DPO, oubliez L’AI Act… mais apprenez à débusquer L’IA
Patrick Blum, Délégué général de L'AFCDP.
Créée en 2004, l’association française AFCDP ( Association Française des Correspondants à la Protection des Données à caractère Personnel) a pour rôle principal de promouvoir et de défendre les droits liés à la protection des données à caractère personnel.
Dans l’avalanche de textes européens du « paquet numérique » concocté par l’union européenne ( DMA, DSA, DGA, DA, DORA, NIS2…), le dernier en date soulève beaucoup d’inquiétudes chez les Délégués à la protection des données ( DPD/ DPO). Il y a de quoi, car le « Règlement concernant l’intelligence artificielle » ( RIA ou « AI Act » ) tout juste adopté semble écraser le RGPD en termes de lourdeur avec ses 190 pages dont 20 d’annexes ( 118 pour le RGPD), ses 180 considérants ( contre 173) et ses 113 articles ( contre 99) sans compter ses 12 annexes. Toutefois, ce RIA n’est peut- être pas aussi inquiétant qu’il y parait. Même s’il introduit une pléthore de nouveaux concepts ( l’article 4 compte 68 définitions), c’est bien d’abord aux « fournisseurs » de systèmes D’IA qu’il s’adresse ( le mot est cité 499 fois) avec une classification des produits selon une échelle de risques ( pratiques interdites, IA à haut risque) et des obligations de conformité des produits, le tout encadré par des autorités de surveillance du marché ( citées 155 fois). Le RIA semble donc d’abord destiné à réguler le marché des produits d’intelligence artificielle proposés aux organismes « déployeurs » .
Les DPO sont- ils concernés par le RIA/ AI Act ?
Très vraisemblablement, mais probablement pas dans les mêmes proportions que pour le RGPD. D’ailleurs, le RIA cite fréquemment les données à caractère personnel ( 79 fois) et leur protection ( 62). Mais il renvoie aussi régulièrement au RGPD ( cité 30 fois).
Dans ce contexte, L’AFCDP recommande aux DPD/ DPO de s’intéresser sans délai aux projets comportant des systèmes D’IA. Mais cela s’inscrit dans les mêmes démarches que pour tous les traitements portant sur des données personnelles. Dans le passé, les DPD/ DPO ( et avant eux les CIL, correspondants informatique et libertés) ont souvent eu à se pencher sur de nouvelles technologies dont ils n’étaient pas forcément des experts. Les DPD/ DPO ont dû apprendre à « décortiquer » des systèmes de gestion des ressources humaines ( SIRH), des systèmes de gestion de la relation client ( GRC/ CRM), des outils de géolocalisation, des systèmes de caméras augmentées et de vidéosurveillance, des logiciels de ciblage, de notation ( « scoring » ), etc., pour comprendre les finalités de ces traitements, identifier les données traitées, analyser les flux de ces données, et s’assurer de la transparence ( mentions d’information, droit des personnes). De la même façon, le temps est venu pour les DPD/ DPO de se pencher sur les outils D’IA déployés ou en cours de déploiement au sein de leurs organismes.
Nos recommandations aux DPD/ DPO : soyez pragmatiques, passez plus de temps sur vos traitements que sur le RIA/ IA Act :
1 — Formez- vous à L’IA. Intégrez à vos compétences une bonne compréhension des concepts et des utilisations génériques de l’intelligence artificielle, de leurs applications, de leurs limites et de leur utilisation de données personnelles. Profitez- en pour intégrer les « Fiches pratiques IA » publiées par la CNIL.
2 — Intégrez à votre cartographie des traitements mis en oeuvre dans votre organisme, ceux qui font recours à une IA, sans oublier de détecter les utilisations individuelles ou en marge des systèmes d’information « officiels » .
3 — Identifiez sans tarder les traitements qui pourraient faire appel à des IA à risque « inacceptable » , car celles- ci devront être mises hors service au plus tard 6 mois après l’entrée en vigueur du règlement. Donc probablement début 2025.
4 — Intégrez les usages de L’IA à vos missions habituelles comme pour tout traitement comportant des données personnelles à commencer par leur inscription au registre des traitements.
5 — Faites la promotion de la protection des données dès la conception : si votre organisme développe lui- même des systèmes d’intelligence artificielle, assurez- vous que les principes du RGPD sont bien pris en compte dès les phases de développement. 6 — Si vous y tenez, lisez le RIA. Mais surtout, ne restez pas dans l’isolement, partagez vos interrogations et vos bonnes pratiques avec d’autres DPD/ DPO, par exemple en rejoignant L’AFCDP, et notamment son groupe de travail dédié à L’IA.