Les responsables du traitement doivent minimiser les risques pour les droits, intérêts et libertés des personnes concernées. À cette fin, ils doivent travailler selon une approche fondée sur le risque (voir “Principe d’intégrité et de confidentialité” dans la partie II, section “Principes”).

L’approche fondée sur le risque de la législation sur la protection des données exige que les responsables du traitement se conforment à leurs obligations et mettent en œuvre des mesures appropriées dans le cadre de leur situation particulière – la nature, la portée, le contexte et les finalités du traitement qu’ils ont l’intention d’effectuer, et les risques que cela représente pour les droits et libertés des personnes. Leurs considérations de conformité impliquent donc d’évaluer les risques pour les droits et libertés des personnes et de juger de ce qui est approprié dans ces circonstances. Dans tous les cas, les responsables du traitement doivent s’assurer qu’ils respectent les exigences en matière de protection des données (voir “Principe de responsabilité” dans la partie II, section “Principes”).

Une réflexion fondée sur le risque en ce qui concerne la confidentialité des données, ou une approche fondée sur le risque en ce qui concerne les questions relatives aux dommages qui peuvent être causés aux personnes, doit être intégrée dès les premières étapes du processus. Il pourrait être trop tard si elle n’est envisagée que plus tard. Pour gérer les risques pour les personnes qui découlent du traitement des données personnelles dans les outils d’IA, il est important que les responsables du traitement développent une compréhension et une articulation matures des droits fondamentaux, des risques et de la manière d’équilibrer ces intérêts et d’autres. En définitive, il est nécessaire que les responsables du traitement évaluent les risques que l’utilisation de l’IA fait peser sur les droits des personnes, qu’ils déterminent la manière dont ils doivent y faire face et qu’ils établissent l’impact que cela a sur leur utilisation de l’IA.^[1] À cette fin, deux facteurs clés doivent être pris en considération : ^[2]

• Risques découlant du traitement lui-même, tels que l’apparition de biais associés au profilage ou aux systèmes de prise de décision automatisés (cf. 5.2. Dispositions du RGPD).
• Les risques découlant du traitement par rapport au contexte social et les effets secondaires indirectement liés à l’objet du traitement qui peuvent survenir.

Encadré 14 : L’importance des fournisseurs de logiciels en termes de sécurité En août 2015, une société de logiciels médicaux de l’Indiana a signalé au gouvernement fédéral que ses réseaux avaient été piratés et que les informations privées de 3,9 millions de personnes avaient été exposées. Cela comprenait des données personnelles telles que des noms, des adresses, des dates de naissance, des numéros de sécurité sociale et des dossiers médicaux. Selon IBM X-Force Research, il s’agit de l’une des plus importantes violations de données de santé de ces dernières années. Selon l’entreprise, l’attaque a été détectée dix-neuf jours après que les auteurs ont obtenu un accès non autorisé à son réseau. Les clients n’ont été avertis que près d’un mois après le début de l’attaque.[3]

En outre, les responsables du traitement doivent veiller à ce que des mesures techniques et organisationnelles appropriées soient mises en œuvre pour éliminer, ou au moins atténuer, le risque de sécurité, en réduisant la probabilité que les menaces identifiées se concrétisent, ou en réduisant leur impact. La description générale des mesures de sécurité techniques et organisationnelles doit faire partie des registres du traitement, si possible (article 30, paragraphe 1, point g), pour les responsables du traitement, et article 30, paragraphe 2, point d), pour les sous-traitants) et toutes les mesures mises en œuvre font partie de la AIPD, en tant que mesures correctives pour limiter le risque. Enfin, une fois les mesures sélectionnées mises en œuvre, le risque résiduel restant doit être évalué et maintenu sous contrôle. L’analyse des risques et l’AIPD sont les outils qui s’appliquent.

UneAIPD est très souvent obligatoire dans le cas du développement de l’IA (voir “Dans quels cas dois-je réaliser un AIPD” dans la sous-section “Analyse de l’impact sur la protection des données” des “Principaux outils et actions”, partie II). Cela dépend si les risques associés au traitement sont élevés ou non, conformément à l’article 35, paragraphe 3, du RGPD. Cependant, elle est fortement recommandée car elle soutient la responsabilisation. En cas de doute, la consultation de l’autorité de contrôle compétente avant le traitement est fortement recommandée. Enfin, n’oubliez pas que lors de l’utilisation du big data et de l’IA, il est difficile de prévoir quels seront les risques futurs, de sorte que faire une évaluation des implications éthiques ne sera pas suffisant pour traiter tous les risques possibles. Il est donc important d’envisager une réévaluation des risques et il est également fortement recommandé d’intégrer une méthode plus dynamique d’évaluation des risques liés à la recherche. N’hésitez pas à effectuer des AIPD supplémentaires à d’autres étapes du processus si nécessaire.

 

 

1. ICO (2020) AI auditing framework – draft guidance for consultation. Information Commissioner’s Office, Wilmslow, p.13-14. Disponible à l’adresse : https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf (consulté le 15 mai 2020). ↑
2. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Espanola Proteccion Datos, Madrid, p.30. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consulté le 15 mai 2020). ↑
3. IBM X-Force® Research (2017) Tendances en matière de sécurité dans le secteur de la santé : Le vol de données et les ransomwares tourmentent les organisations de santé. IBM Security, Somers, NY, p.7. Disponible à l’adresse : www.ibm.com/downloads/cas/PLWZ76MM (consulté le 17 mai 2020). ↑