De toute évidence, les responsables du traitement doivent faciliter l’exercice de tous les droits des personnes concernées tout au long du cycle de vie. Toutefois, à ce stade spécifique, les droits d’accès, de rectification et d’effacement sont particulièrement sensibles et comportent certaines caractéristiques dont les responsables du traitement doivent être conscients.

a) Droit d’accès

En général, les données d’apprentissage peuvent difficilement être reliées à une personne concernée, car elles ne contiennent généralement que des informations pertinentes pour les prédictions, telles que les transactions passées, les données démographiques ou la localisation, mais pas les coordonnées ou les identifiants uniques des clients. De plus, elles sont souvent prétraitées afin d’être plus facilement exploitables par les algorithmes. Toutefois, cela ne signifie pas que ces données peuvent être considérées comme entièrement pseudonymisées ou anonymisées. Elles restent donc des données à caractère personnel. Par exemple, dans le cas d’un modèle de prédiction d’achat, la formation peut inclure un modèle d’achat propre à un client. Dans cet exemple, si un client devait fournir une liste de ses achats récents dans le cadre de sa demande, l’organisation pourrait être en mesure d’identifier la partie des données d’apprentissage qui concerne cet individu.

Dans ces circonstances, les développeurs d’IA devraient répondre aux demandes des personnes concernées pour accéder à leurs données personnelles, en supposant qu’ils aient pris des mesures raisonnables pour vérifier l’identité de la personne concernée, et qu’aucune autre exception ne s’applique. Et, comme l’indique l’ICO, “les demandes d’accès, de rectification ou d’effacement des données de formation ne devraient pas être considérées comme manifestement infondées ou excessives simplement parce qu’elles peuvent être plus difficiles à satisfaire ou que la motivation de la demande peut être peu claire par rapport aux autres demandes d’accès qu’une organisation reçoit habituellement.” ^[1]

Cependant, il est clair que les organisations ne sont pas tenues de collecter ou de conserver des données personnelles supplémentaires pour permettre l’identification des personnes concernées dans les données de formation dans le seul but de se conformer au règlement. Si les développeurs d’IA ne peuvent pas identifier une personne concernée dans les données de formation et que la personne concernée ne peut pas fournir d’informations supplémentaires qui permettraient son identification, les développeurs d’IA ne sont pas obligés de répondre à une demande qu’il n’est pas possible de satisfaire.

b) Droit de rectification

Dans le cas du droit de rectification, le responsable du traitement doit garantir le droit de rectification des données, notamment celles générées par les inférences et les profils établis par le développement de l’IA.

Même si l’objectif des données de formation est de former des modèles basés sur des modèles généraux dans de grands ensembles de données et que les inexactitudes individuelles sont donc moins susceptibles d’avoir un effet direct sur une personne concernée, le droit de rectification ne peut être limité. Au maximum, le responsable du traitement pourrait demander un délai plus long (deux mois supplémentaires) pour procéder à la rectification si la procédure technique est particulièrement complexe (article 11, paragraphe 3).

Encadré 19 : Rectification Par exemple, il peut être plus important de rectifier une adresse de livraison client enregistrée de manière incorrecte que de rectifier la même adresse incorrecte dans les données de formation. En effet, la première pourrait entraîner l’échec de la livraison, tandis que la seconde n’affecterait guère la précision globale du modèle.[2]

c) Droit à l’effacement

Les personnes concernées ont le droit de demander la suppression de leurs données personnelles. Toutefois, ce droit peut être limité si certaines circonstances concrètes s’appliquent. Selon l’ICO, “les organisations peuvent également recevoir des demandes d’effacement de données de formation. Les organisations doivent répondre aux demandes d’effacement lorsque les personnes concernées fournissent des motifs appropriés, sauf si une exemption légale pertinente s’applique. Par exemple, si les données de formation ne sont plus nécessaires parce que le modèle ML a déjà été formé, l’organisation doit répondre à la demande. Toutefois, dans certains cas, lorsque le développement du système est en cours, il peut encore être nécessaire de conserver les données de formation aux fins du réentraînement, du perfectionnement et de l’évaluation d’un outil d’IA. Dans ce cas, l’organisation doit adopter une approche au cas par cas pour déterminer si elle peut satisfaire les demandes. Se conformer à une demande de suppression des données d’entraînement n’entraînerait pas l’effacement des modèles ML basés sur ces données, sauf si les modèles eux-mêmes contiennent ces données ou peuvent être utilisés pour les déduire.” ^[3]

 

 

1. ICO (2019) Permettre les droits d’accès, d’effacement et de rectification dans les outils d’IA. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse : https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ (consulté le 15 mai 2020). ↑
2. ICO (2019) Permettre les droits d’accès, d’effacement et de rectification dans les systèmes d’IA. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse : https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ (consulté le 15 mai 2020). ↑
3. ICO (2019) Permettre les droits d’accès, d’effacement et de rectification dans les systèmes d’IA. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse : https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ (consulté le 15 mai 2020). ↑