Les défis d’articulation entre le RGPD et l’AI Act, avec Etienne Drouard

Cette interview est inspirée de l’article “The Interplay between the AI Act and the GDPR: Part I – When and How to Comply with Both”, publié dans le Journal of AI Law and Regulation, Volume 1 (2024), numéro 2, pp. 164 – 176, rédigé par Etienne Drouard, Olga Kurochkina, Rémy Schlich and Daghan Ozturk

Quels sont les principaux défis d’harmonisation entre l’AI Act et le règlement général sur la protection des données (RGPD) ?

L’harmonisation de l’AI Act avec le RGPD présente plusieurs défis, du fait que tous deux ont pour but de préserver les libertés individuelles, mais à travers des prismes différents. Le RGPD priorise une protection au niveau “micro” des données personnelles, en garantissant que les activités de traitement respectent le droit à la vie privée et le consentement. De son côté, l’AI Act aborde des questions sociétales plus larges, et se concentre sur la réduction des risques systémiques tels que la discrimination, les biais et le profilage injuste par des systèmes d’IA.

Un défi majeur repose sur la compatibilité de ces objectifs : la catégorisation préventive des risques issue de l’AI Act se heurte au principe de responsabilité énoncé dans le RGPD, qui met l’accent sur une conformité plus individualisée et exige que les agents justifient la légalité du traitement des données personnelles. De plus, il existe un défi d’ordre pratique, du fait de la nécessité d’intégrer différents types d’évaluations, telles que l’analyse d’impact relative à la protection des données (AIPD) issue du RGPD et l’analyse d’impact sur les droits fondamentaux prévue par l’AI Act. Ces évaluations peuvent se chevaucher, entraînant des obligations redondantes ou contradictoires pour les organisations développant ou déployant des systèmes d’IA.

Une autre difficulté concerne l’ambiguïté juridique entourant les concepts de pseudonymisation et d’anonymisation appliqués à l’IA. Étant donné la nature itérative et gourmande en données de l’IA, définir à quel moment les données ne sont plus personnelles ou réidentifiables est complexe. Cette incertitude complique les efforts de mise en conformité et crée de potentiels goulots d’étranglement, en particulier lorsque des données pseudonymisées peuvent permettre d’identifier indirectement des individus, ce qui les place sous le champ d’application du RGPD. Ces cadres exigent une collaboration renforcée entre les autorités de protection des données et les autorités chargées de contrôler la mise en œuvre de l’AI Act, afin d’aboutir à une plus grande harmonisation.

Comment les exigences de l’AI Act en matière de systèmes d’IA à haut risque interagissent-elles précisément avec les analyses d’impact prévues par le RGPD ?

Comme je le disais, l’AI Act et le RGPD imposent des formes distinctes d’évaluations des risques qui se recoupent souvent, en particulier pour les systèmes d’IA à haut risque. Conformément au RGPD, les organisations doivent réaliser des analyses d’impact relatives à la protection des données (AIPD) afin d’évaluer les risques liés à la confidentialité des données. De son côté, l’AI Act introduit des analyses d’impact sur les droits fondamentaux, visant spécifiquement les risques de biais, de discrimination et d’autres impacts sociétaux liés aux applications d’IA.

Pour les systèmes d’IA à haut risque, ces analyses visent à garantir que les technologies d’IA soient à la fois conformes au RGPD et socialement responsables selon les critères de l’AI Act. Les AIPD relevant du RGPD se concentrent traditionnellement sur les risques liés à la vie privée et à la protection des données. Pour cela, une analyse doit être effectuée sur la façon dont les opérations de traitement des données peuvent affecter les libertés individuelles, en particulier en cas de violation des données. L’AI Act élargit cette perspective en intégrant une analyse approfondie des biais, mettant au centre de cette analyse les enjeux de droits fondamentaux et imposant des garanties supplémentaires lorsque certaines applications d’IA risquent de nuire aux droits fondamentaux ou à l’intérêt général.

Le défi réside dans la mise en place d’un processus efficace permettant d’harmoniser ces efforts d’analyse sans les dupliquer. Certains experts préconisent un modèle d’analyse combiné, qui répondrait simultanément aux exigences du RGPD et de l’AI Act. Cela pourrait toutefois nécessiter une coopération réglementaire croisée et des lignes directrices simplifiées. En fin de compte, ces analyses doivent être alignées pour favoriser un développement de l’IA digne de confiance, respectant à la fois les normes relatives à la protection de la vie privée et les standards éthiques dans un cadre unifié.

Comment le principe de minimisation des données issu du RGPD s’applique-t-il au développement des systèmes d’IA, en particulier lors de la phase d’entraînement ?

Le principe de minimisation des données issu du RGPD impose que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Appliquer ce principe au développement de l’IA, notamment durant les phases d’entraînement, est complexe en raison des besoins importants en données pour entraîner efficacement les algorithmes. De vastes ensembles de données sont en effet nécessaires pour réduire les biais et améliorer les performances de l’IA. À première vue, ce besoin d’une quantité importante de données semble donc contredire le principe de minimisation.

Pour résoudre cette contradiction, le RGPD prévoit une certaine flexibilité dans l’interprétation de la notion de “nécessité”, reconnaissant que, si de grands jeux de données peuvent être requis au départ, les données utilisées devraient être minimisées après leur collecte. Les développeurs d’IA doivent donc mettre en place des mécanismes de filtrage rigoureux pour éliminer les données inutiles après la phase d’entraînement. Cette approche est en phase avec les recommandations de la CNIL, qui précisent que l’utilisation de grands jeux de données est acceptable à condition que les développeurs anonymisent ou suppriment les données superflues après traitement.

Les exigences de l’AI Act viennent compléter ces principes du RGPD en imposant que les jeux de données utilisés pour les systèmes d’IA à haut risque soient suffisamment représentatifs, exempts d’erreurs et complets. En pratique, le RGPD et l’AI Act encouragent tous deux une approche progressive de la minimisation des données : dans un premier temps, les données sont collectées en grande quantité pour l’entraînement des modèles, puis elles sont réduites par filtrage, anonymisées et supprimées avant le déploiement des systèmes d’IA. Cette approche équilibrée garantit un entraînement de l’IA de grande qualité tout en respectant les exigences fondamentales du RGPD.

Pouvez-vous expliquer ce qu’est la base légale de “l’intérêt légitime” dans le RGPD et son importance dans le développement des systèmes d’IA ?

Dans le cadre du RGPD, “l’intérêt légitime” est l’un des fondements juridiques permettant de traiter des données personnelles. Il nécessite la réalisation d’un test visant à équilibrer l’intérêt du responsable du traitement des données et les droits de la personne dont les données font l’objet du traitement. Lors du développement de modèles d’IA, notamment dans les phases d’apprentissage, il est souvent impossible d’obtenir un consentement libre, spécifique, éclairé et univoque. Il serait en outre peu pratique d’établir une base contractuelle avec les personnes concernées pour l’utilisation de leurs données personnelles. L’intérêt légitime est alors le principal fondement juridique.

Toutefois, son utilisation impose aux développeurs de prouver que le traitement des données est nécessaire pour atteindre leurs objectifs et qu’il ne porte pas une atteinte disproportionnée aux droits des individus. Cet équilibre est particulièrement complexe à évaluer lorsque les données utilisées pour l’entraînement de modèles d’IA sont collectées indirectement (par exemple, quand elles proviennent de sources publiques ou qu’elles sont obtenues via de tiers). De plus, les systèmes d’IA peuvent traiter de grandes quantités de données sans interaction directe avec les individus faisant l’objet du traitement. De ce fait, garantir la transparence et le droit de retrait du consentement, comme l’exige le RGPD, reste un défi majeur.

Malgré ces difficultés, l’intérêt légitime reste essentiel dans le contexte du développement de l’IA, car il confère une certaine souplesse lorsqu’il n’est pas possible d’obtenir un consentement direct. Certains régulateurs, comme l’Information Commissioner’s Office (ICO) au Royaume-Uni [ndlr : l’équivalent de la CNIL], explorent actuellement des adaptations possibles de cette base juridique aux spécificités de l’IA, en envisageant un assouplissement des interprétations les plus strictes. Cependant, en l’absence d’une approche harmonisée au niveau international, le recours à l’intérêt légitime peut engendrer des risques réglementaires, soulignant ainsi la nécessité de lignes directrices claires et adaptées au secteur de l’IA.

Qu’impliquent les systèmes d’IA vis-à-vis du principe de “limitation des finalités” issu du RGPD ?

Le principe de limitation des finalités consacré par le RGPD exige que les données personnelles collectées pour un objectif précis ne soient pas réutilisées à des fins incompatibles avec l’intention initiale. Cela pose un défi majeur pour les systèmes d’IA, dans la mesure où les données d’apprentissage initiales, souvent collectées pour des usages variés et non spécifiés, peuvent être réutilisées à plusieurs reprises pour des applications d’IA qui évoluent.

Dans ce contexte, distinguer les finalités initiales, telles que l’entraînement d’un modèle, et les utilisations ultérieures, comme l’amélioration continue du système par réutilisation des données, peut être particulièrement complexe. Le RGPD prévoit une certaine flexibilité en fonction de critères de compatibilité. Cependant, déterminer si une réutilisation des données est conforme à l’objectif initial est nettement plus délicat dans le cadre de processus itératifs de construction de modèles ou de systèmes d’IA. Par exemple, si des données collectées pour l’entraînement d’un modèle sont ensuite utilisées pour des prises de décision en situation réelle, cela soulève la question de savoir si la finalité reste “compatible” avec celle d’origine.

Les systèmes d’IA opèrent souvent avec une forte abstraction par rapport aux sources de données initiales, rendant encore plus difficile le respect de la conformité. Les régulateurs ont montré une certaine souplesse dans l’interprétation de cette exigence, reconnaissant que le caractère évolutif des applications d’IA peut nécessiter une définition plus large des finalités initiales. Toutefois, des orientations plus précises, adaptées à chaque cas, restent nécessaires pour garantir le respect du RGPD tout en permettant l’innovation en IA, surtout en ces temps d’évolution rapide de ces technologies.

Quelles recommandations feriez-vous aux décideurs et aux régulateurs pour mieux articuler le RGPD et les objectifs de développement de l’IA au sein de l’Union européenne ?

Pour établir un cadre réglementaire équilibré, qui encourage l’innovation tout en protégeant les droits des individus, les politiques devraient étudier plusieurs pistes. Tout d’abord, il est essentiel d’apporter une plus grande clarté réglementaire sur l’articulation entre l’AI Act et le RGPD. Le RGPD a été conçu pour s’appliquer à une grande variété de contextes, mais le développement de l’IA présente des spécificités uniques, comme le traitement massif de données et l’apprentissage continu, qui nécessitent parfois des interprétations dépassant les principes traditionnels de protection des données. L’intégration de lignes directrices spécifiques à l’IA vis-à-vis du RGPD permettrait de mieux répondre à ces enjeux.

Une autre façon d’harmoniser les deux textes serait d’introduire des exigences de conformité adaptées aux différents niveaux de risque des systèmes d’IA, plutôt que d’appliquer les mêmes obligations du RGPD à toutes les technologies d’IA. Par exemple, les applications d’IA à haut risque, notamment dans les domaines de la santé ou de la biométrie, doivent être soumises à des contrôles stricts, tandis que les outils d’IA à faible risque pourraient bénéficier d’exigences allégées. Cette approche graduée permettrait de maintenir un niveau élevé de protection, tout en évitant de freiner l’innovation dans les cas où les risques sont moindres.

Il serait également utile d’harmoniser les analyses d’impact entre le RGPD et l’AI Act, en mêlant des considérations relatives à la protection des données et aux droits fondamentaux dans une évaluation unique et cohérente. Il serait également utile de standardiser les analyses d’impact dans le cadre du RGPD et de l’AI Act, en mêlant des considérations relatives à la protection des données et aux droits fondamentaux dans une évaluation unique et cohérente. Actuellement, les organisations doivent réaliser deux évaluations distinctes. L’harmonisation de ces processus pourrait simplifier la mise en conformité et réduire les redondances.

Par ailleurs, les décideurs politiques devraient davantage promouvoir la coopération entre les autorités de protection des données et les organismes de régulation de l’IA. Cela favoriserait une interprétation commune des principes clés, tels que la minimisation des données et la limitation des finalités, surtout pour les applications d’IA particulièrement évolutives. Cette collaboration aiderait également les entreprises et organisations à mieux naviguer dans les éventuels conflits de juridiction ou d’interprétation entre ces régulations.

Enfin, soutenir des politiques favorisant l’innovation est indispensable. Les décideurs devraient encourager la recherche et le développement en mettant en place des “bacs à sable réglementaires” via lesquels des systèmes d’IA pourraient être testés et développés dans un environnement contrôlé. Ces bacs à sable pourraient permettre aux organisations concernées d’explorer de nouvelles applications d’IA en bénéficiant d’une flexibilité réglementaire temporaire, sous réserve de garanties strictes et d’une supervision adéquate. Via ces efforts combinés, il serait possible de mieux aligner la gouvernance de l’IA avec le RGPD, ouvrant la voie à une intelligence artificielle digne de confiance et éthiquement responsable au sein de l’Union européenne.