RGPD vs IA : Les défis de la protection des données personnelles dans la mise en place des SIA

À l'heure où les premières dispositions du règlement sur l'intelligence artificielle entrent en vigueur, la mise en conformité des systèmes d’IA s’impose comme un enjeu incontournable.‍

‍

L'intelligence artificielle (IA) est définie par le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 comme suit : « Un système conçu pour fonctionner avec des éléments d'autonomie et capable, pour un ensemble donné d'objectifs définis par l'homme, de générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit. » Le règlement distingue entre les systèmes d'intelligence artificielle (SIA) et les modèles d'IA à usage général.

‍

Les SIA sont des applications d'IA conçues pour des tâches ou des domaines spécifiques, comme les systèmes d’aide au diagnostic médical. En revanche, les modèles d'IA à usage général sont des systèmes polyvalents, capables d'être utilisés dans une variété de contextes et pour diverses applications. Par exemple, un modèle de traitement du langage naturel peut être adapté pour réaliser de la traduction automatique.

‍

L'intelligence artificielle soulève des questions complexes, en particulier dans le domaine de la protection des données personnelles. En effet, les systèmes d'intelligence artificielle fonctionnent en utilisant une quantité importante voire massives de données, justifiant l'instauration d'un cadre rigoureux encadrant leur utilisation et leur traitement, en veillant au respect des droits fondamentaux des individus, dont le respect de la vie privée.

‍

Les enjeux sont multiples : comment garantir que les algorithmes ne compromettent pas la confidentialité des individus ? Comment s’assurer que l’analyse de données exercée par les systèmes d’IA reste éthique et conforme aux principes de transparence, d’équité et de responsabilité ?

‍

Pour faire face à ces enjeux, qui ne sont pas les mêmes en phase de conception et en phase de déploiement, les autorités de protection des données, telles que la CNIL en France et le CEPD au niveau européen, doivent constamment réévaluer et ajuster leurs doctrines pour éclairer les acteurs de terrain sur les démarches de conformité à réaliser en intégrant les évolutions technologiques. Nous faisons ici un tour d’horizon des récentes évolutions dece cadre doctrinale et/ou réglementaire relatif à l’IA et au RGPD.

Depuis de nombreuses années, le Conseil Européen appelle les États membres à renforcer la mise en œuvre de leurs stratégies en matière de santé numérique. Dans ce contexte, la Commission européenne a présenté, le 3 mai 2022, une proposition de règlement pour établir l’Espace européen des données de santé (EHDS).

‍

Le projet de règlement a été adopté par les États membres le 22 mars 2024, puis par le Parlement européen le 24 avril 2024. La publication du texte au journal officiel est attendue pour l'automne 2024, et son entrée en application est variable selon les dispositions concernées (entre 2 ans et 10 ans).

Depuis plusieurs années, l’Union Européenne cherche à encadrer les développements de l’intelligence artificielle pour concilier innovation et protection des droits fondamentaux. Dans ce contexte, le Règlement UE 2024/1689 (IA Act) a été adopté par le Parlement européen et le Conseil le 13 juin 2024, avant sa publication au Journal officiel de l’Union européenne le 12 juillet 2024.

‍

Ce texte instaure une réglementation basée sur une approche par les risques, interdisant certaines pratiques et imposant des exigences strictes, notamment pour les systèmes d’IA à haut risque. L’application de ce règlement est particulièrement marquante dans le domaine de la santé, où l’IA promet des avancées majeures tout en exigeant le respect de nombreuses législations européennes, telles que le RGPD et le règlement MDR.

À travers cet article,  nous souhaitons vous faire part de plusieurs retours d’expérience susceptibles de vous aider à prévenir l’émergence de litiges et, par conséquent, à sécuriser vos relations commerciales.

‍

Nous n’évoquerons pas les relations entre commerçants, régies par le Code de Commerce. Nous nous concentrerons sur une situation particulière, bien que relativement courante, à savoir les relations commerciales entre un éditeur de logiciel et un client professionnel.