Intelligence artificielle et RGPD peuvent-ils cohabiter ?

L’intelligence artificielle et le RGPD peuvent-ils faire bon ménage ? Le cabinet d’avocats Caprioli & Associés se penche sur la question et rappelle à la fois les risques du premier et les exigences du second.

« L’intelligence artificielle est le grand mythe de notre temps » (I. Falque-Pierrotin, Préface in Les enjeux éthiques des algorithmes et de l’intelligence artificielle). Les avancées technologiques de l’intelligence artificielle (IA) s’inscrivent dans un phénomène de profonde transformation de notre société, notamment par le biais des objets connectés et des réseaux sociaux.

Cette IA offre des opportunités non négligeables aux entreprises et aux entités administratives, à savoir une meilleure segmentation du marché, une optimisation du profilage des clients, des analyses prédictives. Dans cette optique, l’IA a un effet positif au sein de notre société. Toutefois, il n’en demeure pas moins que l’intelligence artificielle suscite de nombreux bouleversements dans nos vies quotidiennes. En effet, ces technologies ne doivent pas négliger la vie privée des individus. Plus précisément, les acteurs de l’IA doivent se saisir des enjeux juridiques relatifs aux données à caractère personnel qu’ils collectent et traitent.

QUELLE DÉFINITION POUR L’INTELLIGENCE ARTIFICIELLE ?

Selon le vocabulaire de l’informatique, l’intelligence artificielle est officiellement définie comme le « champ interdisciplinaire théorique et pratique qui a pour objet la compréhension de mécanismes de la cognition et de la réflexion, et leur imitation par un dispositif matériel et logiciel, à des fins d’assistance ou de substitution à des activités humaines » (JO du 9 décembre 2018). En d’autres termes, l’IA a pour objectif de fabriquer des machines et/ou développer des applications capables d’imiter de manière autonome l’intelligence humaine, afin de résoudre des problèmes complexes à l’aide d’algorithmes. Il est certain que la problématique de la protection des données à caractère personnel à l’aune de l’IA constituera un point cardinal.

Un système d’IA impose la collecte massive de données à caractère personnel ou non personnel. Ces données sont essentielles dans le système puisqu’il permet à celui-ci de progresser de manière significative. Toutefois, avec l’entré en vigueur du RGPD, il est impératif d’articuler ce texte avec l’IA pour assurer la corrélation entre la croissance des technologies et la protection de la vie privée des personnes. Ainsi, à première vue, le RGPD peut sembler être un obstacle à l’expansion de l’IA pour les différentes organisations. Il est donc nécessaire de rechercher un équilibre entre le RGPD et le développement de la technologie, dans un souci de conformité et de prospective : protéger la vie privée et faire de l’Union européenne un territoire pionnier de l’intelligence artificielle.

LES PRINCIPAUX RISQUES LIÉS À L’IA

Face au RGPD, l’intelligence artificielle, reposant sur des algorithmes, présente plusieurs risques.

Risque systémique. Il est évident qu’en cas de défaillance du système d’IA, le risque d’atteinte à la vie privée puisse être caractérisé, en ce sens qu’une faille dans le système se généralisera dans toutes les entreprises qui utilisent le même système (les données collectées pourraient être dérobées par des tiers malveillants).

Risque d’opacité des systèmes d’IA. Cette opacité des systèmes entraine des risques d’ordre technique, car l’effet « boîte noire » des algorithmes a pour conséquence d’entrainer une difficulté d’auditabilité des systèmes et de lisibilité par toute personne.

Risque lié à la liberté et la sécurité des personnes. Les données à caractère personnel collectées par les organismes peuvent avoir des effets intrusifs sur la vie privée des personnes. Nonobstant, les vulnérabilités des systèmes d’intelligence artificielle, le RGPD vient limiter le risque de collecte massive de données et les potentielles intrusions qui peuvent subsister, spécialement dans le but d’assurer la corrélation du principe de protection des données et le développement des systèmes d’intelligence artificielle.

EXIGENCES ISSUES DU RGPD

  • Les entreprises doivent examiner si la collecte de données est nécessaire pour le traitement (principe de minimisation des données).
  • Les entreprises doivent faire preuve de transparence vis-à-vis des données, mais également adopter le principe « privacy by design » afin de préserver la vie privée, dès la conception du traitement d’IA, par des mesures techniques et organisationnelles.
  • Les entreprises doivent élaborer des principes éthiques en vue d’améliorer le processus de transparence de l’IA, en respectant un principe de loyauté (faire primer les intérêts des utilisateurs) et un principe de vigilance.
  • Les entreprises doivent également mettre en œuvre des techniques d’évaluation afin de vérifier les potentiels biais et discriminations qui pourraient survenir (ex : le robot Tay de Microsoft devenu raciste).
  • Enfin, dans pratiquement tout type de projet d’IA du fait de la collecte massive de donnée, dont des données personnelles voire sensibles au sens de l’article 9 du RGPD, une analyse d’impact sur la vie privée est incontournable.

Malgré ces indications de mise en conformité concernant les algorithmes, il ne faudra pas oublier de répondre aux exigences relatives au traitement de données (Articles 6 et suivants) et aux droits des personnes concernées (Articles 12 et suivants). On remarque, toutefois, que la mise en œuvre d’un processus de conformité reste relativement difficile, étant donné que les systèmes d’intelligence artificielle sont des technologies présentant des zones d’ombres pour les organismes. Il n’empêche que le but est d’éviter la décentralisation de la maitrise du système sans contrôle par l’humain puisque le risque d’atteinte pourrait dans ce cas être très élevé.

Aussi, la CNIL a engagé de grandes réflexions afin de promouvoir les bonnes pratiques et nous éclairer sur la question IA et RGPD. Dans ce contexte, des lignes directrices du régulateur serait les bienvenues ! Et prônons une IA responsable et de confiance.

 

Eric A. Caprioli, avocat à la Cour, docteur en droit
Isabelle Cantero, avocat associé
Caprioli & Associés, société membre de JURISDEFI

 

 

Sources : 

 https://www.usine-digitale.fr/article/intelligence-artificielle-et-rgpd-peuvent-ils-cohabiter.N924164