Cube,Form,The,Expression,’ai,Act’.,Symbol,For,The,Ai

Intelligence artificielle et vie privée : un défi pour la législation européenne

Technologie avancée (réseaux sociaux, Web, courrier électronique) oblige effectivement chaque sujet à confier ses données personnelles à des appareils et à des plateformes en ligne, les exposant ainsi à des risques potentiels mais substantiels inhérents à leurs confidentialité.

Le risque d’invasion de la sphère privée est encore accru avec un usage de plus en plus massif de l’IA, notamment générativeau point que les informations diffusées dans ces espaces d’accès leur permettent de connaître la façon de penser d’un individu, ses habitudes, ses besoins et ses préférences.

Algorithmes d’IA et confidentialité

Une fois les données apprises, les algorithmes d’IA peuvent en générer de nouvelles et adapter leur comportement en conséquence, potentiellement influencer les choix de vie d’un individu de manière significative de plus en plus invasive et pas toujours transparente ou autorisée.

Il est donc fondamental de considérer le rôle de l’IA, en ce qui concerne la protection de la vie privée, pour garantir que les nouvelles technologies génératives n’utilisent pas de données personnelles de manière illégitime afin d’éviter, grâce au système de masquage du Web, une utilisation incorrecte des nouvelles technologies. , bien que stimulantes et même utiles, des technologies.

Les risques de violation de données

Il est donc nécessaire de réfléchir à l’équilibre bien connu des intérêts en jeu, en adoptant une enquête préventive sur les risques et en adoptant par conséquent les mesures de protection appropriées, afin que violation de données qui, en le diffusant à une vitesse impressionnante sur Internet, nuisent irrémédiablement au principe anglo-saxon bien connu, désormais hérité dans notre système juridique depuis 1996 puis avec le RGPD 679/2016 ultérieur, défini comme le droit général « d’être laissé tranquille » (le droit d’être laissé seul).

LE’Loi sur l’IA adoptée par le Conseil de l’Union européenne le 21 mai 2024 a pris une connotation de première importance puisque, peut-on dire au niveau mondial, elle constitue la première actifs code d’une loi qui réglemente de manière générale, mais met également en œuvre pour les raisons qui suivront, la question de la diffusion des programmes d’IA (avec une attention particulière à celle à caractère génératif).

Sur la même base utilisée par le travail de l’UE au moment de l’approbation du Règlement Général sur la Protection des Données de 2016 (RGPD 679), le législateur européen a élaboré la loi AI prévoyant essentiellement une partie conception de la norme visant à la classification, la gradation et la classification pyramidale des catégories de risque pour les systèmes d’intelligence artificielle (inacceptable, élevé, limité et minimum), et une partie de défaut visant à limiter les dommages résultant de la violation de donnéeset en tout état de cause, vise idéalement à alléger la charge de la preuve pour la personne lésée qui souhaite obtenir judiciairement réparation du préjudice résultant de la violation de données.

Confidentialité dès la conception

Sous le premier profil, celui de conceptionla loi sur l’IA prévoit classifications des risquesne fait rien d’autre qu’autoriser ou non les programmes d’IA qui, en fonction de leur fonctionnement prévu, portent atteinte aux droits de l’homme de manière inacceptable, grave, limitée et minime.

Face à cette classification, il est facile de comprendre comment la catégorie de risque inacceptable empêche essentiellement la fonctionnalité, et donc la commercialisation, de ces programmes d’IA qui, en raison de leur enquête sectorielle, peuvent potentiellement violer les droits fondamentaux de l’UE ou les droits de l’homme. comme par exemple ce que l’on appelle le score social (visant à attribuer à chaque citoyen un score représentant son propre « crédit social »).

Classification des risques

La classification à risque élevé comprend en revanche un large éventail de systèmes qui pourraient causer des dommages importants en cas de dysfonctionnement : systèmes d’identification biométrique et de reconnaissance faciale, systèmes d’évaluation et de notation de crédit, chatbots médicaux. Pour ces systèmes, la loi AI impose des exigences rigoureuses pour leur commercialisation : évaluations et tests de conformité obligatoires, obligation d’adopter des mesures de sécurité et de gestion des risques, transparence sur le fonctionnement du système, supervision humaine.

Le classement de risques limités au lieu de cela, il inclut tous les systèmes qui présentent un risque moindre et qui n’ont pas potentiellement accès aux données sensibles des utilisateurs, excluant ou réduisant considérablement les implications dans le domaine de la confidentialité. Par exemple, pensez à un chatbot programmé pour répondre aux questions fréquemment posées telles que les heures d’ouverture des entreprises, la disponibilité des produits et les politiques de retour.

Enfin, le classement de peu ou pas de risquecomprend les systèmes qui n’ont aucun impact sur les droits, les données et la sécurité des personnes, tels que les calculatrices ou les jeux vidéo (simples et non connectés de manière interactive), qui, ne nécessitant pas le traitement de données sensibles et se limitant à des informations génériques, ils éliminent presque toute interaction avec la confidentialité à la racine.

Le classement de conception c’est le premier paramètre de référence que prévoit l’AI Act dans le but de valoriser ce que doivent être les deux principales hypothèses sur lesquelles doit se fonder un système d’IA en fonction de l’étendue des données auxquelles il a le potentiel d’accéder :

  • transparenceexigeant que les fournisseurs de systèmes d’IA fournissent des informations claires et accessibles sur le fonctionnement de leurs systèmes ;
  • le besoin d’un surveillance humaine étant donné que la loi sur l’IA ne remplace pas du tout la supervision humaine, mais la renforce plutôt. En particulier, pour les systèmes à haut risque, une intervention humaine est toujours nécessaire pour garantir que ces systèmes sont utilisés de manière sûre et responsable.

Confidentialité par défaut

De la part de conception aligne la partie de défaut à travers un système de présomptions simples placé à la base du rapport probatoire qui vise à renforcer la protection de l’utilisateur du programme d’IA, tout en aggravant la situation probante tant du producteur que de l’utilisateur du programme d’IA.

Pour l’essentiel, le rapport probatoire qui sous-tend la démonstration de violation de données permet à la partie lésée par la violation d’être considérée comme favorisée, puisqu’elle est uniquement appelée à démontrer le lien de causalité entre l’événement dommageable et l’utilisation du système d’IA (l’entrée et la sortie par défaut), tandis que le fabricant/utilisateur du logiciel reste fortement responsable de démontrer comment le programme qui a provoqué la violation a en tout cas été testé de manière à empêcher toute forme de défautselon le brocard procédural bien connu de « plus probable qu’improbable ».

Le tout dans le cadre d’un procès ex post qu’il sera demandé au juge de procéder à la fois à une analyse approfondie des critères dont il faut vérifier l’existence ex antereprésenté par les principes de transparence déjà énoncés, plutôt que par le contrôle humain qui, en cas d’absence, est la cause du défaut.

La création d’une salle de brèche

S’il paraît excessif de parler de responsabilité objective, étant donné que de toute façon on reste toujours dans le cadre de présomptions simples (qui permettent donc d’admettre des preuves contraires)), l’intention de la Commission européenne est précisément d’atteindre un tel profil de responsabilité pour les producteurs/utilisateurs de logiciels d’IA, sur une période de cinq anssur la base des enquêtes résultant de la collecte de données par l’Agence européenne en charge, a appelé d’une part à superviser les programmes d’IA au point d’imaginer une certification de tels programmes avant leur commercialisation, plutôt que rendre statistiquement probants les phénomènes de violation de données vérifié en Europe en référence à l’utilisation de l’IA pour en créer un réel salle de brèche qui servira essentiellement à identifier les cas les plus pertinents et agira comme correcteur afin d’éviter la récurrence du défaut.

Le rôle du CEPD

C’est précisément dans ce périmètre de protection renforcée des citoyens de l’Union européenne (mais aussi des citoyens non communautaires qui opèrent néanmoins sur le territoire communautaire) que le Comité européen de la protection des données (EDPB) a adopté en décembre 2024 une déclaration sur le deuxième rapport de la Commission européenne sur l’application du règlement général sur la protection des données (RGPD).

L’EDPB pose donc une pierre angulaire essentielle à la collecte des rapports de la Commission européenne et de l’Agence des droits fondamentaux dans le but, précisément, de renforcer la sécurité juridique et la pleine conformité de la législation numérique des pays de l’UE (mais aussi des pays tiers qui opèrent encore en Europe) avec le RGPD, structurant ainsi un lien étroit entre l’application du RGPD et l’IA Act, voulant ainsi lier dans un unique de légalité stratégique sur le traitement et la protection des données dans l’UE et sur l’ensemble des services numériques d’IA.

L’EDPB pose également un autre principe de travail important consistant en la programmation d’une sorte de « bureau d’information » sur la législation IA, visant à sensibiliser les catégories de non-experts (d’où la notion de « consommateur » qui s’affirme à nouveau avec force dans le champ de la protection européenne) mais aussi les petites et moyennes entreprises (PME ) qui subira le plus grand impact sur les structures appropriées (dans le périmètre de la triade ESG).

Tout cela à la lumière des deux Directive Nis2 comme la législation européenne sur la cybersécurité qui prévoit des mesures juridiques pour renforcer le niveau global de contrôle dans l’UE, et la directive CSRD sur le reporting de développement durable des entreprises, concernant l’obligation de divulguer des informations non financières pour les entreprises de grandes dimensions, mais qui concernera également la Les PME incluses dans ce que l’on appelle chaîne de valeur productive, où les PME font toujours partie du même groupe que les grandes entreprises.

Conclusions

La contribution offerte par l’UE sur la double voie IA et vie privée représente donc un pari fort du législateur européen qui vise à créer, dans le contexte du vieux continent, un scénario de sécurité. cyber qui représente l’excellence au niveau mondial pour concilier le fonctionnement de la technologie de l’IA avec le plein respect de la protection des droits humains fondamentaux et donc de la vie privée.