Le Comité européen de la protection des données adopte un avis sur les modèles d'IA

Le 17 décembre 2024, le Comité européen de la protection des données (EDPB) a adopté l'avis 28/2024 du CEPD concernant l'utilisation de données personnelles pour former et déployer des modèles d'IA. L'avis fait suite à une demande de l'autorité irlandaise de protection des données (DPA).

Les grands développeurs de modèles, dont Meta et OpenAI, qui fournissent des modèles d'IA au sein de l'UE ont fait l'objet d'un examen minutieux de la part des décideurs politiques et des régulateurs de l'UE. Ces développeurs, les entreprises utilisant leurs produits et les autorités réglementaires des pays de l'UE ont tous demandé des conseils clairs sur la manière de former et de déployer des modèles d'IA sur les données personnelles sans violer le RGPD.

L'avis 28/2024 de l'EDPB fournit des orientations sur ces questions. Bien que cela ne soit pas contraignant pour les entreprises, les DPA s'aligneront probablement sur ses directives lors de l'interprétation du RGPD et de la priorisation des mesures d'application.

Quand un modèle est-il considéré comme anonyme et donc non soumis au RGPD ?

Bien que les modèles d'IA anonymes ne soient pas soumis au RGPD, les analystes ont à ce jour eu des opinions divergentes quant à savoir si un modèle d'IA de base formé est anonyme.

L'avis 28/2024 de l'EDPB indique qu'un tel modèle peut être considéré comme anonyme s'il existe une faible probabilité de pouvoir « (1) identifier directement ou indirectement les personnes dont les données ont été utilisées pour créer le modèle, et (2) extraire ces données personnelles du modèle par le biais de requêtes ». L'avis indique que cette analyse doit être menée au cas par cas et comprend une liste non prescriptive et non exclusive de méthodes pouvant contribuer à garantir l'anonymat.

Quand un développeur d'IA peut-il traiter des données personnelles ?

Conformément au RGPD, les entreprises ont besoin d'une base légale pour traiter les données personnelles. Les analystes ont noté que parmi les bases juridiques disponibles, seul « l'intérêt légitime » semble pertinent pour la manière dont les principaux développeurs forment les modèles d'IA de base. L'avis 28/2024 de l'EDPB confirme qu'une entreprise peut utiliser « l'intérêt légitime » comme base pour former des modèles d'IA à l'aide de données personnelles, après une analyse de trois facteurs :

Objectif : si l'intérêt est légitime, clairement et précisément articulé, réel et présent ;

Nécessité : si les données personnelles sont nécessaires pour atteindre l'objectif ;

Équilibrage : sur la base d'une analyse des avantages, des inconvénients et des attentes des personnes dont les données sont traitées, afin de déterminer si les intérêts et les droits de ces personnes ne l'emportent pas sur l'intérêt légitime de l'entreprise

L'avis 28/2024 de l'EDPB décrit également comment un modèle d'IA développé sur des données personnelles en violation du RGPD peut ne pas être déployé ou être déployé de manière limitée sous réserve d'évaluations et de garanties.

Quelle est la prochaine étape ?

L'UE continuera à fournir des interprétations et des conseils sur la manière dont le RGPD, la loi européenne sur l'IA (AIA) et d'autres lois de l'UE s'appliqueront aux modèles d'IA de base, alors même que les grands développeurs de modèles continuent de publier de nouveaux modèles impressionnants.

L'avis 28/2024 du CEPD ne fournit pas de précisions sur de nombreuses autres intersections entre la vie privée et l'IA, notamment le respect de la vie privée dès la conception ou le traitement d'autres informations sensibles (comme l'état d'esprit de l'utilisateur ou ses opinions politiques).

Les entreprises utilisant des systèmes d'IA devraient suivre de près l'évolution de la réglementation dans l'UE et dans le monde entier et intégrer des interprétations et des conseils pertinents dans leurs programmes de gouvernance de l'IA.

Enzai est là pour vous aider

La plateforme AI GRC d'Enzai peut aider votre entreprise à déployer l'IA conformément aux meilleures pratiques et aux réglementations, normes et cadres émergents, tels que la loi européenne sur l'IA, la loi du Colorado sur l'IA, le NIST AI RMF et la norme ISO/IEC 42001. Pour en savoir plus, prenez contact ici.