RGPD : le CEPD publie un premier avis pour une IA responsable

Écrit par Arthur du Mesnil | Publié le
RGPD : le CEPD publie un premier avis pour une IA responsable
Le Comité européen de la protection des données (CEPD) a adopté le 18 décembre 2024 un avis sur l'utilisation des données à caractère personnel pour le développement et le déploiement de modèles d'intelligence artificielle (IA). Il s'agit du premier avis européen harmonisé sur le sujet.

À la demande de l’autorité irlandaise de protection des données, le CEPD a adopté le 18 décembre un avis sur le traitement de données personnelles pour le développement et le déploiement de modèles d’IA, permettant une harmonisation à l’échelle européenne.

L’avis a été préparé en coopération avec le Bureau de l’IA et après avoir permis aux différentes parties prenantes de faire valoir leur point de vue.

L’avis examine trois points : les conditions dans lesquelles les modèles d’IA peuvent être considérés comme anonymes, si l’intérêt légitime peut être utilisé comme base juridique pour développer ou utiliser des modèles d’IA, et les conséquences du développement illicite d’un modèle d’IA sur son utilisation.

Une appréciation de l’anonymat au cas par cas

Pour le CEPD, la question de savoir si un modèle d’IA est anonyme devrait être évaluée au cas par cas par les APD. Pour qu’un modèle soit anonyme, il devrait être très peu probable (1) d’identifier directement ou indirectement les personnes dont les données ont été utilisées pour créer le modèle, et (2) d’extraire ces données personnelles du modèle par le biais de requêtes.

L’avis fournit une liste non normative et non exhaustive de méthodes permettant de démontrer l’anonymat.

L’intérêt légitime comme base légale

Le CEPD considère que l’intérêt légitime peut constituer une base légale valable pour l’utilisation de données personnelles pour le développement et le déploiement de modèles d’IA. Le consentement des personnes concernées n’est donc pas toujours obligatoire.

Un test en trois étapes permet d’évaluer l’utilisation de l’intérêt légitime comme base juridique, sur la base de critères à prendre à compte tels que :

  • des intérêts pouvant être considérés a priori comme légitimes, tels que le développement d’un agent conversationnel pour assister les utilisateurs, ou l’utilisation de l’IA pour améliorer la cybersécurité ;
  • si les personnes peuvent raisonnablement s’attendre à certaines utilisations de leurs données, au regard par exemple du caractère publiquement accessible ou non des données personnelles, de la nature de la relation entre la personne et le responsable du traitement, du type de données, du contexte de la collecte ou de la connaissance de leur accessibilité par les personnes concernées ;
  • les mesures et garanties, de nature technique, juridique ou organisationnelle, permettant d’atténuer les risques pour les personnes.

L’impact de l’entrainement illicite d’un modèle d’IA sur des données personnelles

Le CEPD considère enfin que le développement d’un modèle d’IA au moyen de données à caractère personnel traitées illégalement pourrait avoir une incidence sur la légalité de son déploiement, à moins que le modèle n’ait été dûment anonymisé.

Compte tenu de la portée de la demande de l’autorité irlandaise de protection des données, de la grande diversité des modèles d’IA et de leur évolution rapide, l’avis vise à fournir des orientations sur divers éléments qui peuvent être utilisés pour mener une analyse au cas par cas.

CEPD, avis 28/2024 sur l’utilisation des données à caractère personnel pour le développement et le déploiement de modèles d’IA

Arthur Du Mesnil
Rédacteur en chef - Revue Lamy Droit de l'immatériel