Le Comité européen de la protection des données étudie la manière dont les modèles d’IA peuvent utiliser les données personnelles sans enfreindre les lois sur la protection de la vie privée.
Le Comité européen de la recherche sur les données a publié mercredi un avis sur la manière dont les développeurs d’IA peuvent utiliser les données personnelles pour développer et mettre en œuvre des systèmes d’IA, tels que les LLM, sans violer les lois sur la protection de la vie privée.
Les modèles doivent également se conformer à la législation GDPR, selon le rapport, une évaluation stricte est donc plus que nécessaire. Le non-respect de cette loi entraînera des sanctions sévères. Il y a trois questions principales à prendre en compte : garantir l’anonymat, déterminer les intérêts légitimes et décider de ce qui se passe en cas de traitement illégal des données.
Anonymat
La publication aborde plusieurs questions, notamment celle de savoir si les modèles d’IA peuvent être anonymes, ce qui signifie que les lois sur la protection de la vie privée ne s’appliquent pas. Les modèles d’IA formés avec des données personnelles ne sont pas automatiquement anonymes. Toutefois, cette question doit être évaluée au cas par cas. Pour garantir un anonymat complet, la commission estime qu’il devrait être pratiquement impossible d’extraire des données du modèle et d’obtenir des données à caractère personnel, intentionnellement ou non, par le biais des requêtes du modèle.
Le rapport montre que les régulateurs doivent disposer de suffisamment de preuves pour pouvoir évaluer si le modèle est anonyme. Pour cette évaluation, plusieurs facteurs sont pris en compte, tels que les techniques utilisées pour protéger les données, le contexte dans lequel le modèle est utilisé et l’utilisation éventuelle de technologies modernes pour faciliter l’identification.
Ces preuves consistent en une documentation détaillée des méthodes et des mesures d’atténuation des risques utilisées, fournie par les responsables du traitement. Un responsable du traitement est une organisation ou une personne qui décide pourquoi et comment des données à caractère personnel sont traitées.
lire aussi
Le Comité européen de protection des données examine l’utilisation des données personnelles dans la GenAI
Intérêts légitimes
La commission examine également si les “intérêts légitimes” peuvent être utilisés comme base juridique. En d’autres termes, ils peuvent constituer une base juridique pour le développement de l’IA sans le consentement des individus. La détermination de la possibilité d’utiliser un intérêt légitime comme base juridique se fait en trois étapes :
1. Identifier un intérêt légitime
L’intérêt doit répondre à certains critères pour être légitime. Il ne doit pas être contraire aux lois et règlements et doit être formulé de manière claire et précise. En outre, il ne doit pas être spéculatif. Par exemple, l’utilisation d’un chatbot d’IA pour améliorer le service à la clientèle est légale ; l’utilisation de l’IA pour traiter des données personnelles sans consentement ne l’est pas.
2. Est-il effectivement nécessaire ?
Le traitement d’un intérêt doit donc contribuer à la finalité poursuivie et il ne doit pas exister de moyens moins intrusifs d’atteindre cette même finalité. Seules les données réellement nécessaires à la formation doivent être traitées. Par exemple, si un chatbot d’IA peut être formé avec des données anonymes, l’utilisation de données publiques n’est pas nécessaire.
3. Impact du partage des données sur l’individu
Les intérêts du responsable du traitement ne doivent pas l’emporter sur les droits des personnes concernées. Cette mise en balance s’effectue sur la base de trois piliers : la nature des données, les attentes raisonnables des personnes concernées et l’impact. Ainsi, les données sensibles font l’objet d’une pondération plus stricte. Les personnes concernées doivent savoir comment et pourquoi leurs données sont traitées et doivent connaître l’impact attendu, car cela peut avoir une incidence sur les attentes raisonnables.
Si le bilan devait de toute façon être négatif, les responsables du traitement peuvent recourir à des mesures d’atténuation. Ils peuvent crypter les données ou mieux informer les personnes concernées sur le traitement.
lire aussi
Le Comité européen de protection des données examine l’utilisation des données personnelles dans la GenAI
Traitement illégal
Quand le traitement de données à caractère personnel est-il considéré comme illicite ? L’avis décrit trois scénarios de traitement illicite. Dans chacun d’eux, un modèle d’IA est développé avec des données à caractère personnel traitées de manière illicite. Si les données à caractère personnel restent dans le modèle et sont utilisées par le même responsable du traitement, l’ensemble du traitement peut être illicite. Cela dépend du contexte spécifique et chaque cas doit être examiné par les autorités de contrôle.
Si les données à caractère personnel restent dans le modèle mais que celui-ci est utilisé par un autre responsable du traitement ou une autre organisation, il incombe au second responsable du traitement de vérifier que le modèle est conforme au GDPR. Si les données à caractère personnel sont rendues anonymes après un traitement illégal, la législation GDPR ne s’applique plus, à condition que l’anonymisation réponde à des conditions strictes.
Pour l’instant, il n’y a pas de solution unique à ces questions juridiques, la commission ne fait que des suggestions. Il faudra du temps avant que l’Europe n’introduise des lois correctes pour cette technologie qui connaît une croissance de plus en plus rapide. L’Europe prend toutefois des mesures dans la bonne direction. Un bureau de l’IA a été créé au début de l’année pour faire appliquer les lois sur l’IA, et la loi sur l’IA elle-même porte déjà ses fruits.