Au moment de la distribution de l’outil IA, s’il incorpore des données à caractère personnel, il sera nécessaire de procéder comme suit (voir également la section “Acheter ou promouvoir l’accès à une base de données” dans les “Principaux outils et actions” de la partie II) :

• Les supprimer ou, au contraire, justifier l’impossibilité de le faire, en tout ou partie, en raison de la dégradation que cela impliquerait pour le modèle (voir la section “Limitation du stockage” dans les “Principes” de la partie II).
• Déterminer la base juridique de la communication de données à caractère personnel à des tiers, en particulier si des catégories spéciales de données sont concernées (voir la sous-section “Licéité” de la section “Licéité, loyauté et transparence” de la partie II des présentes lignes directrices).
• Informer les personnes concernées du traitement ci-dessus.
• Démontrer que les politiques de protection des données dès la conception et par défaut ont été mises en œuvre (notamment la minimisation des données).
• En fonction des risques qu’elle pourrait présenter pour les parties prenantes et compte tenu du volume ou des catégories de données à caractère personnel à utiliser, envisager la réalisation d’une analyse d’impact sur la protection des données (AIPD).^[1] (Voir “AIPD” dans la partie II, section “Principales actions et outils” des présentes lignes directrices).

En principe, une fois que le modèle est mis en service, les données d’apprentissage sont retirées de l’algorithme et le modèle ne traite que les données à caractère personnel auxquelles il est appliqué. Le responsable du traitement pourrait conserver les données de la personne concernée pour la personnalisation du service offert par l’outil d’IA. Toutefois, une fois ce service terminé, ces données doivent être supprimées, sauf si des raisons convaincantes font qu’il est recommandé de les conserver. Bien entendu, cela ne signifie pas que les données doivent être conservées éternellement.

Le développeur de l’IA doit s’assurer que l’algorithme n’inclut pas de données personnelles de manière cachée (ou prendre les mesures nécessaires si cela est inévitable). Dans tous les cas, le développeur doit effectuer une évaluation formelle évaluant quelles données personnelles des personnes concernées pourraient être identifiables.^[2] Cela peut parfois être compliqué. Par exemple, certains outils d’IA, tels que les machines à support vectoriel (VSM), pourraient contenir des exemples de données d’entraînement par conception dans la logique du modèle. Dans d’autres cas, des modèles peuvent être trouvés dans le modèle qui identifient un individu unique.^[3] Dans tous ces cas, des parties non autorisées peuvent être en mesure de récupérer des éléments des données d’entraînement ou de déduire qui s’y trouvait, en analysant la façon dont le modèle se comporte.

Dans ces conditions, il pourrait être difficile de s’assurer que les personnes concernées sont en mesure d’exercer et de respecter leurs droits d’accès, de rectification et d’effacement (voir les sections “Droit d’accès, de rectification et d’effacement” dans la section “Droits de la personne concernée” de la partie II des présentes lignes directrices). En effet, “à moins que la personne concernée ne présente des preuves que ses données personnelles pourraient être déduites du modèle, le responsable du traitement peut ne pas être en mesure de déterminer si des données personnelles peuvent être déduites et donc si la demande est fondée.”^[4] Toutefois, les responsables du traitement devraient prendre des mesures régulières pour évaluer de manière proactive la probabilité de la possibilité d’inférer des données à caractère personnel à partir de modèles à la lumière de l’état de la technologie, de sorte que le risque de divulgation accidentelle soit minimisé. Si ces actions révèlent une possibilité substantielle de divulgation des données, les mesures nécessaires pour l’éviter doivent être mises en œuvre (voir la section “Intégrité et confidentialité” dans les “Principes”, partie II des présentes lignes directrices).

 

 

1. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Espanola Proteccion Datos, Madrid, p.26. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consulté le 15 mai 2020). ↑
2. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Espanola Proteccion Datos, Madrid, p.41. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consulté le 15 mai 2020). ↑
3. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Espanola Proteccion Datos, Madrid, p.13. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consulté le 15 mai 2020). ↑
4. ICO (2019) Permettre les droits d’accès, d’effacement et de rectification dans les outils d’IA. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse : https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ (consulté le 15 mai 2020). ↑