Un point sur l’intelligence artificielle et le traitement de données personnelles

Avant d'utiliser l'intelligence artificielle (« IA ») pour traiter de données personnelles au sein de votre entreprise, nous vous encourageons à garder à l’esprit le moyen mnémotechnique pensé par notre collègue Richard Nicholas et à vérifier les étapes suivantes de « A » à « I » (en anglais « AI – Artificial Intelligence):

A pour "Automated Decision Making" (prise de décision automatisée). Utiliserez-vous l'IA pour soumettre des personnes à des décisions automatisées (par exemple, des candidatures d'emploi, l'éligibilité à une assurance, etc.) ? Si tel est le cas, et que cela emporte des effets juridiques ou autres effets importants, les personnes en question auront le droit légal de s'opposer à cette prise de décision automatisée, en vertu de l'article 22 du Règlement Général sur la Protection des Données du Royaume-Uni (RGPD Britannique)

B pour "Basis" (base). Quelle est votre base légale justifiant de votre traitement de données personnelles ? Si vous traitez des données personnelles, vous devez identifier une base légale appropriée, telle que le consentement ou un intérêt légitime. Sur quelle base traitez-vous de données à l'aide de l'IA ? Avez-vous obtenu le consentement préalable des personnes concernées ? Est-ce en vertu d'un contrat, ou bien avez- vous identifié un intérêt légitime ou une autre base légale ?

C pour "Controller" (Responsable du Traitement) - Êtes-vous le Responsable du Traitement de ces données ou le Sous-Traitant des données ? Si vous développez une IA générative à l'aide de données personnelles, vous avez des obligations en tant que Responsable du Traitement de ces données (Controller). Si vous utilisez ou adaptez des modèles développés par un tiers, vous pourriez être considéré comme un Responsable du Traitement (Controller) – indépendant ou conjoint - ou encore comme un Sous-Traitant (Processor). Afin d’évaluer vos obligations légales et déterminer la base légale ou contractuelle de traitement, il vous faut déterminer quelle est votre relation avec la personne dont les données sont traitées.

D pour "Data Protection Impact Assessment" ou « DPIA » (Analyse d'impact relative à la protection des données ou « AIPD ») ? Vous devez évaluer les risques pouvant naitre d’un traitement de données personnelles et atténuer les risques identifiés à l'aide d'une AIPD, avant de commencer à traiter des données personnelles. Votre AIPD devra être mise à jour au fur et à mesure que le traitement évolue.

E pour "Explicit" (explicite) - avez-vous informé les personnes dont les données sont traitées ? Vous devez être explicite sur le traitement, en rendant les informations sur le traitement accessibles au public, sauf si une exemption s'applique. À moins que cela nécessite de déployer des efforts disproportionnés, vous devez également communiquer ces informations directement aux personnes dont les données sont traitées.

F pour "Fulfil" (remplir/atteindre) - votre utilisation des données atteint-elle le but que vous aviez déclaré rechercher en les traitant ? Vous ne devez collecter que les données qui sont strictement adéquates pour remplir votre objectif déclaré. Les données doivent être pertinentes et limitées à ce qui est nécessaire pour atteindre cette finalité.

G et H pour "Guard" (protection) contre les risques d’atteinte à la sécurité "Harmful" (nuisibles) ? Il s'agit-là de la sécurité des données. Considérez les différents risques de cyber-attaque et l'utilisation, par exemple, de plug-ins de chat GPT (Plug-in – une extension qui permet à l'IA d'accéder à des informations récentes ou d'utiliser des services tiers, par exemple connecter Chat GPT avec une société externe pour permettre à ses utilisateurs d’accomplir une tâche, comme planifier un voyage ou faire des achats).

I pour "Individual rights" (droits individuels) Vous devez être en mesure de répondre aux demandes d'accès et/ou de rectification de leurs données (ou d’exercice d'autres droits individuels) par des personnes dont les données ont été traitées. Comment allez-vous répondre aux demandes de droit d’accès qui impliquent le système d'IA que vous utilisez ?

Article traduit par notre groupe français, sur la base d’un article original écrit par notre expert en droit de la protection des données et des nouvelles technologies, Richard Nicholas.

N’hésitez pas à nous contacter pour tout conseil juridique dans ce domaine.