Rappel des Obligations GDPR pour l’Intelligence Artificielle
Une enquête de la Commission irlandaise de protection des données (DPC) souligne l’importance pour les entreprises déployant des outils d’intelligence artificielle (IA) de rester vigilantes quant à leurs obligations sous le Règlement général sur la protection des données (GDPR).
Contexte de l’Enquête
La DPC a récemment lancé une enquête sur X, anciennement connu sous le nom de Twitter, concernant le traitement des données personnelles des utilisateurs de l’UE/EEE sur sa plateforme de médias sociaux. Cette investigation se concentre sur l’utilisation de publications accessibles au public pour entraîner des modèles d’IA générative, en particulier les Grok Large Language Models (LLMS) développés par xAI, une entreprise appartenant au propriétaire de X, Elon Musk.
L’enquête vise à examiner la conformité de X avec les dispositions du GDPR, en mettant l’accent sur la licéité et la transparence du traitement des données. La DPC déterminera si les données personnelles utilisées pour entraîner Grok ont été traitées légalement et si l’entreprise a respecté les exigences de transparence obligatoires.
Défis de l’Utilisation des Données Personnelles
L’utilisation de données personnelles pour entraîner des modèles d’IA pose plusieurs défis du point de vue de la protection des données. Par exemple, il peut être difficile d’assurer que les droits des personnes concernées soient protégés. Les données personnelles peuvent risquer d’être révélées involontairement à des tiers de manière inattendue si le modèle d’IA ne dispose pas des garanties appropriées.
Réactions et Implications
Au cours de l’été 2024, la DPC a initié et rapidement conclu une enquête sur X pour le traitement présumé illégal des données des utilisateurs afin d’entraîner Grok. En conséquence, X s’est engagé à ne plus traiter les données des utilisateurs de l’UE à des fins d’entraînement de Grok et a supprimé toutes les données déjà traitées à cet effet. Malgré ces mesures, l’enquête actuelle vise à garantir la conformité continue et à traiter les problèmes restants.
Cette enquête ne surprend pas, étant donné la demande urgente de la DPC auprès de la Haute Cour irlandaise l’année dernière, qui a conduit à l’accord de X de continuer à respecter un engagement de suspendre le traitement des données personnelles issues de publications publiques pour l’entraînement de Grok.
Concentration sur la Conformité
Cette enquête semble avoir une portée étendue en ce qui concerne les dispositions du GDPR sur lesquelles elle se concentre. L’accent particulier mis sur la licéité et la transparence signifie qu’elle examinera si X avait une base légale pour traiter les données personnelles dans ce contexte, et si les utilisateurs étaient suffisamment informés que leurs données personnelles seraient utilisées pour entraîner les modèles d’IA.
Il est particulièrement préoccupant que l’utilisation d’informations provenant de publications publiques puisse entraîner l’utilisation de données personnelles de catégories spéciales pour entraîner le modèle d’IA, si celles-ci ne sont pas filtrées correctement. Le GDPR exige que les données de catégories spéciales respectent une condition énoncée dans l’Article 9 pour que leur traitement soit autorisé.
Rôle de la DPC et Perspectives Futures
L’enquête de la DPC s’inscrit dans un effort plus large pour garantir que les technologies d’IA soient développées et déployées en conformité avec les réglementations sur la protection des données. Le gouvernement irlandais a désigné l’IA comme l’une de ses principales priorités dans son programme gouvernemental publié plus tôt cette année. L’Irlande, qui abrite de nombreuses entreprises technologiques internationales et une communauté de start-up technologique florissante, est bien placée pour devenir un centre d’innovation en IA.
Alors que l’innovation avance, la réglementation suit. La DPC a une expérience étendue dans la régulation des activités des entreprises technologiques, et nous sommes donc susceptibles de voir la DPC et d’autres régulateurs irlandais, tels que Coimisiún na Meán, jouer un rôle de premier plan dans la régulation de la Loi sur l’IA de l’UE alors que le nouveau régime entre en vigueur.
Le résultat de cette enquête pourrait influencer les approches réglementaires futures concernant l’IA et la protection des données. Avec la date limite d’implémentation de la Loi sur l’IA de l’UE fixée au 2 août 2025, les obligations couvrant les modèles d’IA à usage général (GPAI), comme le Grok LLM, devront être prises en compte. Cette loi impose des exigences détaillées en matière de documentation et de transparence pour ces modèles, et les fournisseurs doivent mettre en place des politiques conformes à la législation européenne sur le droit d’auteur et les droits connexes.
