Friction entre le GDPR et la loi sur l’IA : obstacles révélés

L’UE est le premier acteur mondial à adopter un cadre législatif pour l’intelligence artificielle (IA).  

Les commissions du marché intérieur et des libertés civiles du Parlement européen ont défini leurs positions le 11 mai 2023 en vue des négociations avec les États membres et la Commission européenne.  

Dans ce blog, nous discuterons de l’interaction entre cette loi sur l’IA et le GDPR et de son impact probable sur les réglementations en matière de protection des données. 

Nous examinerons également brièvement l’incidence de la loi sur l’IA sur le rôle du DPD.  

 

  1. Qu’est-ce que l’IA ?

    L'”intelligence artificielle” (IA) est définie comme “un système technique ou mécanique qui, pour un ensemble donné d’objectifs, peut générer un résultat tel que, par exemple, un contenu, des prédictions, des recommandations ou des décisions affectant des environnements réels ou virtuels. Les systèmes d’IA sont donc conçus pour fonctionner avec différents niveaux d’autonomie”.

2. Qu’est-ce que la loi sur l’IA ?

La loi sur l’IA est une initiative européenne visant à réglementer l’IA. Il s’agirait de la première loi concrète au monde sur l’IA. La loi sur l’IA classe les applications de l’IA en quatre niveaux de risque : risque inacceptable, risque élevé, risque limité et risque minimal ou nul.

3. Interdites : Applications présentant des risques inacceptables

Ce groupe comprend

  • Les systèmes d’IA créent ou développent des bases de données de reconnaissance faciale par le biais d’un “scraping” non ciblé.
  • Systèmes d’IA déduisant les émotions dans les domaines de l’application de la loi, de la gestion des frontières, du lieu de travail et de l’éducation.
  • Les systèmes d’IA qui utilisent des techniques subliminales ou des techniques de manipulation ou de tromperie pour fausser le comportement.
  • Les systèmes d’IA qui exploitent les vulnérabilités des individus ou de groupes spécifiques.
  • Systèmes de catégorisation biométrique basés sur des attributs ou des caractéristiques sensibles.
  • Systèmes d’intelligence artificielle utilisés pour la notation sociale ou l’évaluation de la fiabilité.
  • Les systèmes d’IA utilisés pour l’évaluation des risques qui prédisent les infractions pénales ou administratives.

4. Pourquoi est-il important que l’IA soit réglementée de cette manière ?

La raison principale est que l’IA peut affecter de nombreux aspects de notre vie aujourd’hui, mais certainement encore plus à l’avenir. En voici quelques-unes :

    • influencer les informations que nous voyons en ligne en prédisant le contenu qui nous attire ;
    • capturer et analyser les données des visages afin d’appliquer les lois ou de personnaliser les publicités ;
    • Diagnostiquer et traiter le cancer.

5. Quelle question devons-nous nous poser ?

La question qui se pose aujourd’hui est de savoir si la loi sur l’IA est prévue pour cette variété d’applications. Et surtout, si l’IA ne sera pas trop fortement limitée par l’émergence de cette loi.

La proposition de loi comporte plusieurs lacunes et exceptions. Ces lacunes limitent la capacité du droit à garantir que l’IA reste un facteur positif dans nos vies.

Actuellement, par exemple, la reconnaissance faciale est interdite par la police, sauf si les images sont différées ou si la technologie est utilisée pour retrouver des enfants disparus.

Ce qui nous préoccupe déjà, c’est de savoir si la loi sur l’IA protégera adéquatement nos données et comment elle interagit avec les dispositions du GDPR. Nous allons développer ce point.

6. Le lien entre les réglementations sur l’IA et le GDPR

À l’instar du GDPR en 2018, la loi européenne sur l’IA pourrait devenir une norme mondiale, déterminant dans quelle mesure l’IA a un impact positif plutôt que négatif sur nos vies.

L’une des deux bases utilisées par la Commission européenne pour justifier la loi sur l’IA est l’article 16 du TFUE, qui charge l’UE d’adopter des règles sur la protection et le traitement des données à caractère personnel des personnes physiques.

La loi sur l’IA et le GDPR sont tous deux basés sur l’article 16 du TFUE, ce qui signifie qu’ils se complètent mutuellement en ce qui concerne la protection des personnes concernées.

À certains égards, les règles de la loi sur l’IA complètent la protection déjà assurée par le GDPR.

En fait, le Conseil européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (CEPD) ont suggéré que les systèmes d’IA soient conformes au GDPR pour obtenir le marquage CE requis.

Ces réglementations cohérentes contribuent à la mise en place d’un cadre solide de protection des données dans le contexte des applications de l’IA.

7.Contrôleur

En vertu du GDPR, le “responsable du traitement” est le premier responsable du traitement des données à caractère personnel. Lors de la mise en œuvre de systèmes d’IA, les “utilisateurs” de la loi sur l’IA au cours de la phase de déploiement sont plus susceptibles d’être considérés comme des “responsables du traitement” au sens du GDPR. Cela signifie que, même avec des obligations limitées en vertu de la loi, ils restent responsables de l’utilisation et des conséquences des données à caractère personnel liées aux systèmes d’IA.

Les fournisseurs de systèmes d’IA seront considérés comme des “sous-traitants” au sens du GDPR, traitant des données à caractère personnel au nom des utilisateurs de l’IA et suivant leurs instructions, en particulier s’ils fournissent des services d’assistance ou de maintenance pour les systèmes d’IA.

8. Quels seront les fournisseurs de systèmes d’IA ?

En vertu du GDPR, les fournisseurs de systèmes d’IA deviennent généralement des “processeurs”. Toutefois, au cours de la phase de développement et à des fins de conformité, ils peuvent être considérés comme des “responsables du traitement” en fonction du traitement des données à caractère personnel en vertu de la loi sur l’IA.

9. Quelles références la loi sur l’IA contient-elle pour être conforme au GDPR ?

La loi sur l’IA contient quelques références à la conformité au GDPR, telles que l’obligation pour les utilisateurs d’utiliser les informations des instructions d’utilisation de HRAIS pour les évaluations de l’impact sur la protection des données (DPIA).

Les fournisseurs de systèmes d’IA ont une obligation de transparence stricte à l’égard des clients/utilisateurs, les instructions d’utilisation et la documentation technique précisant les détails. Alors que la loi sur l’IA réglemente certaines obligations, les utilisateurs/contrôleurs peuvent exiger une conformité et une transparence plus larges en vertu du GDPR, même pour les systèmes d’IA qui ne sont pas qualifiés de HRAIS.

AI

Importance du DPD

Nous avons vu dans la section 2 que les systèmes d’IA peuvent être alimentés par des données personnelles.

La loi sur l’IA s’articule également autour d’une approche et d’une gestion des risques.

C’est également ainsi que le GDPR est structuré. Le DPD sait donc déjà ce qu’est la réalisation d’une analyse d’impact sur la protection des données (AIPD) et d’une analyse des risques.

Le DPD sait également comment mettre en place un programme, créer des politiques, mener un audit et former des équipes.” Le DPD sera donc la personne idéale pour aider les entreprises (d’IA) à se conformer aux dispositions du GDPR et à la loi sur l’IA.

Quelles sont les prochaines étapes de la loi sur l’IA ?

Le Parlement européen procédera à un vote en séance plénière à la mi-juin 2023, après quoi les négociations entre le Conseil européen, le Parlement européen et la Commission européenne commenceront pour convenir d’un texte final, qui devrait se poursuivre de juin à décembre 2023.

À partir du moment où la loi définitive sur l’IA entrera en vigueur, elle deviendra officiellement applicable 24 mois plus tard. Elle est actuellement prévue pour le premier semestre 2026.

Contactez un DPD accrédité pour toutes vos questions relatives à l’IA.

Delen:

Meer berichten

Meer info: