Saagie sera au World IA Cannes Festival du 9 au 11 février→ Venez nous rencontrer, contactez nos équipes !

Qu’est-ce que la RGPD et quels sont ses Impacts sur la Data ?

Vous avez sans doute entendu parler du RGPD, qui vise à garantir la protection des données à caractère personnel, mais, comment le mettre en place dans un environnement d’intelligence artificielle ? Quels sont les prochains défis en terme de réglementation européenne ? Cet article vous montrera quelle va être la suite du RGPD et comment cela va affecter vos traitements de données à caractère personnel, en tant que responsable de traitement.

Pourquoi une réglementation ?

Le RGPD est une réponse aux questions à propos des données online, parmi d’autres : « quelle est l’utilisation de mes données personnelles ? », « où sont-elles sauvegardées ? », « sont-elles vulnérables ? », « quels sont les traitements faits par les entreprises sur ces données ? ».

Grace à la popularité du Big Data et de l’intelligence artificielle, surtout ces dernières années avec les méthodes de deep learning. Il est de plus en plus facile de recueillir et d’analyser des données qui sont la plupart du temps des données correspondantes à l’activité d’une personne sur Internet.

Mais il y a un changement de paradigme : l’analyse est possible autant sur Internet que sur le monde réel (achats dans des magasins physiques, tracking de smartphones à travers les connexions wi-fi…) et le croisement de ces deux sources de données donne la possibilité de faire des analyses terriblement pertinentes et très proches de l’humain qui a produit ces données.

Il est nécessaire, plus que jamais, d’avoir une réglementation solide pour protéger la vie privée des utilisateurs.

Au-delà du RGPD

Le RGPD a sans doute changé la manière d’utiliser les données à toutes les échelles. À partir de 2020, nous verrons émerger des nouvelles réglementations en terme d’éthique, de transparence et de traçabilité des données. Il s’agira d’aller au-delà du RGPD pour établir un vrai contexte légal qui amène une meilleure confiance des utilisateurs (notamment après les nombreux problèmes de compagnies comme Facebook), une meilleure relation entre clients et surtout une gestion de données plus transparente.

Il s’agira surtout de savoir comment appliquer la normative européenne de protection de données aux technologies émergentes en intelligence artificielle. La première chose à faire est de savoir si l’analyse est légitime avant toute chose. Il y a une série de règles qui pourraient légitimer l’analyse avec de l’IA : le consentement de l’intéressé(e), la protection d’un intérêt vital, l’intérêt public ou une obligation légale.

Il faut comprendre, aussi, que l’aspect judiciaire des données est une question de géopolitique. Il s’agit d’une preuve de force de l’UE face aux États-Unis et la Chine. L’IA est devenu un élément géostratégique très important, car l’UE ne souhaite pas que d’autres nations aient la possibilité de gérer les données produites ou traversant l’Europe.

L’éthique de l’intelligence artificielle

La réglementation des données va être focalisée de plus en plus sur l’éthique des analyses automatiques effectuées par les intelligences artificielles. En effet, les algorithmes peuvent s’avérer discriminatoires (ou plutôt les données sur lesquelles on les a entrainés), les risques de la reconnaissance faciale ainsi que la formalisation des relations entre humains et machines sont des défis que les gouvernements et les entreprises doivent aborder.

Il se peut que cette éthique soit appliquée par le data scientist dès l’étape de conception de l’algorithme. Concrètement, vous pourrez voir un changement au niveau des contrats, dans lesquels il faudra inclure de manière explicite une clause « éthique » prenant en compte toutes ces questions.

De même, des nouveaux métiers, notamment le Data Protection Officer, vont devenir essentiels. Le rôle de ce dernier sera de protéger les données en appliquant, entre autres, des principes comme security by design et « droit à l’oubli ».

La suite du RGPD en 2020

La Commission européenne a entamé un travail destiné à approfondir le RGPD, et notamment apporter des propositions pour une bonne application du RGPD. Elle a consulté des entreprises, des syndicats, la société civile et les gouvernements. Des nouvelles lois concernant l’adaptation de cette technologie à la société, notamment les questions d’éthique, devraient arriver en fin d’année.

Concernant les mesures concrètes, l’UE étudie la création d’une agence publique européenne sur l’IA pour une surveillance publique des applications de l’IA. Une autre option serait que chaque état membre crée une entité pour gérer ces problématiques.

Les nouvelles réglementations de l’UE feraient une différence entre l’IA « à haut risque » et « à bas risque ». Les applications « à bas risque » seraient surveillées avec la normative actuelle, qui seraient restructurée pour prendre en compte la notion de « IA défectueuse ».

Concernant l’IA « à haut risque », par exemple la reconnaissance faciale, qui peut exercer un impact sur des secteurs comme la justice et la défense, il faudra travailler depuis le droit européen. Les normatives seront donc plus intenses, ce qui toucherait aussi bien le domaine public que privé.

La prochaine étape consiste en une consultation publique afin d’obtenir des retours sur les premières propositions, et ainsi élaborer la proposition législative. D’ici un an, il y aura une nouvelle proposition de réglementation européenne. Pour l’instant, le plus probable est qu’il s’agisse d’une combinaison des directives de produits défectueux avec la sécurité des produits et le RGPD.

Il s’agit de trouver un équilibre entre développement technologique et la protection de droits fondamentaux.