L’EDPB a répondu à l’autorité irlandaise en clarifiant l’anonymat des modèles d’IA, la légitimité de l’utilisation des données personnelles pour leur développement tout en laissant une marge de manœuvre aux autorités nationales de protection des données.
L’agence européenne de protection des données a précisé dans quelles circonstances les modèles d’IA en développement peuvent accéder aux données personnelles dans un avis qui définit un test en trois étapes pour déterminer l’intérêt légitime d’une telle utilisation.
L’avis publié cette semaine par le Comité européen de la protection des données (EDPB) – l’organisme de coordination des régulateurs nationaux de la vie privée dans l’ensemble de l’UE – fait suite à une demande de l’autorité irlandaise de protection des données en novembre, demandant des éclaircissements sur la possibilité d’utiliser des données personnelles dans la formation à l’IA. sans enfreindre le droit de l’UE. La DPA irlandaise agit comme un organisme de surveillance pour bon nombre des plus grandes entreprises technologiques américaines, dont le siège est à Dublin.
Réaffirmer l’anonymat et « l’intérêt légitime » des modèles
L’avis souligne que pour qu’un modèle d’IA soit considéré comme véritablement anonyme, la probabilité d’identifier des individus grâce aux données doit être « insignifiante ».
L’EDPB a également établi un cadre pour déterminer quand une entreprise peut considérer qu’elle a un « intérêt légitime », lui donnant une base juridique valable pour traiter des données personnelles afin de développer et de déployer des modèles d’IA sans obtenir le consentement explicite des individus.
Le test en trois étapes pour évaluer l’intérêt légitime nécessite d’identifier l’intérêt, d’évaluer si le traitement est nécessaire pour y parvenir et de garantir que l’intérêt ne prévaut pas sur les droits fondamentaux des individus. L’EDPB a également souligné l’importance de la transparence, en garantissant que les individus soient informés de la manière dont leurs données sont collectées et utilisées.
L’EDPB a souligné dans son avis qu’il incombe en fin de compte aux autorités nationales de protection des données d’évaluer, au cas par cas, si le RGPD a été violé lors du traitement des données personnelles pour le développement de l’IA.
Les modèles développés avec des données extraites et traitées illégalement ne peuvent pas être déployés, précise l’avis.
Réactions de la société civile et de l’industrie
Cette décision a été saluée par la Computer & Communications Industry Association (CCIA), qui représente les grandes entreprises technologiques, y compris celles qui développent des modèles d’IA. « Cela signifie que les modèles d’IA peuvent être correctement entraînés à l’aide de données personnelles. En effet, l’accès à des données de qualité est nécessaire pour garantir l’exactitude des résultats de l’IA, atténuer les biais et refléter la diversité de la société européenne », a déclaré Claudia Canelles Quaroni, responsable politique principale de CCIA Europe. Cependant, la CCIA a également appelé à plus de clarté juridique pour éviter de futures incertitudes.
Les défenseurs des droits numériques ont cependant exprimé leurs inquiétudes, notamment concernant l’anonymat des modèles d’IA. « Bien que cela puisse sembler plausible en théorie, il est irréaliste d’affiner une telle distinction au seuil fixé précédemment, ce qui crée des défis importants pour garantir une protection efficace des données », a déclaré Itxaso Dominguez de Olazabal, conseiller politique à l’EDRi.
Dominguez de Olazabal a également souligné le large pouvoir discrétionnaire accordé aux autorités nationales, avertissant que cela pourrait conduire à une application incohérente. « Ce manque d’alignement s’est déjà révélé problématique dans le cadre du RGPD, menaçant la protection efficace des droits fondamentaux. L’harmonisation est essentielle pour garantir le respect universel des droits numériques.
Regard vers l’avenir : lignes directrices pour le web scraping
D’autres lignes directrices sont attendues de la part de l’EDPB pour répondre aux problèmes émergents, tels que le web scraping – l’extraction automatisée de données de sites Web, notamment de textes, d’images et de liens, pour former des modèles d’IA et améliorer leurs capacités. Ces précisions supplémentaires seront cruciales dans la mesure où le développement de l’IA continue de s’appuyer fortement sur de grandes quantités de données.
