Pour tout traitement de données personnelles, il est obligatoire de choisir une base légale, autorisant sa mise en œuvre au regard de la loi. Les entreprises ont le choix entre 3 : le consentement, l’exécution d’un contrat ou l’intérêt légitime. La notion d’intérêt légitime est à prendre avec des pincettes puisque dans la pratique, personne ne peut vérifier que les données seront utilisées à bon escient.
Les utilisateurs doivent être mis au courant de la collecte de leurs données, de l’utilisation qui en sera faite et de leur stockage (modalité et durée). Ils doivent également être informés de leurs droits et de leurs modalités d’exercice. « Toute personne doit être consciente de ce qu’il se passe avec ses données, et doit pouvoir agir dessus si elle le souhaite » précise Louis Allavena. Attention toutefois à la notion de transparence, des usagers sont parfois insuffisamment informés sur le traitement de leurs données personnelles.
Le RGPD oblige les entreprises à garantir la sécurité des données. Cela passe par la sécurité physique et informatique, mais aussi par la gestion stricte des droits d’accès informatiques. En fonction de la sensibilité des données et des risques d’incidents, ces mesures peuvent varier.
En principe, chaque individu doit pouvoir exercer ses droits en matière de données personnelles : le droit d’accès ou de consultation, le droit de rectification, de suppression, de portabilité ou encore d’opposition. En pratique, ces droits ne sont pas toujours avérés.
Chaque donnée collectée doit avoir un objectif précis et légitime et ne doit pas être réutilisée dans un autre but que celui annoncé initialement. Le principe de minimisation indique quant à lui que la collecte doit se limiter aux données strictement nécessaires. « Il n’est plus possible de collecter des données inutiles à la réalisation d’un projet et de les conserver « au cas où ». Les données collectées doivent avoir une finalité qu’il faut pouvoir justifier à tout moment » explique le conseiller en gouvernance et protection des données.
Une fois collectées, les données ne doivent être conservées que le temps strictement nécessaire à la réalisation de l’objectif. Passé ce délai, elles doivent être détruites, anonymisées ou bien archivées dans le respect des obligations légales.
La conformité RGPD exige une mise à jour constante des procédures et politiques internes. Démarche active et continue, elle nécessite des formations, mises à niveau et actualisation des bonnes pratiques à adopter au fil de l’eau.
Aux vues des règles imposées par le RGPD, il est indispensable de prendre en considération ces règles et le traitement des données personnelles dès la conception d’un projet alliant l’utilisation d’une intelligence artificielle, en fonction de l’application de celle-ci (IA grand public en ligne ou solution développée par l’entreprise). Sans cela, les risques associés au non-respect du règlement peuvent avoir un impact important sur la santé financière et réputationnelle de l’entreprise : jusqu’à 20 millions d’euros d’amende ou 4% du CA mondial, ainsi qu’un avertissement public de la non-conformité de l’entreprise par la CNIL. Elle peut par ailleurs stopper et interdire le traitement des données.
La particularité de l’IA réside dans son traitement de données à grande échelle qui rend difficile la transparence avec les utilisateurs. « Pour pouvoir fournir une transparence sur le traitement des données personnelles et garantir le droit des utilisateurs, il est indispensable de ne collecter que les données nécessaires et d’avoir un objectif précis de ce que l’on souhaite en faire » conseille Louis Allavena. Toutefois, même en respectant ce principe, une solution qui utilise l’intelligence artificielle peut dans certains cas, par recoupement et/ou analyse, en déduire des conclusions qui dépassent l'objectif initial.
Utilisée dans la mise en place de décisions automatisées, l’IA apporte une véritable plus-value : gain de temps et réduction d’erreurs pour les entreprises. « Attention cependant lors de l’automatisation : une personne peut refuser le traitement automatisé de sa donnée pour favoriser un traitement humain. C’est un droit à prendre en considération lors de la mise en place du processus. ». Il convient tout de même de rester prudents. Par nature, certaines IA génératives produisent des réponses fausses ou incertaines, notamment lorsque les questions sont piégées. On parle alors d’hallucinations.
Certaines technologies comme la reconnaissance faciale ou vocale peuvent également poser question quant au recueil du consentement. Une notion qui doit, pourtant, toujours rester présente, via la signature d’un contrat ou l’acceptation de conditions générales d’utilisation ou de vente, par exemple. « Dans le cas d’un assistant vocal par exemple, les CGU doivent autoriser l’outil à utiliser la voix pour nous reconnaître et exécuter les commandes demandées. Elles précisent les données transmises, leur finalité, le lieu de stockage ainsi que sa durée » explique Louis Allavena. Bien qu’elles soient rarement lues par les utilisateurs, ces CGU permettent d’obtenir un consentement de traitement de données personnelles, utilisées dans un cadre précis.
Pour allier intelligence artificielle et respect du RGPD en toute sécurité, Louis Allavena fournit quelques conseils et recommandations aux entreprises.
Les processus d’intelligence artificielle nécessitent des mesures de sécurité importantes avec des temps de formation conséquents pour toute l’équipe concernée. La sécurisation des outils peut, également, avoir un coût important. Ajouter à cela le traitement de données à caractère personnel augmente les risques pour l’entreprise. Il est donc judicieux d’avancer pas à pas. « Il est préférable de n’utiliser que peu de données au début, et d’agrandir le scope au fur et à mesure. Les conséquences en cas de fuite de données ne sont pas négligeables, n’utiliser que les données nécessaires permet de protéger l’entreprise. »
Inclure le délégué à la protection des données ou le référent RGPD dès la conception du projet permet d’assurer sa bonne conformité avec la réglementation. Recommandée par le RGPD, l’approche « Privacy by design » est particulièrement pertinente pour l’IA mais dépend de l’utilisation de l’outil (en ligne ou en interne). Elle implique d’intégrer dès la conception des systèmes, l’ensemble des mesures de protection de données : minimisation des données collectées, pseudomynisation, prise en compte des droits des individus, transparence de la collecte et de sa finalité… Intégrer cette approche à la conception évitera le ralentissement, voire l’arrêt temporaire du projet à posteriori.
Pour identifier les risques en cas d’incident de sécurité, la mise en place d’une analyse d’impact sur la protection des données (AIPD) est indispensable. Coordonnée par le conseiller en gouvernance et protection des données et le responsable du traitement des données, elle vise à évaluer les conséquences d’une fuite de données et à détailler les actions mises en place le cas échéant. « Analyser les risques permet d’évaluer le niveau des moyens de sécurisation de données à mettre en place. Dans le cas où les solutions sont trop onéreuses, le projet peut être annulé ou reporté. Intégrer le RGPD dès la conception est alors essentiel pour éviter une perte de temps. »
Pour garantir une culture de protection des données au sein de l’organisation et favoriser une meilleure conformité, la sensibilisation et la formation des équipes est un point à ne pas négliger. « Former les collaborateurs aux bons usages de l’IA permet également d’éviter les fuites de données, notamment sensibles ou confidentielles, comme des listes clients, papiers d’identité, etc. La CNIL propose de nombreuses ressources et des supports de formation à ce sujet. »
En encadrant son déploiement, le RGPD permet une évolution éthique et transparente de l’intelligence artificielle. La réglementation favorise également une homogénéisation des pratiques et une meilleure acceptation de l’IA dans la société. « En se mettant en conformité avec le RGPD, les entreprises ne font pas que respecter le cadre légal, elles anticipent, également, la première loi européenne sur l’IA et les futures réglementations. »
