Agitateur de Neurones

Intelligence Artificielle & RGPD

Les technologies d’Intelligence Artificielle et tout particulièrement de Machine Learning sont fortement concernées par les concepts clés du RGPD. Vu sous un autre angle, si votre entreprise utilise directement ou indirectement des outils d’Intelligence Artificielle – et il y a de fortes chances pour que cela soit le cas – vous allez devoir rapidement effectuer une analyse d’impact dans le cadre de votre conformité au RGPD.

Pour faciliter la compréhension de tous, les technologies et les logiciels d’Intelligence Artificielle, ainsi que les applications métiers qui les utilisent, impliquent grosso-modo deux types de traitements :

  • une collecte et un stockage d’énormes volumes d’informations, plus ou moins personnelles, plus ou moins anonymisées ;
  • une prise de décision autonome basée sur ces mêmes données, avec des algorithmes que mêmes leurs créateurs ont du mal à expliquer, une fois qu’ils ont été entraînés, de manière supervisée par des humains ou non.

L’exemple classique qu’on trouve désormais dans toutes les sociétés qui proposent des services financiers (banque, assurance, prêts), c’est le scoring client automatisé.

Hors, le RGPD contient un article qui vise tout particulièrement ce type de traitement : “individuals shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her“.

Pour échapper à cette interdiction, le législateur a prévu trois cas de figures : autorisation par lois/décrets, nécessité impérieuse pour signer un contrat (mais si aucune autre mesure aussi efficace mais moins intrusive n’est vraiment possible) ou avec l’accord préalable de l’individu.

Hormis ces trois cas, l’interdiction s’appliquerait donc à des décisions basées entièrement (solely) sur des traitements automatisés. Rajoutons que dans l’esprit du législateur, il ne suffit pas pour un opérateur de cliquer sur « OK » pour contourner cette interdiction. L’humain doit apporter une compétence et un éclairage particulier aux informations présentées par les traitements automatisés (bref, par l’AI).

Le même problème se pose avec le terme profilage (profiling), sachant que le législateur accepte qu’une entreprise classifie des individus à des fins statistiques mais pas pour prendre des décisions sur des individus spécifiques.

Voilà qui va complexifier la tâche des DPOs (Data Protection Officer) et autres Privacy Officers…

Nous proposons du conseil et un accompagnement afin de :

  • détailler l’utilisation et le fonctionnement des technologies d’Intelligence Artificielle dans les documents d’information sur la vie privée (registre de traitements, etc..).
  • expliquer dans ces mêmes documents les conséquences pour les individus et leur vie privée.
  • dans la mesure du possible, décrire la logique des algorithmes utilisés, en particulier ceux qui participent à la prise de décision.
  • mettre en place les procédures qui valident les acquisitions de données privées (consentement ou non !) afin de pouvoir recourir à la preuve en cas de contestation par un individu.
  • mettre en place les procédures d’information aux objections des individus qui contesteraient le bien fondé d’une décision plus ou moins automatisée.
  • mettre en place une procédure de trace (tracing & logging), quasiment de type forensique, afin de conserver la mémoire des prises de décision automatisées et de pouvoir les justifier.
  • mettre en place les procédures, les outils (et les audits) de type cybersécurité qui garantissent que les systèmes d’IA ne soient pas attaqués et/ou modifiés par des tiers mal intentionnés (bien plus complexe qu’une conformité de type PCI-DSS)

Il est quasi impossible de fournir des documents ou procédures types car ils sont spécifiques aux applications métiers, aux processus d’entreprises, aux données collectées et/ou manipulées et surtout aux algorithmes d’Intelligence Artificielle utilisés, de plus en plus complexes.

Rappelons pour terminer que le RGPD impose une évaluation périodique de la protection des données personnelles, le fameux DPIA (Data Protection Impact Assessment)