Description
“Le déploiement est le processus qui consiste à rendre un système informatique opérationnel dans son environnement, y compris l’installation, la configuration, l’exécution, les tests et les modifications nécessaires. Le déploiement n’est généralement pas effectué par les développeurs d’un système mais par l’équipe informatique du client. Néanmoins, même si c’est le cas, les développeurs auront la responsabilité de fournir au client des informations suffisantes pour un déploiement réussi du modèle. Cela comprendra normalement un plan de déploiement (générique), avec les étapes nécessaires pour un déploiement réussi et la manière de les réaliser, et un plan de surveillance et de maintenance (générique) pour la maintenance du système, et pour la surveillance du déploiement et de l’utilisation correcte des résultats de l’exploration de données.”[1]
Principales mesures à prendre
Remarques générales
Une fois que vous avez créé votre algorithme, vous êtes confronté à un problème important. Il se peut qu’il incorpore des données personnelles, ouvertement ou de manière cachée. Vous devez procéder à une évaluation formelle pour déterminer quelles données personnelles des personnes concernées pourraient être identifiables. Cela peut parfois être compliqué. Par exemple, certains outils d’IA, tels que les machines à support vectoriel (VSM), peuvent contenir des exemples de données d’entraînement dans la logique du modèle. Dans d’autres cas, des modèles peuvent être trouvés dans le modèle qui identifie un individu unique. Dans tous ces cas, des parties non autorisées peuvent être en mesure de récupérer des éléments des données d’entraînement ou de déduire qui y figurait, en analysant le comportement du modèle. Si vous savez ou soupçonnez que l’outil d’IA contient des données personnelles (voir la section “Achat ou promotion de l’accès à une base de données” dans “Principaux outils et actions”, partie II des présentes lignes directrices), vous devez :
- Les supprimer ou, au contraire, justifier l’impossibilité de le faire, en tout ou partie, en raison de la dégradation que cela impliquerait pour le modèle (voir la section “Limitation du stockage” dans “Principes” de la partie II).
- Déterminer la base juridique de la communication de données à caractère personnel à des tiers, en particulier si des catégories spéciales de données sont concernées (voir la sous-section “Licéité” dans “Licéité, loyauté et transparence” dans la section “Principes” de la partie II).
- Informer les personnes concernées du traitement ci-dessus.
- Démontrer que les politiques de protection des données dès la conception et par défaut ont été mises en œuvre (notamment la minimisation des données) (voir “Protection des données dès la conception et par défaut” dans la partie II, section “Concepts principaux” des présentes lignes directrices).
- Réaliser une analyse d’impact sur la protection des données (AIPD) (voir “AIPD” dans la partie II, section “Principales actions et outils” des présentes lignes directrices).
Enfin, vous devez prendre des mesures régulières pour évaluer de manière proactive la probabilité que des données à caractère personnel soient déduites de modèles à la lumière de l’état de la technologie, afin de minimiser le risque de divulgation accidentelle. Si ces actions révèlent une possibilité substantielle de divulgation des données, les mesures nécessaires pour l’éviter doivent être mises en œuvre (voir la section “Intégrité et confidentialité” dans les “Principes” de la partie II des présentes lignes directrices).
Mise à jour des informations
Si l’algorithme est mis en œuvre par un tiers, vous devez communiquer les résultats du système de validation et de suivi employé lors des phases de développement et proposer votre collaboration pour continuer à suivre la validation des résultats. Il serait également souhaitable d’établir ce type de coordination avec les tiers auprès desquels vous acquérez des bases de données ou tout autre composant pertinent dans le cycle de vie du système. Si cela implique le traitement de données par un tiers, vous devez vous assurer que l’accès est fourni dans le cadre d’une base légale.
Il est nécessaire d’offrir à l’utilisateur final des informations en temps réel sur les valeurs de précision et/ou de qualité des informations déduites à chaque étape (voir la section “Précision” dans “Principes”, partie II des présentes lignes directrices). Lorsque les informations déduites n’atteignent pas les seuils de qualité minimum, vous devez souligner que ces informations n’ont aucune valeur. Cette exigence implique souvent que vous devez fournir des informations détaillées sur les étapes de formation et de validation. Les informations sur les ensembles de données utilisés à ces fins sont particulièrement importantes. Dans le cas contraire, l’utilisation de la solution risque d’apporter des résultats décevants aux utilisateurs finaux, qui se retrouvent à spéculer sur la cause.
- SHERPA, Lignes directrices pour le développement éthique des systèmes d’IA et de Big Data : Une approche d’éthique par la conception, 2020, p 13. À l’adresse : https://www.project-sherpa.eu/wp-content/uploads/2019/12/development-final.pdf Consulté le 15 mai 2020 ↑