Le 17 décembre 2024, le Comité européen de protection des données (CEPD) a adopté l'avis 28/2024 du CEPD concernant l'utilisation des données personnelles pour entraîner et déployer des modèles d'IA. Cet avis fait suite à une demande de l'autorité de protection des données (APD) d'Irlande. 

Les développeurs de grands modèles, y compris Meta et OpenAI, qui fournissent des modèles d'IA au sein de l'UE ont fait l'objet d'un examen par les décideurs politiques et les régulateurs de l'UE. Ces développeurs, les entreprises utilisant leurs produits, et les autorités réglementaires des pays de l'UE ont tous recherché des directives claires sur la manière d'entraîner et de déployer des modèles d'IA sur des données personnelles sans violer le RGPD.

L'avis 28/2024 du CEPD fournit des orientations sur ces questions. Bien qu'il ne soit pas contraignant pour les entreprises, les APD s'aligneront vraisemblablement sur ses orientations lors de l'interprétation du RGPD et de la priorisation des actions de mise en application. 

Quand un modèle est-il considéré comme anonyme – et donc non soumis au RGPD ?

Bien que les modèles d'IA anonymes ne soient pas soumis au RGPD, les analystes ont jusqu'à présent eu des avis divergents sur le caractère anonyme d'un modèle d'IA fondation entraîné.

L'avis 28/2024 du CEPD indique qu'un tel modèle peut être considéré comme anonyme s'il existe une faible probabilité de pouvoir « (1) identifier directement ou indirectement les personnes dont les données ont été utilisées pour créer le modèle, et (2) extraire ces données personnelles du modèle par requêtes. » L'avis précise que cette analyse doit être menée au cas par cas et inclut une liste non prescriptive et non exclusive de méthodes pouvant aider à atteindre l'anonymat.

Quand un développeur IA peut-il traiter des données personnelles ?

Selon le RGPD, les entreprises ont besoin d'une base légale pour traiter des données personnelles. Les analystes ont noté que parmi les bases légales disponibles, seul l'« intérêt légitime » semble pertinent pour la manière dont les développeurs majeurs entraînent les modèles d'IA fondation. L'avis 28/2024 du CEPD confirme qu'une entreprise peut utiliser « l'intérêt légitime » comme base pour entraîner des modèles d'IA en utilisant des données personnelles, après une analyse de trois facteurs: 

Objectif : si l'intérêt est légal, clairement et précisément articulé, réel et actuel;

Nécessité : si les données personnelles sont nécessaires pour atteindre l'objectif;

Équilibrage : basé sur une analyse des avantages, des inconvénients et des attentes des individus dont les données sont traitées, si les intérêts et les droits de ces individus ne l'emportent pas sur l'intérêt légitime de l'entreprise

L'avis 28/2024 du CEPD décrit également comment un modèle d'IA développé sur des données personnelles en violation du RGPD pourrait ne pas être déployé ou être déployé de manière limitée sous réserve d'évaluations et de mesures de sauvegarde.

Quelles sont les prochaines étapes ?

L'UE continuera à fournir des interprétations et des orientations sur la manière dont le RGPD, la loi sur l'IA de l'UE (AIA), et d'autres lois de l'UE s'appliqueront aux modèles d'IA fondation, même alors que les développeurs de grands modèles continuent de sortir de nouveaux modèles impressionnants.

L'avis 28/2024 du CEPD ne fournit pas de clarté sur de nombreux autres points d'intersection entre la vie privée et l'IA, y compris la protection de la vie privée dès la conception ou le traitement d'autres informations sensibles (comme l'état d'esprit de l'utilisateur ou les opinions politiques).

Les entreprises utilisant des systèmes d'IA devraient surveiller attentivement les évolutions réglementaires dans l'UE et dans le monde entier et intégrer les interprétations et orientations pertinentes dans leurs programmes de gouvernance de l'IA.

Enzai est là pour aider

La plateforme GRC d'IA d'Enzai peut aider votre entreprise à déployer l'IA en conformité avec les meilleures pratiques et les réglementations, normes et cadres émergents, tels que la loi sur l'IA de l'UE, la loi sur l'IA du Colorado, le cadre RMF d'IA du NIST et ISO/IEC 42001. Pour en savoir plus, contactez-nous ici.