L’Intelligence artificielle est omniprésente. Alors qu’elle était, il y a quelques années, réservée à un usage professionnel ou industrielle, elle a désormais sa place dans les foyers où ses applications se multiplient, à l’instar du développement d’outils tel que Chat GPT (IA dites génératives).
Les usages par les entreprises sont larges : analyser des ensembles de données, permettre des prédictions sur les comportements des clients, imiter la prise de décision humaine ou catégoriser de vastes ensembles d'informations très complexes.
L’IA posait déjà de nombreuses questions vis-à-vis de l’utilisation des données personnelles qu’elle implique. Ces questions sont d’autant plus nombreuses et cruciales, maintenant qu’il en est fait un usage domestique.
Sans remettre en cause les avantages que peuvent proposer ces systèmes, l’IA peut présenter une menace pour la confidentialité et la sécurité des données, ainsi que des problèmes liés à la règlementation, en particulier à mesure que celle-ci évolue. En effet, le développement des technologies liées à l’IA sont extrêmement rapides, à un tel point que les instruments de régulation internationaux, en cours de négociation, risquent d'être caducs, voire obsolètes lorsque ceux-ci seront publiés.
Nécessitant l’usage d’énormément de données, certaines précautions demeurent indispensables dans la mise en place d’une IA et l’utilisation qui en est faite. Les progrès de la technologie de l'IA soulèvent ainsi d'importantes questions éthiques concernant l'utilisation des données personnelles et le risque de biais dans les systèmes d'IA.
Pourquoi est-ce que ça n’est pas près de s’arrêter ?
Tout simplement parce que les enjeux et les potentielles utilisations liées à l’IA dans les activités de l’entreprise sont considérables. En effet, l’IA permet l'automatisation et l'analyse complexe, qui rendent les opérations commerciales plus efficaces. Elle peut également aider à conduire la prise de décision basée sur les données, permettant de rationaliser les opérations et de générer de meilleures prévisions et informations.
C’est, entre autres, sur cette question de la prise de décision automatisée que l’IA rentre en conflit avec le RGPD puisque celui-ci confère aux individus, dans son article 22, le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui les concerne. En application de ce principe, les entreprises et organisations doivent prendre en compte l'impact potentiel de leurs systèmes d'IA sur les personnes et s'assurer qu'elles ne prennent pas de décisions qui affectent significativement les personnes sans une supervision humaine adéquate.
Les instruments de régulation de l'IA
Dans ce contexte, les instruments se multiplient, au niveau européen avec la proposition de règlement de l’Union Européenne (IA Act) et au niveau national puisque la CNIL, après avoir annoncé la création d’un service dédié à l’IA vient de publier un plan d’action pour un déploiement de systèmes d’IA respectueux de la vie privée des individus. Cette régulation se structure autour de quatre objectifs :
- Appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes
- Permettre et encadrer le développement d’IA respectueuses des données personnelles
- Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe
- Auditer et contrôler les systèmes d’IA et protéger les personnes
Sans entraver le développement de l’IA et ses possibilités, la technologie doit être fondée sur les principes figurant dans le RGPD et la Convention 108 +. Les piliers de ces deux instruments internationaux sont la licéité et la loyauté du traitement, la définition de la finalité, la proportionnalité du traitement, la prise en compte de la protection des données dès la conception (« **privacy by-design ») et par défaut, la responsabilité et la démonstration de la conformité (« accountability »), la transparence, la sécurité des données et la gestion du risque.
Quelles solutions en pratique ?
Indéniablement, l'usage de l'IA doit être encadré par des instruments internationaux. Au sein de l'entreprise, la protection des données et le respect de la vie privée nécessitent que l'utilisation de l'IA fasse l'objet de précautions, vigilance et contrôle, faisant intervenir l'ensemble des relais métiers et en particulier le DPO, c'est ce que nous verrons dans un prochain article !
Et avec DASTRA ?
Nous vous permettons de réaliser des audits de mise en place d'un système d'IA dans une organisation et de piloter votre gestion des risques. Essayez notre outil gratuitement pendant 30 jours.