Dispositions du RGPD : Transparence
Home » IA » Exposition générale » Transparence » Dispositions du RGPD : Transparence

Comprendre la transparence et l’opacité

En général, la transparence signifie que les personnes concernées reçoivent des informations claires sur le traitement des données (voir “Transparence” dans la sous-section “Licéité, loyauté et transparence” des “Principes” de la partie II des présentes lignes directrices). Elles doivent être informées de la manière dont leurs informations (y compris les données observées et déduites les concernant) sont utilisées et à quelles fins, que ces informations soient collectées auprès des personnes concernées elles-mêmes ou par des tiers.[1] Les personnes concernées doivent toujours savoir comment et pourquoi une décision prise à leur sujet par l’IA a été prise, ou si leurs données personnelles ont été utilisées pour former et tester un système d’IA. Les responsables du traitement doivent garder à l’esprit que dans de tels cas, la transparence est encore plus importante que lorsqu’ils n’ont pas de relation directe avec les personnes concernées.

D’une manière générale, la transparence doit être garantie en utilisant un certain nombre d’outils complémentaires. La désignation d’un DPD, qui sert alors de point de contact unique pour les questions des personnes concernées, est une excellente option. La préparation de registres adéquats du traitement à l’intention des autorités de contrôle ou la réalisation d’analyses d’impact sur la protection des données sont également des mesures hautement recommandées pour promouvoir la transparence. Enfin, la réalisation d’analyses visant à évaluer l’efficacité et l’accessibilité des informations fournies aux personnes concernées contribue à garantir la mise en œuvre efficace de ce principe.

Le principal défi de l’IA est qu’elle englobe un éventail de techniques très différentes les unes des autres. Certaines sont très simples, il est donc facile pour le responsable des données de fournir toutes les informations nécessaires. D’autres, comme l’apprentissage profond, ont de sérieux problèmes en termes de transparence. C’est ce qu’on appelle souvent le problème de la “boîte noire”, qui introduit le problème de l’opacité dans le cadre de l’IA, une circonstance qui rend la transparence difficile à atteindre. En effet, l’opacité est l’une des principales menaces contre l’IA équitable, car elle va directement à l’encontre du besoin de transparence. Il existe au moins trois types d’opacité qui sont inhérents à l’IA dans une mesure plus ou moins grande : (1) le secret intentionnel des entreprises ou des États ; (2) l’analphabétisme technique ; et (3) l’opacité épistémique.

Opacité en tant que secret intentionnel d’entreprise ou d’État

Ce type d’opacité peut être légitime en vertu de la protection de la réglementation sur le secret industriel. Elle peut également répondre à des intérêts légitimes, tels que la préservation des avantages concurrentiels, la préservation de la sécurité du système, ou la prévention de l’utilisation du système par des utilisateurs malveillants. Toutefois, elle doit être compatible avec l’incorporation de systèmes de certification indépendants capables d’accréditer que le mécanisme répond aux exigences du RGPD. Dans la plupart des cas, fournir à la personne concernée les informations dont elle a besoin pour protéger ses intérêts, sans divulguer en même temps des secrets commerciaux, ne devrait pas poser de problème.[2] Cela est dû au simple fait que les sujets n’ont pas besoin de comprendre en détail comment le système fonctionne, mais seulement comment il pourrait porter atteinte à leurs intérêts, droits et libertés.

L’opacité comme analphabétisme technique

Ce type d’opacité découle des compétences spécifiques requises pour concevoir et programmer les algorithmes, ainsi que de la capacité à lire et à écrire le code. Nous pourrions dire que les codes utilisés dans l’IA sont un mystère pour la grande majorité de la population, qui ne dispose pas de ces connaissances spécifiques, mais cela ne doit pas être un obstacle au respect de l’obligation d’information stipulée par le RGPD. La capacité à comprendre le langage informatique ne doit pas être un obstacle pour fournir une explication compréhensible de la finalité d’un système d’IA, non seulement aux parties prenantes qui font l’objet d’un profilage ou d’une décision automatisée, mais à toutes les autres personnes.

Opacité épistémique

Cette opacité découle des caractéristiques des algorithmes d’apprentissage automatique et de l’échelle requise pour les appliquer utilement. Elle est liée au fait que certains modèles algorithmiques ne sont pas interprétables par l’Homme. En clair, le transit entre les entrées que le modèle reçoit et les sorties qu’il émet est impénétrable en termes de compréhension humaine. Au niveau réglementaire, il n’y a pas d’interdiction d’utiliser ce type de modèle, bien qu’il soit conseillé de suivre le principe de précaution lors de son utilisation, car le manque d’interprétabilité pourrait aggraver les difficultés d’identification des biais du modèle, qui pourraient à leur tour conduire à des résultats discriminatoires, ou à des corrélations fausses ou fallacieuses. Bien entendu, tous les modèles d’apprentissage automatique ne sont pas opaques dans ce sens.

La préférence pour des outils transparents

En général, les responsables du traitement doivent toujours prévoir le développement d’algorithmes plus compréhensibles que ceux qui le sont moins. Les compromis entre l’explicabilité, la transparence et les meilleures performances du système doivent être équilibrés en fonction du contexte d’utilisation. Par exemple, dans le domaine des soins de santé, la précision et les performances du système peuvent être plus importantes que son explicabilité ; dans le domaine du maintien de l’ordre, l’explicabilité est beaucoup plus cruciale pour justifier le comportement et les résultats des forces de l’ordre. Dans d’autres domaines, comme le recrutement, la précision et l’explicabilité sont toutes deux appréciées de la même manière.[3] Si un service peut être offert à la fois par un algorithme facile à comprendre et un algorithme opaque – c’est-à-dire lorsqu’il n’y a pas de compromis entre l’explicabilité et la performance – le responsable du traitement devrait opter pour celui qui est le plus interprétable.

Si les responsables du traitement n’ont d’autre choix que d’utiliser un modèle opaque, ils devraient au moins essayer de trouver des solutions techniques au manque d’interprétabilité. Bien entendu, il est extrêmement difficile de mesurer précisément dans quelle mesure une extension de l’explicabilité est réalisée. Pour plus d’informations, voir la section “Droit de ne pas faire l’objet d’une prise de décision automatisée” dans la partie II, section “Droits de la personne concernée” des présentes lignes directrices. Si les responsables du traitement ont du mal à trouver des explications, ils doivent demander un avis extérieur. La possibilité de recourir à des audits indépendants peut à nouveau être une option raisonnable.

Informations complémentaires

CEPD (2015) Avis 7/2015. Relever les défis du big data : Un appel à la transparence, au contrôle par l’utilisateur, à la protection des données dès la conception et à la responsabilité. Contrôleur européen de la protection des données, Bruxelles. Disponible à l’adresse : https://edps.europa.eu/sites/edp/files/publication/15-11-19_big_data_en.pdf

Groupe d’experts de haut niveau sur l’intelligence artificielle (2019) Lignes directrices en matière d’éthique pour une IA digne de confiance. Commission européenne, Bruxelles. Disponible à l’adresse : https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai

ICO (2020) Expliquer les décisions prises avec l’IA. Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/media/for-organisations/guide-to-data-protection/key-data-protection-themes/explaining-decisions-made-with-artificial-intelligence-1-0.pdf

Autorité norvégienne de protection des données (2018) Intelligence artificielle et vie privée. Autorité norvégienne de protection des données, Oslo. Disponible à l’adresse : https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf

SHERPA (2019) Lignes directrices pour l’utilisation éthique de l’IA et des systèmes de big data. Projet Sherpa. Disponible à l’adresse : https://www.project-sherpa.eu/wp-content/uploads/2019/12/use-final.pdfwww.project-sherpa.eu/wp-content/uploads/2019/12/use-final.pdf
  1. Articles 13 et 14 du RGPD.
  2. Autorité norvégienne de protection des données (2018) Intelligence artificielle et vie privée. Autorité norvégienne de protection des données, Oslo. Disponible à l’adresse : https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf (consulté le 20 mai 2020).
  3. SHERPA (2019) Lignes directrices pour l’utilisation éthique de l’IA et des systèmes de big data. Projet SHERPA, p.26. Disponible à l’adresse : www.project-sherpa.eu/wp-content/uploads/2019/12/use-final.pdf (consulté le 15 mai 2020).

 

Aller au contenu principal