Aller au contenu
Regard sur l'actualité

L'IA et la conformité aux lois sur la protection des données : Un guide pour les organisations

14-08-2024

Accueil / Perspectives / L'IA et la conformité aux lois sur la protection des données : Un guide pour les organisations

L'utilisation d'outils d'intelligence artificielle (IA) est de plus en plus répandue dans les contextes organisationnels et personnels. La gamme d'outils d'IA et les types d'informations qu'ils traitent se développent rapidement. 

Cet article explore les considérations clés que les organisations doivent garder à l'esprit lorsqu'elles utilisent des outils d'IA pour assurer la conformité avec les lois sur la protection des données. 

Lois britanniques sur la protection des données 

Le cadre britannique de protection des données comprend les éléments suivants : 

Il est important de noter que le Règlement général sur la protection des données de l'UE (UE 2016/679) a un effet extraterritorial et peut également s'appliquer aux contrôleurs de données et aux sous-traitants britanniques qui opèrent au sein de l'UE. 

Outils et données d'IA 

Ces dernières années, nous avons assisté au développement d'outils d'IA qui s'appuient fortement sur les données personnelles. Par exemple, Alexa d'Amazon, largement utilisé par les résidents du Royaume-Uni, recueille régulièrement des quantités substantielles de données, notamment : 

  • Informations sur le paiement 
  • Localisation en direct 
  • Registres des demandes de communication, qui peuvent inclure des données à caractère personnel 
  • Historique des achats 
  • Habitudes d'achat 

De même, Meltwater, un outil d'intelligence artificielle pour les médias, les réseaux sociaux et les consommateurs, génère des informations sur le comportement des clients en traitant des données provenant de diverses sources, y compris les discussions en direct, les comptes de médias sociaux et les historiques d'achat. 

Alors que les outils d'IA évoluent rapidement, la collecte de données fait partie intégrante de leur fonction. Il est presque certain que les données collectées par certains outils d'IA incluront des données à caractère personnel, des données de catégories spéciales et, potentiellement, des données concernant des enfants. 

Dans ce contexte, il est essentiel que les organisations se conforment aux lois sur la protection des données. 

L'orientation de l'IA 

L'Information Commissioner's Office (ICO) a publié des orientations sur l'IA et la protection des données (le "Guidage par l'IA) pour aider les organisations à interpréter les lois sur la protection des données applicables à l'IA. Le guide sur l'IA formule également des recommandations sur les bonnes pratiques en matière de mesures organisationnelles et techniques visant à atténuer les risques que l'IA pourrait présenter pour les personnes. 

L'ICO définit l'IA de manière large, la reconnaissant comme un terme industriel standard englobant diverses technologies. L'un des principaux domaines de l'IA est l'"apprentissage automatique", qui consiste à utiliser des techniques informatiques pour créer des modèles statistiques à partir de vastes ensembles de données. Ces modèles sont ensuite utilisés pour faire des prédictions ou des classifications sur de nouvelles données, et une grande partie de l'intérêt actuel pour l'IA tourne autour de l'apprentissage automatique. 

Les lignes directrices sur l'IA traitent donc principalement des risques et des défis en matière de protection des données posés par l'IA basée sur l'apprentissage automatique. Toutefois, elles reconnaissent également que d'autres formes d'IA peuvent présenter des défis supplémentaires en matière de protection des données. 

À qui s'applique la directive sur l'IA ? 

Les lignes directrices sur l'IA s'adressent à deux grands publics : 

  1. Ceux qui mettent l'accent sur la conformitéy compris : 
  • Délégués à la protection des données 
  • Conseiller général 
  • Gestionnaires de risques 
  • Cadres supérieurs 
  • Les auditeurs de l'ICO, qui utiliseront le guide de l'IA pour informer leurs fonctions d'audit dans le cadre de la législation sur la protection des données. 
  1. Spécialistes de la technologiey compris : 
  • Développeurs d'apprentissage automatique et scientifiques des données 
  • Développeurs/ingénieurs en logiciels 
  • Gestionnaires de la cybersécurité et des risques informatiques 

Cet article se concentre sur les aspects des lignes directrices relatives à l'IA qui intéressent les personnes chargées de la mise en conformité. Toutefois, les organisations sont invitées à prendre en considération l'ensemble de la directive sur l'IA. 

Principaux aspects de la directive sur l'IA 

Le guide sur l'IA est vaste et détaillé. Nous soulignons ci-dessous les points clés pour les organisations qui utilisent l'IA. 

Quelles sont les implications de l'IA en matière de responsabilité et de gouvernance ? 

Les organisations doivent 

  • Aligner leurs structures internes, leurs rôles et responsabilités, leurs exigences en matière de formation, leurs politiques et leurs incitations sur leurs stratégies de gouvernance et de gestion des risques en matière d'IA. 
  • Démontrer en permanence comment ils ont pris en compte la protection des données dès la conception et les obligations par défaut. 
  • Veiller à ce que leurs capacités de gouvernance et de gestion des risques soient proportionnées à leur utilisation de l'IA. 
  • Élaborer un cadre général de responsabilité qui servira de référence pour démontrer leur responsabilité en vertu des lois sur la protection des données, et sur lequel ils pourront fonder leur approche de la responsabilité en matière d'IA. 

Comment assurer la transparence de l'IA ? 

  • Les organisations sont tenues d'être transparentes sur la manière dont elles traitent les données à caractère personnel dans les systèmes d'IA afin de se conformer au principe de transparence. 
  • Avant de commencer tout traitement de données à caractère personnel, une organisation doit tenir compte de ses obligations de transparence à l'égard des personnes dont elle a l'intention de traiter les données à caractère personnel. 
  • L'organisation doit inclure dans ses informations sur la vie privée des détails sur les finalités du traitement des données à caractère personnel, les périodes de conservation de ces données et les entités avec lesquelles elles seront partagées. 
  • Si les données sont collectées directement auprès des personnes, les informations relatives au respect de la vie privée doivent être fournies au moment de la collecte, avant qu'elles ne soient utilisées pour former un modèle ou appliquer ce modèle. Si les données sont collectées auprès d'autres sources, les informations relatives à la vie privée doivent être fournies dans un délai raisonnable, au plus tard un mois. 

Comment garantir la légalité de l'IA ? 

  • Pour se conformer au principe de légalité, une organisation doit décomposer chaque opération de traitement distincte, en identifiant la finalité et une base légale appropriée pour chacune d'entre elles. 
  • Chaque fois que des données à caractère personnel sont traitées, que ce soit pour former un nouveau système d'intelligence artificielle ou pour faire des prévisions à l'aide d'un système existant, l'organisation doit disposer d'une base appropriée pour le faire. 

Que doivent savoir les organisations en matière d'équité et d'exactitude statistique ? 

  • La précision statistique fait référence à la proportion de réponses correctes et incorrectes produites par un système d'IA. 
  • Les systèmes d'IA doivent être suffisamment précis sur le plan statistique pour que le traitement des données à caractère personnel soit conforme au principe de loyauté. 
  • Pour se conformer au principe de loyauté, les organisations doivent veiller à ce que les données à caractère personnel soient traitées d'une manière à laquelle les personnes s'attendent raisonnablement et non d'une manière ayant des effets négatifs injustifiés sur elles. 
  • Les organisations doivent éviter de traiter des données à caractère personnel d'une manière indûment préjudiciable, inattendue ou trompeuse pour les personnes concernées. L'amélioration constante de la précision statistique des résultats d'un système d'IA est un moyen de garantir le respect du principe de loyauté. 

Comment les organisations doivent-elles évaluer la sécurité et la minimisation des données dans l'IA ? 

  • Lorsqu'elles traitent des données à caractère personnel, les organisations doivent assurer des niveaux de sécurité appropriés contre le traitement non autorisé ou illégal, la perte accidentelle, la destruction ou les dommages. 
  • Les mesures de sécurité adoptées par une organisation doivent être proportionnées au niveau et au type de risques découlant d'activités de traitement spécifiques. 
  • Pour sécuriser les données relatives à la formation, les équipes techniques doivent enregistrer et documenter tous les mouvements et le stockage de données à caractère personnel. En outre, tout fichier intermédiaire contenant des données personnelles qui ne sont plus nécessaires doit être supprimé. 
  • Que les systèmes d'IA soient développés en interne, en externe ou par une combinaison des deux, les organisations doivent les évaluer en fonction des risques de sécurité. 
  • Le personnel doit disposer des compétences et des connaissances nécessaires pour faire face aux risques de sécurité. 

Comment les organisations garantissent-elles les droits individuels dans leurs systèmes d'IA ? 

  • Les lois sur la protection des données accordent aux individus plusieurs droits concernant leurs données personnelles. Dans le contexte de l'IA, ces droits s'appliquent chaque fois que des données à caractère personnel sont utilisées à n'importe quel stade du développement et du déploiement d'un système d'IA. 
  • Le droit de rectification, par exemple, peut s'appliquer aux données à caractère personnel utilisées pour la formation d'un système d'intelligence artificielle. Plus l'exactitude de ces données est importante, plus les organisations doivent s'efforcer de vérifier leur exactitude et de les rectifier si nécessaire. 
  • Les organisations peuvent également recevoir des demandes d'effacement de données à caractère personnel contenues dans les données de formation. Bien que le droit à l'effacement ne soit pas absolu, ces demandes doivent être prises en considération, à moins que les données ne soient traitées en vertu d'une obligation légale ou d'une mission publique. 
  • Pour garantir l'équité et la transparence, les organisations doivent informer les personnes si leurs données personnelles sont utilisées pour former un système d'IA. Cette information doit être fournie au moment de la collecte des données. 

Contactez-nous - Avocats spécialisés dans l'IA et la protection des données 

Sali Zaher, Litiges commerciaux peut apporter son aide en cas de litiges liés à l'IA et à la protection des données. Pour toute question sur ce sujet, veuillez contacter Sali Zaher par courrier électronique à l'adresse suivante S.Zaher@rfblegal.co.uk ou par téléphone au 020 7467 5766

Auteur

image de la personne clé

Sali Zaher

Avocat associé

Téléphone :

020 7467 5766

Courriel

s.zaher@rfblegal.co.uk
logo linkedin LinkedIn

Nous contacter

    Le cabinet dispose d'avocats exceptionnels à tous les niveaux. Lorsque vous faites appel à un avocat de RFB, vous sentez toute la force de l'équipe qui vous soutient.

    The Legal 500 (en anglais)

    (2024)

    RFB offre des services du cercle magique sans pratiquer les tarifs du cercle magique.

    The Legal 500 (en anglais)

    (2024)

    Il s'agit de l'équipe d'avocats la plus dévouée, la plus motivée et la plus passionnée avec laquelle j'ai eu le plaisir de travailler.

    The Legal 500 (en anglais)

    (2024)

    Ronald Fletcher Baker fournit des services de contentieux immobilier extrêmement déterminés et motivés, avec une attitude axée sur le client. L'équipe de contentieux est bien motivée, structurée et superbement supervisée.

    The Legal 500 (en anglais)

    (2024)

    Très compétents, bien informés et enthousiastes, ils se mettent en quatre pour leurs clients, bien plus que la moyenne des cabinets. J'aime travailler avec eux, car ils ont souvent des idées et des angles inhabituels pour résoudre un problème. Ils travaillent bien en interne et complètent les avocats pour assurer une représentation efficace en matière de litiges immobiliers et de litiges entre propriétaires et locataires.

    The Legal 500 (en anglais)

    (2024)

    Très sympathique et serviable. Temps de réponse rapide et clarté de chaque étape. Il m'a proposé des options et des alternatives et m'a donné l'impression que j'étais en mesure d'examiner mes choix et de prendre des décisions en connaissance de cause.

    The Legal 500 (en anglais)

    (2024)

Prenons les choses en main

Prenez contact avec nous pour obtenir des solutions juridiques inégalées. Notre équipe dévouée est prête à vous aider. Prenez contact avec nous dès aujourd'hui et faites l'expérience de l'excellence dans chaque interaction.

Appelez-nous Envoyez-nous un courriel

Formulaire de contact
Si vous souhaitez qu'un membre de notre personnel vous contacte, veuillez remplir le formulaire ci-dessous.

Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.
Quel bureau de l'appel d'offres souhaitez-vous contacter ?

Perspectives connexes

Explorez les dernières informations juridiques de RFB. Restez informé grâce à des analyses d'experts qui vous guident dans le paysage juridique dynamique.

Visitez la section Insights