L'autorité européenne de protection des données s'est prononcée sur les questions émergentes relatives à la légalité de l'IA générale. Elle a examiné les failles que les développeurs d'IA pourraient exploiter pour traiter des données personnelles sans enfreindre la législation en vigueur.
Le Comité européen de la protection des données a soulevé des questions quant à la base juridique du traitement des données personnelles des utilisateurs par les développeurs d'IA. Dans un avis publié le 17 décembre, le Comité a abordé diverses questions d'application générale au regard de l'article 64, paragraphe 2, du RGPD.
Le comité européen de protection des données se prononce sur les questions de protection des données et de déploiement de l'IA
Le Comité européen de la protection des données (CEPD) a rendu cet avis à la demande de l'autorité de surveillance irlandaise. Le Comité a rappelé qu'il disposait, en vertu du Règlement général sur la protection des données (RGPD), pour émettre un avis sur des questions affectant plusieurs États membres de l'Union européenne.
L'agence a relevé les demandes formulées par l'organisme irlandais concernant le traitement des données personnelles lors des phases de développement et de déploiement de l'intelligence artificielle (IA). Elle a limité son avis à quatre points relatifs à la protection des données au sein de l'Union européenne.
Les questions abordées portaient notamment sur les conditions et les modalités d'anonymisation d'un modèle d'IA, ainsi que sur la manière dont les responsables du traitement peuvent justifier la nécessité d'un intérêt légitime lors de son déploiement. Le comité a également examiné les conséquences d'un traitement illicite des données pendant la phase de développement d'un modèle d'IA sur son fonctionnement ultérieur.
Concernant la question de savoir quand et comment l'anonymat d'un modèle d'IA peut être déterminé, l'organisme a indiqué qu'il appartiendrait à une autorité locale compétente de statuer au cas par cas. Il a précisé qu'il ne considérait pas comme anonymes tous les modèles d'IA entraînés à partir de données personnelles.
L'organisme a recommandé aux autorités nationales de surveillance d'évaluer la documentation pertinente fournie par le responsable du traitement afin de déterminer l'anonymat du modèle. Il a ajouté que les responsables du traitement devraient également prendre les mesures nécessaires pour limiter la collecte de données personnelles pendant la formation et atténuer les risques d'attaques.
Concernant la question de l’intérêt légitime comme base juridique appropriée pour le traitement des données personnelles lors du déploiement de modèles d’IA, le conseil a laissé aux responsables du traitement le soin de déterminer la base juridique appropriée pour le traitement de ces données.
Le CEPD a mis l'accent sur le test en trois étapes permettant aux autorités de contrôle de déterminer l'intérêt légitime. Ce test consiste àdentl'intérêt légitime réel et à analyser sa nécessité. Les responsables du traitement doivent également évaluer si cet intérêt légitime est compatible avec les droits et libertés des personnes concernées.
Pour évaluer les conséquences, l'organisme a laissé le soin aux autorités de surveillance des États concernés de décider. Il a ajouté que ces dernières devraient choisir les conséquences appropriées en fonction des circonstances de chaque situation.
La Commission irlandaise de protection des données commente l'avis du CEPD sur la réglementation des modèles d'IA
La Commission irlandaise de protection des données a réagi dans un communiqué, soulignant que cet avis favoriserait une réglementation efficace et cohérente des modèles d'IA au sein de l'UE. Le commissaire Dale Sunderland a commenté :
Il permettra également de soutenir l'engagement de la DPC auprès des entreprises développant de nouveaux modèles d'IA avant leur lancement sur le marché de l'UE, ainsi que le traitement des nombreuses plaintes liées à l'IA qui ont été soumises à la DPC.
Dale Sunderland
Des plaintes visant OpenAI, le créateur de ChatGPT, auraient été déposées ces derniers mois. L'Autorité polonaise de protection des données avait déjà soulevé des questions l'an dernier quant à la conformité du développeur d'IA avec le RGPD.
L'autorité a reproché à OpenAI d'avoir négligé certaines exigences, notamment la consultation préalable des autorités de régulation, en cas de risque de violation de données personnelles. Elle a également constaté qu'OpenAI avait lancé ChatGPT sans consulter les autorités locales compétentes, en violation du RGPD.
L'autorité italienne de protection des données (Garante) a également ordonné à OpenAI de cesser le traitement des données personnelles en 2023 avant de remédier aux problèmes qu'elle avaitdentconcernant la plateforme de l'entreprise. Elle a notamment souligné que la société basée à San Francisco ne disposait pas des mesures nécessaires pour empêcher les mineurs d'accéder à sa technologie, comme l'exige la loi.
L'autorité de régulation a averti que le non-tracdes directives entraînerait des sanctions, notamment une amende correspondant à quatre pour cent du chiffre d'affaires annuel ou à vingt millions d'euros, selon le montant le plus élevé.
