Un Vide dans les Règles de l’UE pour l’IA Nécessite une Approche Bien Documentée
Les réglementations de l’Union Européenne sur l’intelligence artificielle (IA) posent des défis complexes pour les organisations qui déploient des systèmes d’IA utilisant des données personnelles sensibles. Avec le Règlement sur l’IA de l’UE régissant la technologie, et le Règlement général sur la protection des données (RGPD) en place pour les données personnelles, les praticiens du droit et les dirigeants d’entreprise doivent s’assurer de la conformité des deux réglementations, surtout avec l’augmentation du traitement de données sensibles par l’IA.
Les défis réglementaires reposent souvent sur la tension fondamentale entre l’équité algorithmique — garantir que les systèmes d’IA traitent chacun de manière égale et sans discrimination — et la protection des données personnelles sensibles.
Voies de Traitement
L’Article 10(5) de la loi sur l’IA permet le traitement de catégories spéciales de données personnelles lorsque cela est strictement nécessaire pour détecter et corriger les biais dans les systèmes d’IA à haut risque. Cependant, cela semble contredire la prohibition générale du RGPD dans l’Article 9 concernant le traitement de telles données sans consentement explicite ou une autre base légale spécifique, comme un intérêt public substantiel.
Au lieu de cela, l’Article 10(5) pourrait créer ce que certains interprètent comme une nouvelle base légale pour le traitement des données sensibles, en étendant les principes de traitement équitable de l’Article 5 pour couvrir la détection ou la correction des biais.
Cependant, les options d’exception de l’Article 9 du RGPD ne contiennent pas d’exception explicite pour la détection ou la correction des biais. Il n’est pas clair non plus si la détection ou la correction des biais peut être considérée comme un intérêt public substantiel reconnu.
Conformité Double
En l’absence d’orientations réglementaires définitives, les organisations doivent envisager une approche globale qui aborde les deux cadres réglementaires. Celles qui mettent en œuvre des systèmes d’IA à haut risque doivent continuer à effectuer des évaluations de risque approfondies qui prennent en compte les exigences de la loi sur l’IA et du RGPD. Cela inclut l’identification des classifications à haut risque, la détermination de la nécessité du traitement de données sensibles pour la détection des biais, la réalisation d’évaluations d’impact sur la protection des données, et la documentation des processus décisionnels et des stratégies d’atténuation des risques.
Les mesures techniques et organisationnelles, essentielles en vertu du RGPD, sont vitales lors du traitement de données personnelles sensibles via une plateforme d’IA. Il est juste de conclure que les autorités de protection des données — les régulateurs individuels de la protection des données situés dans chaque pays de l’UE — continueront à souligner l’importance de solides mesures de cybersécurité.
Les organisations devraient appliquer des mesures de sécurité à la pointe de la technologie, garantir des contrôles d’accès robustes pour le traitement des données sensibles, mettre en œuvre de solides principes de minimisation des données, supprimer les données sensibles rapidement après la correction des biais, et explorer des techniques d’anonymisation lorsque cela est possible.
Lors de la considération des bases légales appropriées pour le traitement des données personnelles sensibles dans une plateforme d’IA, les organisations peuvent avoir besoin d’une approche hybride. Cela implique d’obtenir un consentement explicite lorsque cela est possible et d’explorer l’exception d’intérêt public substantiel lorsque le consentement est impraticable pour documenter comment la détection des biais sert des intérêts sociétaux importants.
En parallèle, il peut également être judicieux de documenter que la correction des biais est cohérente avec le principe de traitement équitable du RGPD, suivant la perspective de l’autorité de protection des données belge.
Cette analyse n’est pas utile si la documentation et la transparence échouent à démontrer la conformité. Les organisations doivent maintenir des registres détaillés des activités de traitement impliquant des données sensibles, documenter les évaluations de nécessité et les analyses de base légale, communiquer clairement et de manière transparente sur l’utilisation des données, et développer des structures de gouvernance supervisant les systèmes d’IA traitant des données sensibles.
Le manque de clarté réglementaire pour l’utilisation de données personnelles sensibles pour l’atténuation des biais dans l’IA représente un défi pour les organisations cherchant à se conformer à la fois à la loi sur l’IA de l’UE et au RGPD. Alors que les organisations attendent des orientations tant nécessaires de la part des législateurs et des autorités de surveillance, elles doivent adopter une approche proactive et bien documentée concernant l’évaluation des risques, la minimisation des données et la transparence.
