Le principe de limitation de la finalité limite l’utilisation des données à caractère personnel à la/les finalités initiales, ou aux finalités compatibles avec celles-ci. Cependant, le développement de l’IA exige que les données soient réutilisées assez souvent. En outre, il peut arriver que l’outil d’IA réutilise les données automatiquement (cela se produit certainement dans le cas de l’apprentissage profond). Ces situations créent des tensions entre les techniques d’apprentissage de l’IA et le principe de limitation de la finalité (voir “Principe de limitation de la finalité” dans la partie II, section “Principes” des présentes lignes directrices).

Afin d’éviter tout traitement de données illicite, les responsables du traitement utilisant des systèmes d’IA doivent déterminer la finalité du traitement “dès le début de sa formation ou de son déploiement, et procéder à une réévaluation de cette détermination si le traitement du système donne des résultats inattendus, puisqu’il exige que les données à caractère personnel ne soient collectées que pour des “finalités spécifiques, explicites et légitimes” et ne soient pas utilisées d’une manière incompatible avec la finalité initiale”^[1] (voir la section “Protection des données dès la conception et par défaut” dans “Concepts principaux”, dans la partie II des présentes lignes directrices).

La réutilisation des données dans le cadre du développement d’un outil d’IA soulève des questions très complexes en termes de limitation de la finalité. Les systèmes d’IA traitent les données à caractère personnel à différents stades et à des fins diverses. En conséquence, un responsable du traitement peut ne pas distinguer chaque opération de traitement distincte et traiter des données à des fins autres que celles pour lesquelles elles ont été initialement collectées. Les responsables du traitement doivent être particulièrement préoccupés par ces situations, car elles peuvent entraîner un non-respect du principe de licéité en matière de protection des données^[2] (voir la sous-section “Utilisation à des fins incompatibles” dans la section “Principe de limitation de la finalité” des “Principes” de la partie II des présentes lignes directrices).

Les responsables du traitement doivent considérer que l’identification de la base légale appropriée est liée aux principes de loyauté et de limitation de la finalité (voir “Principe de licéité, de loyauté et de transparence” dans la partie II, section “Principes” des présentes lignes directrices).^[3] Ils doivent choisir la base légale qui reflète le mieux la véritable nature de leur relation avec la personne et la finalité du traitement. Cette décision est essentielle, car il est impossible de modifier la base juridique du traitement s’il n’y a pas de raisons substantielles qui le justifient, en raison du principe de limitation de la finalité. Si les développeurs d’IA prévoient d’utiliser un ensemble de données à différentes étapes (par exemple, formation, validation ou déploiement), ils doivent considérer ces étapes comme ayant des objectifs distincts et séparés.^[4] En outre, ils doivent tenir compte du type de relation qu’ils entretiennent avec la personne concernée. Par exemple, le consentement peut constituer une base légale appropriée pour le traitement s’il existe un contact permanent avec les personnes concernées et si les responsables du traitement sont en mesure d’obtenir des consentements successifs pour différentes utilisations ou d’obtenir le consentement de la personne concernée pour plusieurs traitements avant le début du traitement. Toutefois, dans le cas de l’IA, il est souvent difficile de maintenir ce type de relation, car l’IA est souvent construite en agrégeant et en fusionnant de grands ensembles de données.

Enfin, les responsables du traitement doivent être conscients que pour le traitement de données à caractère personnel à des fins scientifiques, de recherche historique ou de statistiques, la législation ou les règles de l’Union ou des États membres peuvent prévoir des dérogations aux droits des personnes concernées stipulés aux articles 15, 16, 18 et 21. Par conséquent, le traitement de ces données à des fins autres que celles pour lesquelles elles ont été initialement collectées devrait être licite pour autant que des mesures techniques et organisationnelles appropriées soient en place, en particulier la minimisation des données. (Voir la section “Protection des données et recherche scientifique” dans les “Concepts principaux” de la partie Ii des présentes lignes directrices).

Liste de contrôle : limitation de la finalité[5] ☐ Les responsables du traitement ont clairement identifié la ou les finalités de leur traitement. ☐ Les responsables du traitement ont documenté ces finalités. ☐ Les responsables du traitement incluent le détail de leurs finalités dans les informations relatives à la vie privée des personnes. ☐ Les responsables du traitement revoient régulièrement leurs traitements et, le cas échéant, mettent à jour leur documentation et les informations relatives à la vie privée des personnes. ☐ Si les responsables du traitement prévoient d’utiliser les données à caractère personnel pour une nouvelle finalité autre qu’une obligation légale ou une fonction prévue par la loi, ils vérifient que celle-ci est compatible avec leur finalité initiale ou obtiennent un consentement spécifique pour cette nouvelle finalité.

Informations complémentaires Groupe de travail Article 29 sur la protection des données (2013) Avis 03/2013 sur la limitation de la finalité. Commission européenne, Bruxelles. Disponible sur : https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf CIPL (2020) Intelligence artificielle et protection des données : comment le RGPD réglemente l’IA. Centre for Information Policy Leadership, Washington DC / Bruxelles / Londres. Disponible à l’adresse : www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf EDPB (2018) Lignes directrices 2/2019 sur le traitement des données à caractère personnel en vertu de l’article 6, paragraphe 1, point b) du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées, adoptées le 9 avril 2019, p.6. Conseil européen de la protection des données, Bruxelles. Disponible à l’adresse suivante : https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf ICO (2020) Guidance on the AI auditing framework : draft guidance for consultation. Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf ICO (aucune date) Principe (b) : limitation de la finalité. Bureau du commissaire à l’information, Wilmslow. Disponible sur : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/

 

1. CIPL (2020) Intelligence artificielle et protection des données : comment le RGPD réglemente l’IA. Centre for Information Policy Leadership, Washington DC / Bruxelles / Londres, p.6. Mis en évidence par l’auteur. Disponible à l’adresse : www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf (consulté le 17 mai 2020). ↑
2. ICO (2020) Guidance on the AI auditing framework : draft guidance for consultation. Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf (consulté le 15 mai 2020). ↑
3. EDPB (2018) Lignes directrices 2/2019 sur le traitement des données à caractère personnel en vertu de l’article 6, paragraphe 1, point b) du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées, adoptées le 9 avril 2019, p.6. Conseil européen de la protection des données, Bruxelles. Disponible à l’adresse : https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf (consulté le 15 mai 2020). ↑
4. ICO (2020) Orientations sur le cadre d’audit de l’IA : projet pour consultation. 2020. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse : https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf (consulté le 15 mai 2020). ↑
5. ICO (aucune date) Principe (b) : limitation de la finalité. Bureau du commissaire à l’information, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/purpose-limitation/ (consulté le 17 mai 2020). ↑