Évaluation de la Conformité de l’IA et AIPD du RGPD : Une comparaison

Ecrit par: Enzo Marquet

Traduit par: Zélie Denis

1.  Introduction

La proposition de législation européenne sur l’IA[1] (ou “AIA” pour Artificial Intelligence Act) vise à établir une norme mondiale pour la gouvernance de l’IA, comme le précédent établi pour la protection des données par le Règlement général sur la protection des données (RGPD). Tous les fournisseurs qui exploitent, utilisent ou introduisent des systèmes d’IA au sein de l’Union européenne sont tenus de se conformer à l’AIA. En outre, le champ d’application réglementaire s’étend aux fournisseurs et aux utilisateurs basés dans des pays tiers si les résultats de leurs systèmes d’IA sont utilisés au sein de l’UE.

Avant qu’un système d’IA à haut risque puisse être mis sur le marché, une Évaluation de la Conformité (EC) devrait être effectuée pour garantir la conformité avec l’AIA. De plus, le RGPD est explicitement mentionné dans l’AIA lorsqu’il s’agit de traiter des données à caractère personnel[2], et lorsqu’une Analyse d’impact relative à la protection des données[3] (AIPD) est requise.

Cela signifie qu’il y aura un recoupement entre ces deux évaluations, car un système d’IA à haut risque inclurait presque automatiquement un traitement à risque élevé en vertu du GDPR. Cependant, comment ces deux outils peuvent-ils être comparés l’un à l’autre ?

Dans cet article, l’EC sera explorée dans ses aspects pertinents. Ensuite, les obligations concernant les AIPD seront expliquées. Puis le lien sera fait entre une EC et une AIPD, où sont les recoupements, où sont les différences et y a-t-il des synergies potentielles?

2.  Évaluations de la Conformité

L’AIA exige que les organisations mènent une EC lorsqu’elles développent des systèmes d’IA à haut risque. L’objectif est de vérifier si les exigences de l’AIA sont respectées. Cette EC est obligatoire et doit être approuvée par l’organisme compétent avant que le système puisse être lancé sur le marché[4].

2.1 Systèmes d’IA à haut risque

Pour définir les systèmes d’IA à haut risque, la classification de l’article 6(2) de l’AIA doit être lue conjointement avec l’Annexe III (qui inclut des systèmes tels que l’identification biométrique et la catégorisation, les outils d’application de la loi et de recrutement). Il est important de souligner que la partie responsable n’a pas de ‘pouvoir discrétionnaire’ pour déterminer si une EC doit être réalisée. Soit elle entre dans le champ d’application, et elle est obligatoire, soit elle en sort du champ d’application.

2.2 Champ d’application de l’EC

La partie responsable de l’exécution de l’EC est le ‘fournisseur’[5] du système d’IA à haut risque. Le fournisseur a l’intention de mettre le système sur le marché.

Dans une EC, les fournisseurs doivent déterminer si un système ou un produit respecte les exigences de l’AIA relatives aux systèmes d’IA à haut risque. Ces exigences, dont certaines concernent la protection des données, comprennent notamment l’évaluation de la qualité des jeux de données utilisés – en particulier lorsqu’ils contiennent des données à caractère personnel – ainsi que la documentation technique et la transparence.

La plupart de ces exigences doivent être intégrées dès le début dans la conception du système d’IA, et les fournisseurs doivent en assurer la conformité, même s’ils ne sont pas les concepteurs ou les développeurs du système.

2.3 Quand réaliser une EC ?

L’EC doit être réalisée avant d’introduire le système d’IA sur le marché de l’UE ou de le mettre en service. Cela signifie qu’elle devrait avoir lieu avant que le système d’IA ne soit mis à disposition pour la distribution ou la mise en service, y compris la première utilisation par l’utilisateur du système ou la propre utilisation du fournisseur. Les États membres prévoiront un bac à sable pour l’essai, le développement et la validation des systèmes d’IA. Il n’est pas clair si une EC est requise avant que ce bac à sable puisse être utilisé par le fournisseur.

De plus, si un système d’IA à haut risque subit des modifications importantes qui affectent sa conformité aux exigences relatives aux haut risques ou sa finalité prévue, une EC actualisée est requise.

Les fournisseurs doivent maintenir une surveillance continue de la conformité des systèmes d’IA à haut risque, que ce soit dans la documentation technique ou dans le plan du produit. Les organismes notifiés auditeront périodiquement les évaluations par des tiers afin de garantir le respect du système de gestion de la qualité.

3. Analyse d’impact sur la protection des données

Les AIPD sont obligatoires lorsque le traitement de données à caractère personnel utilisant une (nouvelle) technologie est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Comme le prévoit l’AIA, les Utilisateurs (semblables aux responsables du traitement au sens du GDPR) de systèmes d’IA à haut risque doivent utiliser les informations fournies en vertu de l’article 13 pour se conformer à leur obligation d’effectuer une AIPD en vertu de l’article 35 du RGPD.[6] Il existe un lien évident entre les deux règlements.

3.1 Activité de traitement à haut risque

Une AIPD est lancée lorsqu’une activité de traitement est jugée susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Dans ce cas, le responsable du traitement doit procéder à une évaluation.

L’EDPB et les autorités de contrôle ont dressé des listes, par État membre, des activités de traitement qui requièrent toujours la réalisation d’une AIPD. Les activités de traitement qui utilisent un système d’IA tel que défini dans l’AIA sont incluses dans ces listes : évaluation, profilage et prise de décision automatisée.

Toutefois, à la différence de l’EC, le responsable du traitement a le pouvoir discrétionnaire de déterminer si une AIPD est nécessaire et de la réaliser.

3.2  Portée d’une AIPD

Dans le cadre d’une AIPD, le responsable du traitement doit évaluer comment une activité de traitement peut affecter les droits et libertés des personnes. Cela implique de prendre en compte des facteurs tels que la nature, la portée, le contexte, la finalité, la nécessité et la proportionnalité du traitement :

1. Identifier les risques : Identifier les risques potentiels pour les droits et libertés des personnes résultant d’une activité de traitement de données spécifique.
2. Évaluer les risques : Évaluer la gravité et la probabilité que ces risques se concrétisent, en tenant compte de la nature des données et du contexte du traitement.
3. Atténuer les risques : Déterminer et mettre en œuvre les mesures appropriées pour atténuer ou réduire les risques élevés identifiés à un niveau acceptable, en garantissant la protection des données et la conformité avec les réglementations pertinentes.

3.3 Quand réaliser une AIPD ?

Cette évaluation doit être réalisée avant que le traitement effectif ait lieu et lorsque l’activité de traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes. Le responsable du traitement doit déterminer si c’est le cas et conserver l’AIPD pour agir conformément au principe de responsabilité[7].

4 Comparaison

4.1 Différences

Une EC vise à assurer la conformité avec des exigences légales spécifiques, qui sont considérées comme des mesures d’atténuation pour les systèmes à haut risque. L’objectif principal de l’EC est de garantir le respect des mesures d’atténuation ou des exigences imposées par la loi. Une EC approuvée est nécessaire pour entrer sur le marché.

Une AIPD a un objectif légèrement différent : elle sert d’outil de responsabilisation en exigeant des responsables de traitement qu’ils évaluent et prennent des décisions en fonction des risques. Il oblige également à rendre compte du processus de prise de décision. L’objectif premier de l’AIPD est de rendre les responsables de traitement responsables de leurs actes et de garantir une protection plus efficace des droits des personnes. Le responsable du traitement est ‘libre’ de décider si et comment il atténuera les risques.

Le terme de fournisseur ne se recoupe pas avec celui de responsable du traitement ou de sous-traitant. Alors qu’un fournisseur doit réaliser l’EC, c’est au responsable du traitement qu’il incombe de réaliser l’AIPD. Toutefois, il est probable que les fournisseurs au sens de l’AIA seront les sous-traitants au sens du RGPD.

4.2 Recoupements

Chaque fois qu’un système d’IA à haut risque implique le traitement de données à caractère personnel, une AIPD sera presque certainement requise. Les deux processus impliquent l’évaluation des risques liés à des systèmes spécifiques et ont des exigences distinctes. Afin d’éviter un travail redondant ou les conclusions contradictoires, il est probable que l’EC puisse constituer la base de l’AIPD du responsable du traitement. Si le fournisseur opère également en tant que responsable du traitement au sens du RGPD, alors l’AIPD et l’EC seront réalisées par la même entité, se renforçant mutuellement.

5 Conclusion

Bien que l’EC et l’AIPD aient des objectifs distincts, ils s’alignent de manière significative lorsque le système d’IA à haut risque traite des données à caractère personnel. Pour les systèmes d’IA à haut risque, une EC est obligatoire et doit être approuvée avant l’entrée sur le marché. Lorsque ce système d’IA traite également des données à caractère personnel, il est très probable qu’une AIPD soit obligatoire. Si le fournisseur qui est également responsable du traitement choisit de ne pas effectuer d’AIPD, son EC peut être rejetée, ce qui signifie que son système d’IA n’est pas autorisé à entrer sur le marché. L’AIA en tant que telle limite le pouvoir discrétionnaire des fournisseurs agissant également en tant que responsables de traitement pour déterminer s’ils effectueront ou non une AIPD.

En outre, pour les responsables du traitement qui utilisent des fournisseurs de systèmes d’IA comme sous-traitants, l’EC constitue un point de départ pour la documentation technique requise pour leur AIPD et l’atténuation des risques.

Toutefois, un outil n’est jamais conforme en soi et une mise en œuvre correcte sera toujours nécessaire.

[1] COM/2021/206 final, Proposition de Règlement de Parlement européen et du Conseil établissant des règles harmonisées concernant l’Intelligence Artificielle (legislation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union.

[2] Article 10(5) Proposition de législation sur l’IA.

[3] Article 29(6) Proposition de législation sur l’IA.

[4] Considérant 62 AIA.

[5] Article 3(2) AIA.

[6] Article 29(6) AIA.

[7] Article 5(2) RGPD.