⏱️ : 5 min – Par Constance Daoust, consultante juriste protection des données.
L’Intelligence Artificielle (IA) est aujourd’hui omniprésente dans la société. Le monde de l’entreprise n’échappe pas à cette tendance croissante.
Selon l’OCDE, plus de 21 % des organisations ont déjà mis en place ou planifient activement un système d’IA (SIA) 1.
Avec une croissance annoncée de plus de 1400 % sur les sept prochaines années, les systèmes d’intelligence artificielle n’ont pas fini de faire parler d’eux.
L’IA peut offrir de nombreux avantages en entreprise, allant du tri des e-mails à la génération de contenu (texte, audio, etc.).
-
La protection des données à caractère personnel
Qui dit IA, dit forcément traitement de données. Les données sont en effet nécessaires à l’entraînement et à l’utilisation d’un SIA. Selon la finalité recherchée et l’utilisation qui est faite du SIA, il est possible qu’il participe à un ou plusieurs traitements de données à caractère personnel au sein de votre structure.
Dans ce cadre, vous devrez vous assurer du respect des obligations du RGPD, et notamment :
-
Déterminer le rôle de chaque acteur participant au traitement des données
Un traitement de données est réalisé lorsqu’une opération intervient sur la donnée, quel que soit le procédé utilisé (consultation, transfert, modification, consultation, etc.). Par conséquent, il est facile de déterminer lorsqu’un SIA permet de réaliser un traitement de données à caractère personnel.
En revanche, déterminer quel est le rôle de chaque acteur dans le cadre du traitement peut s’avérer plus difficile. Au regard de la complexité d’un tel système, il peut s’avérer difficile de déterminer précisément les responsabilités de chacun… Pour faciliter cette analyse, la CNIL a récemment publié ses fiches pratiques sur l’IA.
Vous devrez par exemple vous demander quel est le rôle du fournisseur du SIA dans votre traitement ? Est-ce un sous-traitant au sens du RGPD ? Un responsable de traitement ? Ou encore un co-responsable ?
Identifier ce rôle vous aidera à comprendre les responsabilités liées au traitement des données personnelles.
-
Inscription du système IA au registre des traitements
Lorsque votre SIA participe à la mise en œuvre d’un traitement de données personnelles, il doit être enregistré au registre en tant qu’outil ou support des données.
De même, il vous faudra mentionner les catégories des destinataires des données. Il faudra mentionner notamment le fournisseur d’audit système si ce dernier est considéré comme sous-traitant.
Si ce système contribue à la mise en œuvre d’un traitement à part entière, il fera alors partie d’une fiche de traitement dédiée au registre.
-
Informer les personnes concernées
Les mentions d’information à destination des personnes concernées devront également préciser qu’un SIA est utilisé dans le cadre d’un ou plusieurs traitements mis en œuvre par votre structure afin d’assurer votre transparence.
Si ce système permet de prendre des décisions ayant un impact sur les personnes, vous devrez en outre garantir une transparence renforcée en vertu de l’article 22 du RGDP.
N.B : Cette obligation de transparence sera d’ailleurs renforcée dans le futur Règlement IA. Pour plus d’informations, consultez notre « guide L’IA Act en bref ».
-
Rédaction ou mise à jour d’une Étude d’impact sur la vie privée (EIVP)
L’usage de ces systèmes peut nécessiter de modifier une EIVP existante, ou bien d’en réaliser une nouvelle. Selon les cas, vous devrez inclure dans le périmètre de votre EIVP cet outil, en ajoutant les mesures de sécurité propres à ce système, les risques potentiels pour les personnes concernées, etc.
Une EIVP est un document vivant. Ce document évolue avec les changements de vos pratiques en matière de traitement des données. L’utilisation d’un SIA pourra donc faire naître le besoin de réaliser une EIVP, ou d’ajuster une ou plusieurs EIVP existantes.
Pour Rappel : Une Étude D’Impact sur la Vie Privée (EIVP) est nécessaire dès lors qu’un traitement présente des risques importants pour les droits et libertés. Ce traitement doit répondre a minima à deux des critères établis par le G29. Il doit également faire partie de la liste de traitements nécessaires soumis à l’obligation de rédiger une EIVP de la CNIL. Cette étude doit retracer l’ensemble des points clés du RGPD en matière de protection des données. Elle doit également étudier les risques pour les personnes à l’aune de l’ensemble des mesures décrites.
-
Sensibiliser à l’utilisation des outils d’IA générative
Si leur utilisation est largement tolérée aujourd’hui, il est important de rappeler les bonnes pratiques à vos salariés / agents en matière de protection des données.
Il est notamment important de rappeler à l’ensemble des salariés / agents l’importance de ne pas utiliser de données personnelles pour générer du contenu sur ces outils. Par exemple : Si vous utilisez cet outil pour rédiger une réponse de mail, ne précisez pas l’identité et les coordonnées de l’interlocuteur, ou sa fonction, rajoutez ces éléments directement dans votre e-mail.
L’IA présente des avantages, mais elle doit être mise en œuvre de manière « raisonnée » et encadrée au sein d’un organisme.
Première étape : Rapprochez-vous de votre RSSI et/ou DPO pour faire part de votre besoin !
Si vous souhaitez en savoir plus, n’hésitez pas à contacter nos équipes RGPD.