Comme indiqué dans les exigences et les tests d’acceptation pour l’achat et/ou le développement des logiciels, du matériel et de l’infrastructure employés (voir la sous-section de la section “Documentation du traitement”), l’évaluation des risques et les décisions prises “doivent être documentées afin de respecter l’exigence de protection des données dès la conception” (de l’article 25 du RGPD).
Enfin, les responsables du traitement doivent toujours être conscients que, conformément à l’article 32, paragraphe 1, point d), du RGPD, la protection des données est un processus. Par conséquent, ils doivent tester, apprécier et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles. C’est à ce moment-là qu’il convient de créer des procédures permettant aux responsables du traitement d’identifier les changements qui déclencheraient le réexamen de l’évaluation des risques avant traitement. Dans la mesure du possible, les responsables du traitement doivent essayer d’imposer un modèle dynamique de suivi des mesures en jeu (voir “Intégrité et confidentialité” dans la partie II des présentes lignes directrices, section “Principes”).
| Encadré 15 : L’extrême difficulté de la responsabilisation dans le développement de l’IA
Même si la responsabilisation est un objectif nécessaire et que l’attribution de responsabilités à un sous-traitant spécifique est absolument nécessaire, les responsables du traitement doivent toujours être conscients que le fonctionnement de l’IA peut rendre extrêmement difficile la surveillance d’un système. Comme l’a déclaré la CNIL, “la question de savoir où la responsabilité et la prise de décision peuvent être mises en place doit être abordée d’une manière légèrement différente lorsqu’il s’agit de systèmes d’apprentissage automatique”. Ainsi, les responsables de traitement devraient plutôt penser en termes de chaîne de responsabilité, du concepteur du système jusqu’à son utilisateur, en passant par la personne qui va alimenter ce système en données d’apprentissage. Ce dernier fonctionnera différemment en fonction de ces données d’entrée. À ce sujet, on peut citer le chatbot Tay de Microsoft. Il a été fermé vingt-quatre heures à peine après son lancement lorsque, s’inspirant des messages des utilisateurs des médias sociaux, il a commencé à diffuser ses propres commentaires racistes et sexistes. Inutile de dire que déterminer la part exacte de responsabilité entre ces différents maillons de la chaîne pourrait être une tâche laborieuse.[1] |
- CNIL (2017) Comment l’humain peut-il garder la main ? Les questions éthiques soulevées par les algorithmes et l’intelligence artificielle. Commission nationale de l’informatique et des libertés, Paris, p.29. Disponible sur : www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_ai_gb_web.pdf (consulté le 15 mai 2020). ↑