Propos introductifs.
L’intelligence artificielle c’est la reconnaissance vocale, ce sont les centres de supports conversationnels, c’est l’écriture de messages marketing personnalisés, c’est la vision par ordinateur, les voitures autonomes, l’approvisionnement des stocks en temps réels, les réseaux sociaux, la médecine augmentée, les exemples sont infinis… nous sommes tous concernés.
Tous ces systèmes d’intelligence artificielle sont alimentés par des données, aussi bien lors de leur fabrication que de leur utilisation. Et parmi ces données, il y a des données à caractère personnel. Votre nom, prénom, votre visage, votre compte bancaire… tout élément qui permet de vous identifier, totalement ou partiellement, en tant que personne physique.
Le 12 juillet 2024, le Parlement européen a publié le Règlement de l’intelligence artificielle, l’IA Act [1]. C’est une première mondiale. C’est aussi une excellente nouvelle puisque maintenant les entreprises ont un cadre juridique leur permettant de créer et d’utiliser l’intelligence artificielle.
L’Europe était déjà la première à avoir édité un Règlement de protection des données à caractère personnel, le fameux RGPD entré en application en mai 2018. Le RGPD est applicable au traitement automatisé de données [2], en tout en partie [3]. L’intelligence artificielle c’est le royaume des traitements automatisés de données incluant nos données personnelles [4].
Quel est le point commun de ces textes européens ? C’est une approche par les risques plutôt qu’une réglementation de la technologie. Plus les risques sont importants pour les personnes et leur vie privée, plus les limites légales d’utilisation sont élevées. Il y a une volonté de créer un environnement prospère et de confiance [5].
Pour autant, l’intelligence artificielle nous amène sur des terres inconnues et nous invite à réfléchir, à rencontrer des experts, à adopter de nouvelles pratiques en innovant. Le juriste se trouve à la croisée de la protection des personnes et de l’informatique innovante.
L’objectif est clair pour les entreprises créatrices ou utilisatrices d’intelligence artificielle : profiter pleinement de l’intelligence artificielle grâce au respect du nouveau cadre légal et à l’application de bonnes pratiques [6].
Ainsi, 20 bonnes pratiques juridiques ont été sélectionnées pour accompagner le déploiement de l’intelligence artificielle par les entreprises tout en protégeant nos données personnelles.
20 bonnes pratiques des entreprises pour protéger les données personnelles.
1. Utiliser les normes européennes comme référentiel.
La réglementation européenne est la première réglementation horizontale à la fois sur les données personnelles et l’intelligence artificielle. De plus, elle est construite sur les valeurs humaines européennes que nous connaissons en tant que citoyens européens. En attendant l’internationalisation de cette réglementation, il est donc de bonne pratique d’utiliser le système légal européen, le plus abouti au monde, comme référentiel.
2. Consulter les questions-réponses de la CNIL.
La réglementation sur l’intelligence artificielle est en cours d’expansion. La France est un leader européen sur le sujet. La CNIL qui est le régulateur français des données personnelles, vient de publier ses premières recommandations pour l’utilisation de l’intelligence artificielle de manière responsable [7].
3. Réaliser une analyse d’impact avant la mise en place d’une intelligence artificielle.
Cette analyse d’impact relative à la protection des données est plus qu’une bonne pratique puisqu’elle est désormais une obligation européenne pour le fournisseur et l’utilisateur d’un système d’intelligence artificielle [8]. Le Règlement européen interdit les systèmes d’intelligence artificielle qui présentent des risques inacceptables. Risques inacceptables : jugés contraires aux valeurs et droits fondamentaux de l’UE.
4. Avoir un registre des traitements.
Le règlement sur la protection des données personnelles prévoit un registre des activités des traitements des données qui permet de recenser les traitements opérés par les entreprises [9]. Ce registre fait partie de la documentation prouvant la conformité de l’entreprise. Je recommande d’identifier les traitements opérés avec et sans intelligence artificielle dans ce registre.
5. Editer un code de bonne conduite.
L’édition d’un code de bonne conduite est la meilleure idée pour marquer l’importance attachée au respect des droits sociaux au sein de l’entreprise. Mon conseil est d’établir un code de bonne conduite en faisant intervenir un représentant de toutes les parties concernées par votre système d’intelligence artificielle.
6. Optimiser l’usage de l’intelligence artificielle aux besoins prédéfinis.
Poser les limites de l’utilisation de l’intelligence artificielle est très important en matière de données personnelles. En effet, le traitement de données personnelles peut être légitime grâce à une base légale que doit préciser le responsable de traitement. Il y a six bases légales [10]. Le traitement des données personnelles par l’intelligence artificielle doit correspondre à une de ces bases légales, c’est-à-dire à un besoin préalablement identifié.
7. Minimiser les données personnelles collectées.
L’intelligence artificielle traite des données à une échelle sans précédent. Or, la réglementation prévoit la minimisation des données personnelles. Pour concilier ce contraire, il faut cibler la qualité et la quantité des données, éviter leur communication entre entreprises [11], puis planifier la purge des données collectées [12].
8. Exiger la qualité produit.
Il y a pour le législateur européen la volonté de mettre sur le marché des systèmes d’intelligence artificielle qui sont à la hauteur des exigences de sécurité. Ces exigences sont basées sur la qualité du produit et ses processus de développement.
L’entreprise utilisatrice d’une solution informatique d’intelligence artificielle se doit de vérifier la présence du marquage « CE » sur certaines solutions d’intelligence artificielle, ce marquage reflète la qualité d’un produit qu’elle a sélectionné.
9. Désigner un délégué à la protection des données personnelles.
Le délégué à la protection des données personnelles a un rôle déterminant [13]. Il met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que chaque traitement est effectué conformément au Règlement européen. La protection des données personnelles doit être garantie sur toute la durée de vie du système d’intelligence artificielle [14]. La nomination d’un délégué à la protection des données personnelles, parfois obligatoire, est donc toujours conseillée. Il devra être formé à l’intelligence artificielle ou être épaulé par des compétences internes ou externes en ce domaine.
10. Créer une cartographie des risques.
La réglementation européenne en matière d’intelligence artificielle et de données personnelles est construite sur l’appréhension des risques et leur graduation. Le Règlement européen prévoit comme nouvelle règle de traiter les risques spécifiquement créés par les applications d’intelligence artificielle.
Ainsi, la création d’une cartographie des risques est une très bonne idée, qui permet d’identifier au sein de l’entreprise les risques existants avec la description des risques bruts, des plans de remédiation et des risques nets, le tout avec une mise en priorité de certains risques.
11. Installer un Comité des risques.
Le Comité des risques permet de consolider la cartographie des risques pour sa création et son actualisation. Le Comité des risques devrait être interdisciplinaire, constitué d’experts informatiques et juridiques, du délégué à la protection des données personnelles, autour d’un risque manager. La collectivité et l’interdisciplinarité sont, à mon sens, deux qualités essentielles.
12. Choisir un éditeur européen d’intelligence artificielle.
Les réglementations européennes sur les données personnelles et l’intelligence artificielle étant proches, en choisissant un fournisseur européen d’intelligence, vous avez une garantie a priori que l’éditeur respecte les réglementations et les valeurs européennes. Dans certains cas, il devra fournir une déclaration de conformité [15]. La confiance dans l’intelligence artificielle repose sur la confiance dans ses fabricants.
13. Obtenir une présomption de conformité légale.
Dans le prolongement de la précédente bonne pratique, identifier le respect par le fournisseur et donc l’utilisateur des normes harmonisées est un point important. En effet, le respect de ces normes harmonisées vaudra présomption de conformité légale. Au niveau européen, il y a des travaux d’harmonisations en cours notamment ceux du comité JTC 21 (Cen-cenelec Joint Technical Committee for AI) [16].
14. Vérifier le transfert des données personnelles à l’étranger.
L’intelligence artificielle n’a pas de frontière, aussi bien dans sa création que dans son utilisation. Par exemple, l’intelligence artificielle utilisée pour la conduite de voiture autonome a une dimension planétaire à l’instar du marché automobile. Autre exemple, la reconnaissance faciale américaine a créé un répertoire de milliards de photographies y compris celles de citoyens européens [17]. La réglementation sur les données personnelles impose une précaution particulière sur le transfert des données personnelles en dehors des frontières européennes [18]. De plus, la réglementation européenne étant la plus protectrice et surtout la plus avancée, le transfert vers un cadre juridique moins exigeant est une source de responsabilité spécifique [19].
15. Auditer le contrat d’intelligence artificielle et la documentation associée.
Le déploiement ou l’utilisation des systèmes d’intelligence artificielle repose sur un contrat en bonne et due forme. En droit et particulièrement en droit des affaires, le principe est celui de la liberté contractuelle [20], terreau fertile à des clauses hétérogènes. L’audit contractuel spécifiquement du contrat de sous-traitance, le DPA [21], permettra d’identifier les rôles et les responsabilités des parties. En effet, la chaîne de production d’un produit est souvent complexe et le risque de confusion des rôles de chacun est considérable.
L’intérêt d’identifier le rôle de chaque partie est d’autant plus justifié que la législation européenne en fait un marqueur aussi bien pour le RGPD que pour l’IA Act, mais avec des termes différents. Pour le RGPD, il y a le responsable de traitement, le sous-traitant, pour l’IA Act, il y a le fournisseur d’intelligence artificielle et les déployeurs, les rôles se cumulent. Mais qui est responsable en cas d’incident ? Le chercheur en intelligence artificielle, le fabricant, le programmeur, l’utilisateur, le contrôleur, voire la machine « intelligente » supposée être autonome.
16. Former les équipes.
L’intelligence artificielle n’est pas nouvelle pour les chercheurs et informaticiens, pour autant son utilisation n’a jamais été aussi étendue aux entreprises tous marchés confondus. Pour accompagner son déploiement et profiter de ses apports, tout en limitant les risques de dérives, la formation des équipes est importante car chacun de nous doit travailler sur un objectif commun. Il y a des écoles dédiées à l’intelligence artificielle qui permettent de former les professionnels. Il s’agit de sensibiliser les collaborateurs au sein des entreprises sur le potentiel et les risques de l’intelligence artificielle qui repose sur un travail d’équipes pluridisciplinaires.
17. Informer les clients.
Tandis que les entreprises maîtrisent la technologie de l’intelligence artificielle, les individus propriétaires des données personnelles parfois très intimes comme les données de santé, sont dans l’ignorance liée à la complexité informatique. Chaque personne doit rester un sujet de droit et ne pas devenir un objet de masse. Cette opacité fulgurante doit conduire les entreprises à informer leurs clients, leurs usagers sur les technologies numériques déployées, par exemple, en instituant un protocole de communication, en publiant leur code de bonne conduite [22].
18. Gérer la violation des données personnelles.
Pertes, vols, détournements de données personnelles, les incidents sont potentiellement nombreux. L’intelligence artificielle multiplie la fréquence et l’ampleur par le volume important des données personnelles traitées. La bonne pratique incite les entreprises à adopter une approche prospective. La gestion des incidents peut être menée par l’intelligence artificielle et sa capacité d’automatisation car le RGPD définit des délais de réaction très courts en cas d’incidents, source de responsabilité s’ils ne sont pas respectés.
19. Souscrire une assurance adaptée.
Vu l’importance des conséquences financières d’une responsabilité, l’assurance professionnelle est vitale. Votre assureur doit être informé de votre utilisation de l’intelligence artificielle. Faire une déclaration auprès de votre assureur pour actualiser le risque lié relève assurément d’une bonne pratique, comme celle de souscrire une assurance professionnelle complémentaire si nécessaire.
20. Documenter les bonnes pratiques.
La mise en place des bonnes pratiques au sein de l’entreprise passe par la rédaction et la validation de documents ayant force probatoire devant une Autorité publique, un Juge ou un Médiateur. L’évolution informatique nous oblige à une application rigoureuse des nouvelles règles. Ces documents probatoires pourront être édités en interne par chaque entreprise ou par un superviseur extérieur indépendant, un avocat, fort de sa déontologie, de son devoir de confidentialité et de son indépendance est assurément un partenaire privilégié.
À noter : Le Guide complet des bonnes pratiques en matière d’intelligence artificielle sera bientôt disponible sur cette page.
Si vous avez d’autres bonnes pratiques, n’hésitez pas à compléter cet article en laissant un commentaire.
La raison d’être de editionsefe.fr est de trouver en ligne des communiqués autour de Edition Juridique et les présenter en s’assurant de répondre au mieux aux interrogations des gens. Le site editionsefe.fr vous propose de lire cet article autour du sujet « Edition Juridique ». Cette chronique se veut reproduite du mieux possible. Vous avez la possibilité d’envoyer un message aux coordonnées fournies sur le site dans le but d’indiquer des explications sur ce texte sur le thème « Edition Juridique ». Dans peu de temps, nous publierons d’autres informations pertinentes autour du sujet « Edition Juridique ». Cela dit, visitez régulièrement notre site.