Garance Mathias, Avocat à la Cour, vous propose une check-list des points à ne pas négliger si vous souhaitez développer des projets d’intelligence artificielle.
> Définition des données utilisées
Si vous collectez des informations, que vous utilisez pour le développement puis l’utilisation d’une intelligence artificielle, qui se rapportent à une personne physique identifiée ou identifiante, vous traitez des données à caractère personnel. Dès lors, vous êtes assujettis à la réglementation spécifique, notamment constituée du RGPD. Il est alors primordial de bien sélectionner les données nécessaires à la réalisation de votre projet et de maîtriser ces données. Cette sélection et maîtrise des données correspond à l’application du principe de minimisation imposant de ne collecter que les données nécessaires, adéquates et pertinentes au regard du but poursuivi.
Egalement, au début de votre projet, le RGPD exige d’intégrer la protection des données dès la conception de vos outils, applications et traitements de données (Privacy by design) et de ne collecter que les données nécessaires au regard de chaque finalité spécifique et dont l’accès est limité aux seules personnes ayant besoin d’en avoir connaissance (Privacy by default).
> Détermination de la base de traitement
Six bases juridiques sont envisageables afin de traiter des données à caractère personnel dans le cadre de votre projet : consentement, exécution d’un contrat, obligation légale du responsable de traitement, sauvegarde des intérêts vitaux de la personne, exécution d’une mission de service public et la poursuite d’intérêts légitimes. Dès lors, il faut veiller à choisir le fondement juridique approprié afin que la collecte de données ne soit pas illicite.
> Implication de la prise de décisions automatisées
Le RGPD prévoit que les personnes dont les données sont collectées ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé qui produit des effets juridiques à son égard. L’intelligence artificielle, impliquant une possibilité de prise de décision par un ordinateur, simulant une intelligence humaine, donne naissance à des décisions automatisées concernant des personnes physiques. A titre d’illustration, c’est le cas de décisions d’octroi de prêts ou d’hypothèques prises sur la base de la classification de personnes physiques dans des groupes de solvabilité, après collecte de leurs données et réalisation de profils. Une telle décision automatisée est néanmoins possible si elle est nécessaire à la conclusion ou à l’exécution d’un contrat. Elle est autorisée par le droit de l’Union ou le droit de l’Etat membre auquel le responsable du traitement est soumis ou si elle est fondée sur le consentement explicite de la personne. Dans le cas d’un traitement fondé sur le consentement ou sur le contrat, des mesures pour assurer la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée doivent être prises par le responsable de traitement et comprennent notamment le droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision.
Entre aussi, dans le périmètre de la décision automatisée, le profilage. Ce dernier se définit comme l’utilisation de données pour évaluer certaines caractéristiques relatives aux personnes concernées et ainsi analyser ou prédire des éléments concernant par exemple leurs préférences personnelles ou leur comportement etc. La prise de décision automatisée, y compris le profilage, impose d’en informer les personnes.
> Le droit à la portabilité des données
Ce droit est prévu par le RGPD. Son exercice permet à une personne concernée de recevoir ses données dans un format compréhensible, et le droit de transmettre ces données à un autre responsable lorsque le traitement est fondé sur le consentement, y compris pour la collecte de données sensibles, ou sur un contrat et que le traitement est effectué à l’aide de procédés automatisés.
> Réalisation d’une analyse d’impact
Avec l’avènement de la logique de responsabilisation ou « accountability » instaurée par le RGPD, la preuve de la conformité aux dispositions qu’il prévoit, en continu et à tout moment, a été consacrée. Ainsi, le respect de l’accountability passe par la documentation de votre conformité au règlement. Dans ce contexte, l’analyse d’impact est un instrument qui va permettre de décrire le traitement envisagé, d’en évaluer la nécessité et la proportionnalité ainsi que d’aider à gérer les risques créés pour les droits et libertés des personnes.
> Procédure de notification de violation et moyens de détection
Le développement de l’intelligence artificielle et sa complexité croissante peut rendre plus difficile de déterminer quand une cyberattaque est intervenue ainsi que l’entité responsable en cas de la violation de données. Dans ce cadre, il est primordial d’instaurer une politique de sécurité des données et d’imposer des standards de sécurité aux prestataires intervenant dans le projet d’intelligence artificielle. De surcroît, il est nécessaire de contrôler l’application de ces standards par la mise en œuvre d’audits.
