L'avis 28/2024 de l'EDPB aborde des sujets clés à l'intersection de la confidentialité et de l'IA.
•
•
4 minutes de lecture
Sujets
Le 17 décembre 2024, le Comité européen de la protection des données (EDPB) a adopté l’avis EDPB 28/2024 concernant l’utilisation des données à caractère personnel pour entraîner et déployer des modèles d’IA. Cet avis fait suite à une demande de l’autorité irlandaise de protection des données (DPA).
Les développeurs de grands modèles, notamment Meta et OpenAI, qui proposent des modèles d’IA au sein de l’UE, ont fait l’objet d’un examen attentif de la part des décideurs politiques et des régulateurs de l’UE. Ces développeurs, les entreprises qui utilisent leurs produits ainsi que les autorités de régulation des pays de l’UE ont tous recherché des orientations claires sur la manière d’entraîner et de déployer des modèles d’IA sur des données à caractère personnel sans enfreindre le RGPD.
L’avis EDPB 28/2024 fournit des orientations sur ces questions. Bien qu’il ne soit pas contraignant pour les entreprises, les DPA s’aligneront probablement sur ses orientations lors de l’interprétation du RGPD et de la priorisation des actions de contrôle.
Quand un modèle est-il considéré comme anonyme – et donc non soumis au RGPD ?
Bien que les modèles d’IA anonymes ne soient pas soumis au RGPD, les analystes ont jusqu’à présent exprimé des opinions divergentes sur la question de savoir si un modèle d’IA fondation entraîné est anonyme.
L’avis EDPB 28/2024 indique qu’un tel modèle peut être considéré comme anonyme s’il existe une faible probabilité de pouvoir « (1) identifier directement ou indirectement les personnes dont les données ont servi à créer le modèle, et (2) extraire ces données à caractère personnel du modèle au moyen de requêtes. » L’avis précise que cette analyse doit être menée au cas par cas et comprend une liste non prescriptive et non exhaustive de méthodes pouvant contribuer à l’anonymisation.
Quand un développeur d’IA peut-il traiter des données à caractère personnel ?
Conformément au RGPD, les entreprises ont besoin d’une base juridique pour traiter des données à caractère personnel. Les analystes ont noté que, parmi les bases juridiques disponibles, seule « l’intérêt légitime » semble pertinente à la manière dont les principaux développeurs entraînent des modèles d’IA fondation. L’avis EDPB 28/2024 confirme qu’une entreprise peut utiliser « l’intérêt légitime » comme base pour entraîner des modèles d’IA à l’aide de données à caractère personnel, après une analyse de trois facteurs :
Finalité : si l’intérêt est licite, formulé de manière claire et précise, et réel et actuel ;
Nécessité : si les données à caractère personnel sont nécessaires pour atteindre la finalité ;
Mise en balance : sur la base d’une analyse des avantages, des inconvénients et des attentes des personnes dont les données sont traitées, si les intérêts et les droits de ces personnes ne prévalent pas sur l’intérêt légitime de l’entreprise
L’avis EDPB 28/2024 décrit également comment un modèle d’IA développé à partir de données à caractère personnel en violation du RGPD peut soit ne pas être déployé, soit être déployé de manière limitée, sous réserve d’évaluations et de garanties.
Et ensuite ?
L’UE continuera de fournir des interprétations et des orientations sur la manière dont le RGPD, l’AI Act de l’UE (AIA) et d’autres lois de l’UE s’appliqueront aux modèles d’IA fondation, même si les développeurs de grands modèles continuent de lancer de nouveaux modèles impressionnants.
L’avis EDPB 28/2024 n’apporte pas de clarté sur de nombreux autres points de contact entre la vie privée et l’IA, y compris la protection de la vie privée dès la conception ou le traitement d’autres informations sensibles (comme l’état d’esprit de l’utilisateur ou ses opinions politiques).
Les entreprises utilisant des systèmes d’IA devraient suivre de près l’évolution réglementaire dans l’UE et dans le monde et intégrer les interprétations et orientations pertinentes dans leurs programmes de gouvernance de l’IA.
Enzai est là pour vous aider
La plateforme GRC de l’IA d’Enzai peut aider votre entreprise à déployer l’IA conformément aux meilleures pratiques ainsi qu’aux réglementations, normes et cadres émergents, tels que l’AI Act de l’UE, le Colorado AI Act, le NIST AI RMF et l’ISO/IEC 42001. Pour en savoir plus, contactez-nous ici.
Enzai est la plateforme leader de gouvernance de l’IA d’entreprise, conçue spécialement pour aider les organisations à passer d’une politique abstraite à une supervision opérationnelle. Notre plateforme de gestion des risques liés à l’IA fournit l’infrastructure spécialisée nécessaire pour gérer la gouvernance de l’IA agentique, maintenir un inventaire complet de l’IA et garantir la conformité à l’AI Act de l’UE. En automatisant des flux de travail complexes, Enzai permet aux entreprises d’accélérer l’adoption de l’IA en toute confiance tout en restant alignées sur des normes mondiales telles que ISO 42001 et NIST.
Donnez à votre organisation les moyens d'adopter, de gérer et de surveiller l'IA avec une confiance de niveau entreprise. Conçu pour les organisations réglementées opérant à grande échelle.