Protection des données et IA
Introduction
L’intelligence artificielle est présente dans tous les aspects de nos vies : elle optimise nos déplacements, nous recommande de nouveaux contenus adaptés à nos goûts (films, musiques, etc.), surveille notre santé et s’immisce même dans nos relations amoureuses via des applications de rencontre toujours plus sophistiquées.
L’IA occupe incontestablement une place majeure dans notre quotidien. Toutefois, force est de constater qu’elle entretient avec ses utilisateurs une relation conflictuelle, entre dépendance et défiance. Ces tensions sont dues en grande partie à la collecte massive des données personnelles des individus par les applications d’IA. Les données personnelles ont une définition particulièrement large : il s’agit de toute information susceptible d’identifier directement ou indirectement une personne physique1.
Ainsi, le nom, la voix, l’image, un trajet ou une adresse IP sont qualifiés de données personnelles et bénéficient d’une protection élevée par le droit français et européen, via le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après RGPD).
Certaines données personnelles, parfois traitées par les applications d’IA, relèvent en...
L’IA dans une démarche Privacy by design
Le concept de Privacy by design a été développé dès les années 90 par la Commissaire à l’information et à la protection de la vie privée de l’Ontario (Canada). Elle a pour corollaire la notion de Privacy by default ou protection de la vie privée par défaut.
Ces principes exigent de prendre en compte la protection de la vie privée des personnes concernées :
-
dès la conception d’un traitement, c’est-à-dire dès la phase de développement ;
-
par défaut, c’est-à-dire sans que l’utilisateur final ait besoin de paramétrer le traitement pour améliorer la protection de sa vie privée.
Ces notions ont été intégrées à l’article 25 du RGPD et, de manière plus globale, innervent l’ensemble du texte.
L’approche Privacy by design milite donc en faveur d’une prise de conscience en amont de toute création de la nécessité de protéger les données personnelles des individus. Concrètement, le respect du Privacy by design implique la mise en place de mesures de sécurité techniques et organisationnelles adaptées aux risques encourus et la formalisation d’une documentation dédiée, permettant...
Le profilage à l’épreuve de l’IA
Le RGPD est le premier texte à avoir apporté un éclaircissement juridique au profilage. Il le définit comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.9 »
Le RGPD délimite ainsi la notion de profilage en se focalisant sur les traitements automatisés de données personnelles ayant pour but l’évaluation d’un individu. Le profilage implique en effet la notion d’appréciation et de jugement comme le rappelle le G29 dans ses lignes directrices10.
Le profilage est souvent mis en place via des applications d’IA. À titre d’exemple, dans le secteur bancaire, l’IA « peut se substituer aux experts financiers pour analyser de façon extrêmement précise et rapide l’historique bancaire, la situation professionnelle, les revenus, ou encore le patrimoine des clients dans le cadre de demandes de financement » 11. Les banques ne cachent pas l’importance de ces indicateurs (« scoring ») dans leur prise de décision, qui peuvent potentiellement empêcher l’accès à un prêt ou à un crédit à des particuliers.
L’utilisation de l’IA dans le cadre de la vie des personnes physiques (finances, emploi, logement, aides étatiques, etc.) pose également la question des biais algorithmiques.
L’algorithme programmé et entraîné par l’Homme reproduit non seulement les subjectivités qui l’ont nourri, mais ne raisonne aussi que par statistiques. Même si elles sont « objectives », les statistiques ne sont pas adaptées à toutes les situations individuelles. L’algorithme amplifie tout...
Notes
1 Article 4 du RGPD
2 Article 9 du RGPD
3 Cour Européenne des Droits de l’Homme, Satakunnan Markkinapörssi Oy et Satamedia Oy c. Finlande, 27 juin 2017
4 Discours de Vladimir Poutine lors d’une conférence sur les nouvelles technologies le 1er septembre 2017
5 Rapport de Cédric Villani : donner un sens à l’intelligence artificielle (IA), 28 mars 2018, page 73
6 Livre Blanc - Intelligence artificielle : une approche européenne axée sur l’excellence et la confiance, Commission Européenne, 19 février 2020, page 2
7 Site de la CNIL : https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd
8 RGPD, 35.1
9 Article 4.4 du RGPD
10 G29, lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 adoptées le 3 octobre 2017
11L’intelligence artificielle s’invite dans le secteur bancaire, B for Bank Le Mag, 20 juin 2019
12 Délibération n° 2008-198 du 9 juillet 2008 modifiant l’autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi...