Nouvelles directives de l'ICO pour la conformité à la confidentialité des données AI et PII

Publié: 2022-11-16

Alors que l'IA devient de plus en plus présente dans notre vie quotidienne, les entreprises du monde entier doivent plonger dans le paysage croissant des obligations légales et réglementaires liées à l'utilisation des systèmes d'IA.

En novembre 2022, l'ICO a annoncé un ensemble de lignes directrices sur la manière dont les organisations peuvent utiliser l'IA et les données personnelles de manière éthique et légale, conformément au cadre de protection des données du Royaume-Uni.

Il est complété par un certain nombre de questions fréquemment posées sur l'utilisation de l'IA et des données personnelles, telles que si des évaluations d'impact doivent être effectuées, si les résultats doivent respecter le principe d'exactitude et si les organisations ont besoin d'une autorisation pour analyser les données personnelles.

Ce guide explique comment les règles de protection des données s'appliquent aux initiatives d'IA tout en gardant un œil sur les nombreux avantages que de tels projets pourraient apporter, aidant les organisations à réduire les risques qui surviennent spécifiquement du point de vue de la protection des données.

En savoir plus sur cette direction sur le site Web de l'ICO.

Comment collecter légalement des données d'IA

Les directives de l'ICO reconnaissent que si l'utilisation de l'IA présente des avantages indéniables, elle peut également mettre en danger les libertés et les droits des personnes lorsque la protection des données n'est pas prise au sérieux. À cette fin, leurs orientations fournissent un cadre utile sur la manière dont les entreprises doivent évaluer et atténuer ces risques.

Le guide couvre huit éléments stratégiques que les entreprises peuvent adopter pour améliorer leur gestion de l'IA et des données personnelles :

1. Utilisez une procédure basée sur les risques lors de la création et de la mise en œuvre de l'IA

Lorsque vous utilisez l'IA, vous devez déterminer si cela est nécessaire pour la situation. L'IA est généralement considérée comme une technologie à haut risque lorsqu'elle interagit avec des informations personnelles. Une entreprise a besoin de grandes quantités de données afin d'améliorer le bon fonctionnement de ses systèmes et nos données peuvent être revendues, sans savoir qui les reçoit ni comment elles sont utilisées.

Ainsi, il peut y avoir un substitut plus efficace et plus respectueux de la vie privée.

Comme l'indique l'ICO, vous devez évaluer les risques et mettre en place les garanties organisationnelles et techniques nécessaires pour les réduire. De manière réaliste, il est impossible d'éliminer complètement tous les risques, et les lois sur la protection des données ne vous obligent pas à le faire, mais assurez-vous de :

Utilisez une évaluation d'impact sur la protection des données (DPIA) pour déterminer et réduire le risque de non-respect des lois sur la protection des données que votre utilisation de l'IA pose, ainsi que pour prévenir les dommages aux individus
Demandez l'avis de nombreux groupes que votre utilisation de l'IA a potentiellement un impact afin de mieux comprendre le danger

Lorsqu'une DPIA est légalement requise, vous devez en mener une avant de déployer un système d'IA, et introduire des garanties organisationnelles et techniques appropriées qui aideront à réduire ou à gérer les risques que vous trouvez. Avant tout traitement, vous êtes légalement tenu de parler avec l'ICO si vous identifiez un risque que vous n'êtes pas en mesure d'atténuer de manière adéquate.

2. Réfléchissez à la manière dont vous expliquerez les décisions de votre système d'IA aux personnes concernées

Selon l'ICO, il peut être difficile d'expliquer comment l'IA génère certaines décisions et certains résultats, en particulier en ce qui concerne l'apprentissage automatique et les algorithmes complexes - mais cela ne signifie pas que vous ne devriez pas fournir d'explications aux gens.

Voici ce que l'ICO recommande :

Soyez clair, ouvert et transparent avec les gens sur comment et pourquoi vous collectez et utilisez leurs données personnelles
Réfléchissez à la justification requise dans l'environnement où votre système d'IA sera utilisé
Tenez compte de la façon dont les gens sont susceptibles de percevoir votre explication
Analysez les effets probables des choix de votre système d'IA pour déterminer le niveau de précision de votre justification
Réfléchissez à la manière dont les demandes de droits individuels seront gérées

3. Ne rassemblez que les informations nécessaires pour créer votre système d'IA

L'ICO conseille de limiter la collecte de données dans la mesure du possible. Cela ne veut pas dire que les données ne peuvent pas être collectées - cela signifie seulement que les données doivent être gérées d'une manière conforme aux normes GDPR.

Tu devrais:

Assurez-vous que les informations personnelles que vous utilisez sont exactes, adéquates, pertinentes et limitées - cela variera selon le contexte dans lequel vous utilisez l'IA
Réfléchissez aux méthodes de protection de la vie privée qui conviennent à la situation dans laquelle vous utilisez l'IA pour traiter des données personnelles

Le principe de précision pour la protection des données n'exige pas qu'un système d'IA soit correct à 100 %. Au lieu de cela, les organisations doivent s'assurer que des procédures sont en place pour garantir l'équité et l'exactitude globale des résultats.

4. Étiqueter les risques de biais et de discrimination à un stade précoce

Il existe des façons dont un système d'IA peut être biaisé ou conduire à la discrimination. Cela peut créer des ensembles de données inexacts et déséquilibrés, et la résolution précoce de ce problème est un aspect important de la conformité à la confidentialité des données.

L'ICO vous recommande :

Déterminez si les données que vous collectez sont exactes, représentatives, fiables, pertinentes et à jour pour la communauté ou les différents groupes de personnes affectées par le système d'IA
Déterminer si les jugements portés par le système d'IA sont acceptables en cartographiant les implications et les résultats potentiels pour divers groupes

5. Investir du temps et des ressources pour préparer correctement les données

Comme nous l'avons déjà mentionné, l'IA est aussi fiable que les données qu'elle collecte. Par conséquent, les organisations doivent s'assurer que suffisamment de ressources et de temps sont consacrés à la collecte des données nécessaires.

L'ICO recommande que :

En ce qui concerne l'étiquetage des données impliquant des caractéristiques protégées ou des données de catégorie spéciale, il devrait y avoir des critères définis et des lignes de responsabilité
Pour maintenir la cohérence et aider dans les situations inhabituelles, vous devez impliquer plusieurs étiqueteurs humains

6. Assurez-vous que votre système d'IA est sûr

Les systèmes d'IA ont le potentiel d'augmenter les risques ou d'introduire de nouvelles vulnérabilités de sécurité.

En ce qui concerne les mesures de sécurité, il n'y a pas d'approche unique. Cependant, vous devez respecter la loi et mettre en place les garanties organisationnelles et techniques adéquates afin d'assurer un niveau de sécurité proportionnel aux risques éventuellement identifiés.

Utiliser l'Intelligence Artificielle en toute sécurité

L'ICO recommande aux entreprises :

Effectuez une évaluation des risques de sécurité qui comprend un inventaire actuel de tous les systèmes d'IA afin que vous puissiez avoir une idée générale de l'endroit où les incidents potentiels pourraient se produire
Effectuer le débogage du modèle, qui est le processus d'identification et de résolution des failles de votre modèle - soit par un auditeur de sécurité interne, soit par un auditeur de sécurité externe
Mettre en place un système de surveillance proactif et examiner toute irrégularité

7. Les examens humains des décisions d'IA devraient être significatifs

Il convient de déterminer très tôt si les résultats sont utilisés pour aider un décideur humain, ou si les décisions sont entièrement autonomes, selon l'objectif de l'IA.

L'ICO souligne que les personnes concernées ont le droit de savoir si les choix concernant leurs données ont été faits entièrement par elles-mêmes ou avec l'aide de l'IA. Les lignes directrices suggèrent également qu'ils devraient être évalués de manière significative lorsqu'ils sont utilisés pour aider une personne.

Pour s'assurer que ces avis sont significatifs, les examinateurs doivent :

Suffisamment compétent pour évaluer et remettre en question les résultats du système d'IA
Capable de renverser un jugement automatique
Conscient des facteurs supplémentaires qui n'étaient pas reflétés dans les données d'entrée

Lorsqu'une décision a un impact juridique ou autre impact substantiel, les personnes concernées ont le droit, en vertu du RGPD, de ne pas y être soumises. Ils ont également le droit de s'attendre à des informations significatives sur le raisonnement qui sous-tend la décision.

Par conséquent, même s'il s'agit d'une recommandation, l'examen humain est néanmoins nécessaire lorsque l'IA prend des décisions importantes.

8. Consultez un fournisseur externe pour vous assurer que votre utilisation de l'IA est appropriée

L'achat d'un système d'IA auprès d'un tiers ne vous dispense pas de la responsabilité de respecter la législation sur la protection des données. Dans la plupart des cas, vous serez le responsable du traitement des données, décidant comment déployer le système d'IA.

Par conséquent, vous devez être en mesure de démontrer comment le système d'IA respecte la législation sur la protection des données.

L'ICO suggère aux entreprises :

Choisissez un fournisseur approprié en effectuant une diligence raisonnable avant tout achat
S'engager avec le fournisseur externe pour effectuer une évaluation avant le déploiement (comme un DPIA)
Établir les rôles et les devoirs avec le fournisseur externe et les enregistrer (par exemple, qui répondra aux demandes de droits individuels ou effectuera des contrôles de sécurité)
Demander au fournisseur externe une documentation démontrant qu'il respecte la « vie privée dès la conception »
Déterminez si des données personnelles seront transférées à l'échelle internationale - si tel est le cas, assurez-vous que les droits à la vie privée des personnes sont respectés

RGPD et IA

Bien que l'IA ait le potentiel d'être un outil précieux, au fur et à mesure de son développement, elle pose également un risque pour la sécurité et la confidentialité des données ainsi que des préoccupations réglementaires.

Il est difficile d'éviter d'évoquer le Règlement général sur la protection des données (RGPD) tout en discutant des règles de l'intelligence artificielle (IA). Les données sont le composant essentiel des applications d'IA, et le RGPD a eu la plus grande influence mondiale en termes de création d'un marché des données plus réglementé.

Consultez notre hub RGPD et confidentialité des données, qui approfondit les réglementations et la conformité.