☐ Les responsables du traitement disposent d’une base juridique pour effectuer le profilage et/ou la prise de décision automatisée, et le documentent dans leur politique de protection des données.

☐ Les responsables du traitement envoient aux personnes un lien vers leur déclaration de confidentialité lorsqu’ils ont obtenu leurs données personnelles de manière indirecte.

☐ Les responsables du traitement expliquent comment les personnes peuvent accéder aux détails des informations qu’elles ont utilisées pour créer leur profil.

☐ Les responsables du traitement indiquent aux personnes qui leur fournissent leurs données personnelles et comment elles peuvent s’opposer au profilage.

☐ Les responsables du traitement disposent de procédures permettant aux clients d’accéder aux données personnelles saisies dans leurs profils, afin qu’ils puissent les examiner et les modifier pour tout problème d’exactitude.

☐ Les responsables du traitement ont mis en place des contrôles supplémentaires pour leurs systèmes de profilage/de prise de décision automatisée afin de protéger tout groupe vulnérable (y compris les enfants).

☐ Les responsables du traitement ne collectent que le minimum de données nécessaires et ont une politique de conservation claire pour les profils qu’ils créent.

En tant que modèle de bonnes pratiques

☐ Les responsables du traitement effectuent une AIPD pour examiner et traiter les risques lorsqu’ils commencent toute nouvelle prise de décision automatisée ou tout nouveau profilage.

☐ Les responsables du traitement informent leurs clients du profilage et de la prise de décision automatisée qu’ils effectuent, des informations qu’ils utilisent pour créer les profils et de la provenance de ces informations.

☐ Les responsables du traitement utilisent des données anonymisées dans le cadre de leurs activités de profilage.

☐ Les responsables garantissent le droit à la lisibilité des décisions algorithmiques.

☐ Les décideurs disposent d’un mécanisme capable de notifier et d’expliquer les raisons lorsqu’une contestation de la décision algorithmique n’est pas acceptée en raison de l’absence d’intervention humaine.

☐ Les décideurs disposent d’un modèle d’évaluation des droits de l’Homme dans la prise de décision automatisée.

☐ Une supervision humaine qualifiée est mise en place dès la phase de conception, notamment sur les exigences d’interprétation et la conception efficace de l’interface, et les investigateurs sont formés.

☐ Des vérifications sont effectuées en ce qui concerne les déviations possibles des résultats des déductions dans les systèmes adaptatifs ou évolutifs.

☐ La certification du système d’IA est, ou a été, effectuée.

Résilience aux attaques et sécurité

☐ Le responsable du traitement a évalué les formes potentielles d’attaques auxquelles le système d’IA pourrait être vulnérable.

☐ Le responsable du traitement a examiné différents types et natures de vulnérabilités, comme la pollution des données, les infrastructures physiques et les cyberattaques.

☐ Le responsable du traitement a mis en place des mesures ou des systèmes pour garantir l’intégrité et la résilience du système d’IA contre les attaques potentielles.

☐ Le responsable du traitement a vérifié comment le système se comporte dans des situations et des environnements inattendus.

☐ Le responsable du traitement a examiné dans quelle mesure le système pouvait être à double usage. Dans l’affirmative, le responsable du traitement a pris des mesures préventives appropriées à cet égard (par exemple, ne pas publier la recherche ou déployer le système).

Plan de repli et sécurité générale

☐ Le responsable du traitement s’est assuré que le système dispose d’un plan de repli suffisant s’il est confronté à des attaques adverses ou à d’autres situations inattendues (par exemple, procédures de commutation technique ou demande d’un opérateur humain avant de poursuivre).

☐ Le responsable du traitement a examiné le niveau de risque soulevé par le système d’IA dans ce cas d’utilisation spécifique.

☐ Le responsable du traitement a mis en place tout processus pour mesurer et évaluer les risques et la sécurité.

☐ Le responsable du traitement a fourni les informations nécessaires en cas de risque pour l’intégrité physique humaine.

☐ Le responsable du traitement a envisagé une police d’assurance pour faire face aux dommages potentiels du système d’IA.

☐ Le responsable du traitementa identifié les risques potentiels pour la sécurité des (autres) utilisations prévisibles de la technologie, y compris les utilisations accidentelles ou malveillantes. Existe-t-il un plan pour atténuer ou gérer ces risques ?

☐ Le responsable du traitement a évalué s’il existe une chance probable que le système d’IA puisse causer des dommages ou des préjudices aux utilisateurs ou à des tiers. Le responsable du traitement a évalué la probabilité, les dommages potentiels, le public impacté et la gravité.

☐ Le responsable du traitement a examiné les règles de responsabilité et de protection des consommateurs, et en tient compte.

☐ Le responsable du traitementa considéré l’impact potentiel ou le risque de sécurité pour l’environnement ou les animaux.

☐ L’analyse des risques du responsable du traitement comprenait la question de savoir si des problèmes de sécurité ou de réseau (par exemple, des risques de cybersécurité) pouvaient poser des risques de sécurité ou des dommages dus à un comportement non intentionnel du système d’IA.

☐ Le responsable du traitementa estimé l’impact probable d’une défaillance du système d’IA lorsqu’il fournit des résultats erronés, devient indisponible ou fournit des résultats socialement inacceptables (par exemple, la discrimination).

☐ Le responsable du traitementa défini des seuils et mis en place des procédures de gouvernance pour déclencher des plans alternatifs/de repli.

☐ Le responsable du traitementa défini et testé des plans de repli.

Précision

☐ Le responsable du traitementa évalué le niveau et la définition de la précision qui seraient nécessaires dans le contexte du système d’IA et du cas d’utilisation.

☐ Le responsable du traitementa évalué comment la précision est mesurée et assurée.

☐ Le responsable du traitement a mis en place des mesures pour s’assurer que les données utilisées sont complètes et à jour.

☐ Le responsable du traitement a mis en place des mesures pour évaluer s’il est nécessaire de disposer de données supplémentaires, par exemple pour améliorer l’exactitude ou éliminer les biais.

☐ Le responsable du traitementa vérifié quel dommage serait causé si le système d’IA fait des prédictions inexactes.

☐ Le responsable du traitementa mis en place des moyens pour mesurer si le système fait une quantité inacceptable de prédictions inexactes.

☐ Le responsable du traitementa mis en place une série d’étapes pour augmenter la précision du système.

Fiabilité et reproductibilité

☐ Le responsable du traitementa mis en place une stratégie pour surveiller et tester si le système d’IA atteint ses objectifs, ses buts et les applications prévues.

☐ Le responsable du traitementa testé si des contextes spécifiques ou des conditions particulières doivent être pris en compte pour assurer la reproductibilité.

☐ Le responsable du traitementa mis en place des méthodes de vérification pour mesurer et garantir différents aspects de la fiabilité et de la reproductibilité du système.

☐ Le responsable du traitementa mis en place des processus pour décrire quand un système d’IA échoue dans certains contextes.

☐ Le responsable du traitementa clairement documenté et opérationnalisé ces processus pour le test et la vérification de la fiabilité des systèmes d’IA.

☐ Le responsable du traitementa établi des mécanismes de communication pour assurer les utilisateurs (finaux) de la fiabilité du système.

☐ Les responsables du traitement ont clairement identifié la ou les finalités de leur traitement.

☐ Les responsables du traitement ont documenté ces finalités.

☐ Les responsables du traitement incluent le détail de leurs finalités dans les informations relatives à la vie privée des personnes.

☐ Les responsables du traitement revoient régulièrement leurs traitements et, le cas échéant, mettent à jour leur documentation et les informations relatives à la vie privée des personnes.

☐ Si les responsables du traitement prévoient d’utiliser les données à caractère personnel pour une nouvelle finalité autre qu’une obligation légale ou une fonction prévue par la loi, ils vérifient que celle-ci est compatible avec leur finalité initiale ou obtiennent un consentement spécifique pour cette nouvelle finalité.

☐ Les responsables du traitement ont vérifié que le consentement est la base juridique la plus appropriée pour le traitement.

☐ Les responsables du traitement demandent le consentement des intéressés de manière libre, spécifique, éclairée et non équivoque.

☐ Le consentement général est utilisé uniquement lorsqu’il est difficile ou improbable de prévoir comment ces données seront traitées à l’avenir.

☐ Le consentement général utilisé pour le traitement de catégories spéciales de données est compatible avec les réglementations nationales.

☐ Lorsque le consentement général est utilisé, les personnes concernées ont la possibilité de retirer leur consentement et de choisir de participer ou non à certaines recherches et parties de celles-ci.

☐ Lesresponsables du traitement ont une relation directe avec le sujet qui fournit les données à utiliser pour la formation, la validation et le déploiement du modèle IA.

☐ Il n’y a pas de déséquilibre de pouvoir entre les responsables du traitement et les personnes concernées.

☐ Les responsables du traitement demandent aux personnes de s’inscrire positivement.

☐ Les responsables du traitement n’utilisent pas de cases pré-cochées ou tout autre type de consentement par défaut.

☐ Les responsables du traitement utilisent un langage clair et simple, facile à comprendre.

☐ Les responsables du traitement précisent pourquoi ils veulent les données et ce qu’ils vont en faire.

☐ Les responsables du traitement donnent des options distinctes (“granulaires”) pour consentir séparément à différentes finalités et types de traitement.

☐ Les responsables du traitement indiquent aux personnes qu’elles peuvent retirer leur consentement et comment le faire.

☐ Les responsables du traitement veillent à ce que les personnes puissent refuser de donner leur consentement sans subir de préjudice.

☐ Les responsables du traitement évitent de faire du consentement une condition préalable à un service.

☐ Les responsables de traitement ont vérifié que l’intérêt légitime est la base la plus appropriée.

☐ Les responsables du traitement comprennent leur responsabilité de protéger les intérêts des personnes.

☐ Les responsables du traitement tiennent un registre des décisions prises et de leur motivation, afin de s’assurer qu’ils peuvent justifier leur décision.

☐ Les responsables du traitement ont identifié les intérêts légitimes pertinents.

☐ Les responsables du traitement ont vérifié que le traitement est nécessaire et qu’il n’existe pas de moyen moins intrusif pour parvenir au même résultat.

☐ Les responsables du traitement ont effectué un test d’équilibre et sont convaincus que les intérêts de la personne ne l’emportent pas sur ces intérêts légitimes.

☐ Les responsables du traitement n’utilisent les données des personnes que de la manière à laquelle ils peuvent raisonnablement s’attendre, sauf si les responsables du traitement ont une très bonne raison.

☐ Les responsables du traitement n’utilisent pas les données des personnes d’une manière qu’elles trouveraient intrusive, ou qui pourrait leur causer un préjudice, à moins que les responsables du traitement aient une très bonne raison.

☐ Si les responsables du traitement traitent les données d’enfants, ils prennent des précautions supplémentaires pour s’assurer qu’ils protègent les intérêts des enfants.

☐ Les responsables du traitement ont envisagé des mesures de sauvegarde pour réduire l’impact, dans la mesure du possible.

☐ Les responsables du traitement ont examiné s’ils pouvaient proposer un opt-out.

☐ Les responsables du traitement ont examiné s’ils devaient également réaliser une AIPD.

☐ Les responsables du traitement ont veillé à n’utiliser les données personnelles qu’en cas de besoin.

☐ Les responsables du traitement ont réfléchi à la proportionnalité entre la quantité de données et la précision de l’outil d’IA.

☐ Les responsables du traitement examinent périodiquement les données qu’ils détiennent et suppriment tout ce dont ils n’ont pas besoin.

☐ Les responsables du traitement au stade de la formation du système d’IA débuguent toutes les informations qui ne sont pas strictement nécessaires à cette formation.

☐ Les responsables du traitement vérifient si des données à caractère personnel sont traitées au stade de la distribution du système IA et les suppriment, sauf s’il existe un besoin justifié et une légitimité à les conserver à d’autres fins compatibles.

Préparation des demandes d’accès aux données

☐ Les responsables du traitement savent comment reconnaître une demande d’accès à un sujet et ils comprennent quand le droit d’accès s’applique.

☐ Les responsables du traitement comprennent que le droit d’accès doit être appliqué à chaque étape du cycle de vie de la solution d’IA, si celle-ci utilise des données à caractère personnel.

☐ Les responsables du traitement ont une politique sur la façon d’enregistrer les demandes qu’ils reçoivent verbalement.

☐ Les responsables du traitement comprennent quand ils peuvent refuser une demande et sont conscients des informations qu’ils doivent fournir aux personnes lorsqu’ils le font.

☐ Les responsables du traitement comprennent la nature des informations supplémentaires qu’ils doivent fournir en réponse à une demande d’accès à un sujet.

Respecter les demandes d’accès aux données

☐ Les responsables du traitement ont mis en place des processus pour s’assurer qu’ils répondent à une demande d’accès d’un sujet sans retard excessif et dans un délai d’un mois après réception.

☐ Lesresponsables du traitement sont conscients des circonstances dans lesquelles ils peuvent prolonger le délai de réponse à une demande.

☐ Les responsables du traitement comprennent qu’il est particulièrement important d’utiliser un langage clair et simple s’ils divulguent des informations à un enfant.

☐ Les responsables du traitement comprennent ce qu’ils doivent prendre en compte si une demande comprend des informations sur d’autres personnes.

☐ Les responsables du traitement comprennent comment appliquer le droit d’accès lors de stages de formation.

Se préparer aux demandes de portabilité des données

☐ Les responsables du traitement savent reconnaître une demande de portabilité des données et comprennent quand ce droit s’applique.

☐ Les responsables de traitement prennent en compte l’exigence de portabilité des données dès les premières étapes de la conception et du design du traitement de l’IA.

☐ Les responsables du traitement ont une politique sur la façon d’enregistrer les demandes qu’ils reçoivent verbalement.

☐ Les responsables du traitement comprennent quand ils peuvent refuser une demande et sont conscients des informations qu’ils doivent fournir aux personnes s’ils procèdent à un tel refus.

Respecter les demandes de portabilité des données

☐ Les responsables du traitement peuvent transmettre les données à caractère personnel dans des formats structurés, couramment utilisés et lisibles par machine.

☐ Les responsables du traitement informent au préalable les utilisateurs lorsqu’il n’est pas techniquement possible d’exercer le droit à la portabilité au moyen d’un protocole.

☐ Les responsables du traitement utilisent des méthodes sécurisées pour transmettre les données personnelles.

☐ Les responsables du traitement disposent de processus permettant de garantir qu’ils répondent à une demande de portabilité des données sans retard excessif et dans un délai d’un mois à compter de sa réception.

☐ Les responsables du traitement connaissent les circonstances dans lesquelles ils peuvent prolonger le délai de réponse à une demande.

Préparation des demandes de rectification

☐ Les responsables du traitement savent comment reconnaître une demande de rectification et comprennent quand ce droit s’applique.

☐ Les responsables du traitement ont une politique sur la façon d’enregistrer les demandes qu’ils reçoivent verbalement.

☐ Les responsables du traitement comprennent quand ils peuvent refuser une demande, et sont conscients des informations qu’ils doivent fournir aux personnes lorsqu’elles leur sont demandées.

Respecter les demandes de rectification

☐ Les responsables du traitement sont prêts à aborder le droit de rectification des données des personnes concernées, notamment celles générées par les déductions et les profils réalisés par la solution d’IA.

☐ Les responsables du traitement ont mis en place des processus pour s’assurer qu’ils répondent à une demande de rectification sans retard excessif et dans un délai d’un mois après réception.

☐ Les responsables du traitement connaissent les circonstances dans lesquelles ils peuvent prolonger le délai de réponse à une demande.

☐ Les responsables du traitement disposent de systèmes appropriés pour rectifier ou compléter les informations, ou fournir une déclaration complémentaire.

☐ Les responsables du traitement ont mis en place des procédures pour informer tout destinataire en cas de rectification des données qu’ils ont partagées avec eux.

Préparation des demandes d’effacement

☐ Les responsables du traitement savent comment reconnaître une demande d’effacement et ils comprennent quand ce droit s’applique.

☐ Les responsables du traitement ont une politique sur la façon d’enregistrer les demandes qu’ils reçoivent verbalement.

☐ Les responsables du traitement comprennent quand ils peuvent refuser une demande et sont conscients des informations qu’ils doivent fournir aux personnes lorsqu’ils le font.

Traitement des demandes d’effacement

☐ Les responsables du traitement ont mis en place des processus pour s’assurer qu’ils répondent à une demande d’effacement sans retard excessif et dans un délai d’un mois à compter de sa réception.

☐ Lesresponsables du traitement connaissent les circonstances dans lesquelles ils peuvent prolonger le délai de réponse à une demande.

☐ Les responsables du traitement comprennent qu’un accent particulier est mis sur le droit à l’effacement si la demande concerne des données collectées auprès d’enfants.

☐ Les responsables du traitement ont des procédures pour informer tout destinataire s’ils effacent les données qu’ils ont partagées avec eux.

☐ Les responsables du traitement disposent de méthodes appropriées pour effacer les informations.

Préparation aux oppositions au traitement

☐ Les responsables du traitement savent reconnaître une opposition et ils comprennent quand le droit s’applique.

☐ Les responsables du traitement ont une politique concernant la manière d’enregistrer les oppositions qu’ils reçoivent verbalement.

☐ Les responsables du traitement comprennent quand ils peuvent refuser une opposition et sont conscients des informations qu’ils doivent fournir aux personnes lorsqu’ils le font.

☐ Les responsables du traitement disposent d’une information claire dans leur avis de confidentialité sur le droit d’opposition des personnes, qui est présenté séparément des autres informations sur leurs droits.

☐ Les responsables du traitement comprennent quand ils doivent informer les personnes de leur droit d’opposition, en plus de l’inclure dans leur avis de confidentialité.

Respecter les demandes d’opposition au traitement

☐ Les responsables du traitement ont mis en place des processus pour s’assurer qu’ils répondent à une opposition sans retard excessif et dans un délai d’un mois après réception.

☐ Lesresponsables du traitement sont conscients des circonstances dans lesquelles ils peuvent prolonger le délai de réponse à une opposition.

☐ Les responsables du traitement ont mis en place des méthodes appropriées pour effacer, supprimer ou cesser de traiter les données à caractère personnel.

☐ Le responsable du traitement a établi une stratégie ou un ensemble de procédures pour éviter de créer ou de renforcer un biais injuste dans le système d’IA, tant en ce qui concerne l’utilisation des données d’entrée que pour la conception des algorithmes.

☐ Le responsable du traitement évalue et reconnaît les éventuelles limitations découlant de la composition des ensembles de données utilisés.

☐ Le responsable du traitement a considéré la diversité et la représentativité des données utilisées.

☐ Le responsable du traitement a fait des tests pour des populations spécifiques ou des cas d’utilisation problématiques.

☐ Les responsables du traitement ont utilisé les outils techniques disponibles pour améliorer leur compréhension des données, du modèle et des performances.

☐ Le responsable du traitement a mis en place des processus pour tester et surveiller les biais potentiels pendant les phases de développement, de déploiement et d’utilisation du système d’IA.

☐ Le responsable du traitement a mis en place un mécanisme qui permet à d’autres personnes de signaler les problèmes liés aux biais, à la discrimination ou aux mauvaises performances du système d’IA.

☐ Le responsable du traitement a établi des étapes et des moyens de communication clairs sur la manière et la personne à qui ces questions peuvent être soulevées.

☐ Le responsable du traitement a pris en compte les autres personnes, potentiellement affectées indirectement par le système d’IA, en plus des utilisateurs (finaux).

☐ Le responsable du traitement a évalué s’il y a une variabilité possible de la décision qui peut se produire dans les mêmes conditions.

☐ En cas de variabilité, le responsable du traitement a mis en place un mécanisme de mesure ou d’évaluation de l’impact potentiel de cette variabilité sur les droits fondamentaux.

☐ Le responsable du traitement a mis en place une analyse quantitative ou des métriques pour mesurer et tester la définition appliquée de la loyauté.

☐ Le responsable du traitement a mis en place des mécanismes pour garantir la loyauté concernant les systèmes d’IA, et a envisagé d’autres mécanismes potentiels.

☐ Le responsable du traitement a déterminé les juridictions où les activités de traitement des données auront lieu.

☐ Le responsable du traitement a vérifié si ces juridictions ont adopté des listes indiquant les traitements qui nécessitent une analyse de l’impact sur la protection des données et a vérifié si les activités de traitement des données prévues qui impliquent l’IA sont couvertes par ces dispositions.

☐ Si les responsables du traitement ne sont pas sûrs de la nécessité d’effectuer une analyse de l’impact sur la protection des données, ils consultent le DPD ou, à défaut, le service juridique du responsable du traitement.

☐ Le cas échéant, le responsable du traitement a procédé à une AIPD.

☐ Si nécessaire, le responsable du traitement a déposé une consultation préalable auprès de l’autorité de contrôle compétente.

☐ Si des modifications étaient suggérées, le responsable du traitement suivait l’avis de l’autorité de contrôle.

☐ Les responsables du traitement ont demandé des informations concernant le lieu où les activités de traitement des données auront lieu, et : (1) procéder à l’examen de la jurisprudence suggéré ci-dessous ; et (2) évaluer si les juridictions, dans le cas de pays non membres de l’UE, sont considérées comme adéquates par la Commission européenne.

☐ Les responsables du traitement ont examiné la jurisprudence des autorités de contrôle nationales où le sous-traitant opère afin de vérifier les sanctions potentielles.

☐ Les responsables du traitement ont exigé la preuve de l’adhésion à un code de conduite ou à une certification.

☐ Les responsables du traitement ont exigé la preuve d’une certification ISO pertinente.

☐ Les responsables du traitement ont demandé une copie des registres des activités de traitement.

☐ Les responsables du traitement se sont enquis du processus de développement de l’IA, en particulier du type de données utilisées pour l’entraînement de l’IA et des données dont l’IA a besoin pour fonctionner et fournir un résultat utile.

☐ Les responsables du traitement ont vérifié si l’institution a déjà nommé un DPD.

☐ Si ce n’est pas le cas, ils ont vérifié auprès du service juridique si les activités de traitement des données envisagées nécessitent la désignation d’un DPD, soit en examinant les interprétations européennes faisant autorité, les réglementations locales, les interprétations locales faisant autorité, la jurisprudence – tant locale qu’européenne – et, enfin, les interprétations universitaires.

☐ Les responsables du traitement ont exigé la nomination de DPD si nécessaire, et leur implication dans le processus de développement de l’IA si nécessaire.

☐ En règle générale, le DPD doit être informé de chaque démarche entreprise afin de pouvoir intervenir s’il le juge utile.