traitement doivent prendre en compte lorsqu’elles évaluent si l’intérêt légitime peut constituer une base légale valable pour justifier le traitement des données personnelles dans le cadre du développement et du déploiement de modèles d’IA.
Le test en trois étapes déjà bien connu pour déterminer l’existence d’un intérêt légitime (LIA) est proposé par le CEPD pour pouvoir évaluer l’existence d’un intérêt légitime :
- Existence d’un intérêt légitime du responsable du traitement qui est légal, déterminé et présent ;
- Nécessité du traitement pour atteindre l’objectif (pas d’alternative) ;
- Balance entre les intérêts légitimes du responsable du traitement et les intérêts et droits fondamentaux des personnes concernées.
L’avis fournit également des critères pour aider les APD (autorités de protection des données nationales) et les responsables du traitement à déterminer si les individus peuvent raisonnablement s’attendre à ce que leurs données soient utilisées dans le cadre du développement ou du déploiement d’un modèle d’IA.
Ces critères incluent la disponibilité publique des données, la nature de la relation entre la personne et le responsable du traitement, le contexte de la collecte des données et la connaissance par les individus de la présence de leurs données en ligne.
En complément, l’avis propose des exemples d’intérêts légitimes acceptables (tels que le développement d’agents conversationnels ou l’amélioration de la cybersécurité) ainsi qu’une liste non exhaustive de mesures permettant de limiter des risques identifiés pour les personnes concernés, telles que des actions techniques ou des dispositifs visant à faciliter l’exercice des droits des individus et à accroître la transparence.
Conséquences pour les traitements ultérieurs si un modèle d’IA est élaboré à partir de données à caractère personnel traitées illégalement.
Lorsque des données à caractère personnel traitées de manière illégale pendant la phase de développement d’un système d’IA, cela peut remettre en cause la légalité des traitements effectués lors de son déploiement et de son utilisation.
Le CEPD prend trois cas de figure pour répondre à cette question :
- Le cas ou des données à caractère personnel sont stockées dans le modèle d’IA dans la phase de développement et sont traitées ensuite, lors de son déploiement par le même responsable du traitement ;
- Le cas ou des données à caractère personnel sont stockées dans le modèle d’IA dans la phase de développement et sont traitées ensuite par un autre responsable du traitement ;
- Le cas où des données à caractère personnel sont traitées par un responsable du traitement de manière illégale pendant la phase de développement mais le modèle est ensuite rendu anonymisé avant son déploiement (peu importe que ce soit le même responsable du traitement ou un autre responsable du traitement qui effectue ensuite de nouveaux traitements pendant la phase de déploiement).
Le CEPD conclu qu’il faut pour chaque cas de figure procéder à une analyse au cas par cas où on prend le temps de déterminer si les traitements pendant la phase de développement et de déploiement ont les mêmes finalités et sont compatibles.
Si il y a différents responsables du traitement (au niveau du développement et ensuite pendant le déploiement du système d’IA), il faudra évaluer si il y a une éventuelle responsabilité conjointe entre ces responsables.
Le nouveau responsable du traitement (dans la phase de déploiement) devra effectuer une analyse (avant le déploiement) pour déterminer la provenance et la légalité des traitements de données à caractère personnel effectués par le premier responsable pendant la phase de développement (principe de responsabilité).
Si le modèle d’IA a été anonymisé de manière efficace avant son déploiement, alors l’illégalité des traitements pendant la phase de développement ne devrait pas avoir d’impact sur les traitements de données à caractère personnel qui auront lieu pendant la phase de déploiement.
Conclusion
Face à la diversité et à l’évolution rapide des modèles d’intelligence artificielle, le CEPD met en avant des recommandations générales visant à encourager une approche d’analyse au cas par cas par les autorités nationales et par les responsables du traitement.
Cette méthodologie permet de tenir compte des spécificités de chaque technologie et de son contexte d’utilisation, tout en garantissant le respect des principes fondamentaux de protection des données.
Le CEPD ouvre aussi des pistes permettant aux responsables du traitement qui développent ou déploient des système d’IA de pouvoir traiter des données à caractère personnel de manière responsable en limitant les risques pour les personnes concernées.
Dans le prolongement de cet avis, le CEPD poursuit ses travaux en approfondissant des thématiques plus ciblées, comme le web scraping, afin de répondre aux nouveaux défis posés par l’émergence de technologies toujours plus avancées.
Comment MD-LEX peut vous aider ?
MD-LEX est votre partenaire juridique pour vous aider à analyser les risques réglementaires (RGPD, AI Act) lors du développement d’un système d’IA et/ou lors de son déploiement.
MD-LEX vous aide ensuite prendre des mesures afin de pouvoir limiter ces risques et être conforme aux obligations légales applicables (notamment en matière de transparence et de justification du traitement de données à caractère personnel dans le contexte du développement et du déploiement de systèmes d’intelligence artificielle dans votre entreprise).
Pour plus d’informations ou une consultation sur mesure, n’hésitez pas à nous contacter : info@md-lex.be