☐ Les responsables du traitement ont évalué la quantité de données qui seront nécessaires pour développer la solution d’IA ou la nature de ces données et se sont assurés qu’elles fonctionnent bien avec le principe de minimisation.

☐ Les responsables du traitement ont fixé des seuils acceptables de faux positifs/négatifs ou des fourchettes, selon le cas d’utilisation, puis ont effectué un bilan d’utilité.

☐ Les responsables du traitement ont équilibré de manière adéquate le niveau de précision nécessaire et l’éventail de données à caractère personnel requis pour l’atteindre.

☐ Lesresponsables du traitement ont prévu le développement d’algorithmes plus compréhensibles que ceux qui le sont moins, chaque fois que cela est possible.

☐ Les responsables du traitement ont assuré une formation optimale pour tous les sujets impliqués dans le projet ou une évaluation interne ou externe adéquate sur les questions éthiques et juridiques.

☐ Les responsables du traitement ont conçu avec soin les outils qui permettront de légitimer le traitement des données. À cette fin, ils ont vérifié si l’intervention d’un comité d’éthique est nécessaire ou si un type de réglementation douce est applicable.

☐ Les responsables du traitement ont adopté une approche fondée sur les risques (y compris les mesures de sécurité techniques et organisationnelles) qui minimise les risques pour les droits, intérêts et libertés des personnes concernées.

☐ Les responsables du traitement ont mis en place des outils et des politiques visant à évaluer et à apprécier régulièrement l’efficacité des mesures techniques et organisationnelles.

☐ Les responsables du traitement ont examiné si le cadre réglementaire concernant la recherche scientifique s’applique.

☐ Les politiques de stockage conservent les données à caractère personnel sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles les données à caractère personnel sont traitées.

☐ Les responsables du traitement ont envisagé la désignation d’un DPD.

☐ Les responsables du traitement ont mis en œuvre des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires pour chaque finalité spécifique du traitement sont traitées.

☐ Les responsables du traitement ont mis en place des politiques qui minimisent la quantité de données personnelles collectées, l’étendue de leur traitement, la période de leur stockage et leur accessibilité. Ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles sans l’intervention de l’individu à un nombre indéfini de personnes physiques.

☐ Les responsables du traitement ne collectent pas de données inutiles. Si des données sont déjà stockées, ils ont pris des mesures visant à supprimer les éléments de données inutiles.

☐ Les responsables du traitement ont limité la résolution des données à ce qui est minimalement nécessaire aux fins poursuivies par le traitement.

☐ Les responsables du traitement ont choisi la base juridique qui reflète le mieux la véritable nature de leur relation avec la personne et la finalité du traitement.

☐ Les responsables du traitement ont soigneusement analysé si le traitement implique la désanonymisation de données anonymisées et la création de nouvelles informations personnelles qui n’étaient pas contenues dans l’ensemble de données d’origine et prennent des mesures adéquates pour faire face à ces défis.

☐ Les responsables du traitement se sont assurés que la fusion des ensembles de données ne crée pas de problèmes éthiques ou juridiques concernant les droits et libertés des personnes concernées.

☐ Les responsables du traitement se sont assurés que les données sont précises, c’est-à-dire qu’elles sont correctes et à jour.

☐ Si un profilage ou une prise de décision automatisée est prévu :

☐ Les responsables du traitement ont envoyé aux personnes un lien vers leur déclaration de confidentialité lorsqu’ils ont obtenu leurs données personnelles de manière indirecte.

☐ Lesresponsables du traitement ont expliqué comment les personnes peuvent accéder aux détails des informations qu’elles ont utilisées pour créer leur profil.

☐ Les responsables du traitement ont communiqué aux personnes concernées qui leur fournissent leurs données à caractère personnel et la manière dont elles peuvent s’opposer au profilage.

☐ Les responsables du traitement ont mis en place des procédures permettant aux clients d’accéder aux données personnelles saisies dans leurs profils, afin qu’ils puissent les examiner et les modifier en cas de problème de précision.

☐ Les responsables du traitement ont mis en place des contrôles supplémentaires pour leurs systèmes de profilage/décision automatisée afin de protéger tout groupe vulnérable (y compris les enfants).

☐ Les responsables du traitement se sont assurés de ne collecter que le minimum de données nécessaires et d’avoir une politique de conservation claire pour les profils qu’ils créent.

☐ Les responsables du traitement ont réalisé une AIPD pour examiner et traiter les risques lorsqu’ils commencent toute nouvelle prise de décision ou tout nouveau profilage automatisé.

☐ Les responsables du traitement ont associé le DPD correspondant à ces activités.

☐ Les responsables du traitement ont pris en compte les exigences du système nécessaires pour soutenir une révision humaine significative dès la phase de conception. En particulier, les exigences d’interprétabilité et la conception efficace de l’interface utilisateur pour soutenir les examens et les interventions humaines.

☐ Les responsables du traitement ont conçu et dispensé une formation et un soutien appropriés aux réviseurs humains.

☐ Lesresponsables du traitement ont donné au personnel impliqué dans le traitement l’autorité, les incitations et le soutien appropriés pour traiter ou faire remonter les préoccupations des personnes et, si nécessaire, passer outre la décision du système d’IA.

☐ Les responsables du traitement ont veillé à ce que les équipes chargées de sélectionner les données à intégrer dans les jeux de données soient composées de personnes assurant la diversité dont le développement de l’IA est censé faire preuve.

☐ Les responsables du traitement ont veillé à ce que les facteurs qui entraînent des inexactitudes dans les données à caractère personnel soient corrigés et que le risque d’erreurs soit réduit au minimum.

☐ Les responsables de traitement ont mis en place des outils visant à prévenir les effets discriminatoires à l’égard des personnes physiques sur la base de l’origine raciale ou ethnique, des opinions politiques, de la religion ou des convictions, de l’appartenance syndicale, du statut génétique ou de santé ou de l’orientation sexuelle, ou qui aboutissent à des mesures ayant un tel effet.

☐ Les responsables du traitement ont déterminé l’objectif de l’utilisation du système d’IA dès le début de sa formation ou de son déploiement, et ont procédé à une réévaluation de cette détermination si le traitement du système donnait des résultats inattendus.

☐ Les responsables du traitement ont purgé les données utilisées lors de la phase d’entraînement de toutes les informations non strictement nécessaires à l’entraînement du modèle.

☐ Les responsables du traitement ont envisagé de mettre en place des outils techniques qui pourraient bien servir à détecter les biais, comme l’Algorithmic Impact Assessment.

☐ Les responsables du traitement ont envisagé de réaliser une AIPDà ce stade.

☐ Les responsables de traitement se sont assurés qu’ils sont en mesure de répondre aux demandes des personnes concernées pour que les exceptions au droit d’accès s’appliquent.

☐ Les responsables du traitement peuvent garantir le droit de rectification des données, notamment celles générées par les inférences et les profils établis par le développement de l’IA.

☐ Lesresponsables du traitement sont en mesure de répondre aux demandes d’effacement, sauf si une exemption pertinente s’applique et à condition que la personne concernée ait des motifs appropriés.

☐ Les responsables du traitement se sont assurés que la validation reflète fidèlement les conditions dans lesquelles l’algorithme a été validé.

☐ Les responsables du traitement ont informé les personnes concernées des traitements supplémentaires à ce stade.

☐ Les responsables du traitement ont veillé à la suppression de l’ensemble des données utilisées à des fins de validation, sauf s’il existe un besoin légitime de les conserver pour affiner ou évaluer le système, ou pour d’autres fins compatibles avec celles pour lesquelles elles ont été collectées.

☐ Les responsables du traitement ont envisagé de réaliser une AIPDà ce stade.

☐ Si les personnes concernées demandent la suppression de leurs données, le responsable du traitement a adopté une approche au cas par cas en tenant compte des éventuelles limitations à ce droit prévues par le règlement.

☐ Les responsables du traitement ont envisagé un audit du système par un tiers indépendant.

☐ Les responsables du traitement ont supprimé toutes les données personnelles inutiles ou, au contraire, ont justifié l’impossibilité de le faire.

☐ Les responsables du traitement ont informé les personnes concernées des traitements supplémentaires à ce stade.

☐ Les responsables du traitement ont déterminé la base juridique adéquate pour effectuer la communication de données à caractère personnel à des tiers, en particulier si des catégories spéciales de données sont concernées.

☐ Les responsables du traitement ont envisagé de réaliser une AIPD.

☐ Les responsables du traitement se sont assurés que l’algorithme n’inclut pas de données personnelles de manière cachée (ou ont pris les mesures nécessaires si cela est inévitable).

☐ Les développeurs de l’IA ont mis en place des outils visant à communiquer les résultats du système de validation et de suivi employé et ont proposé leur collaboration pour continuer.

☐ Les développeurs de l’IA s’engagent à offrir aux utilisateurs finaux des informations en temps réel sur les valeurs de précision et/ou de qualité des informations déduites à chaque étape.