Section 2 : Un risque inhérent au logiciel
d'intelligence artificielle
Une mise en oeuvre effective du privacy by design et
du privacy by default requiert des mesures techniques et
organisationnelles pour pallier les risques d'atteinte aux droits et
libertés des personnes concernées selon l'intensité du
risque (§1). Ce risque doit prendre en compte la spécificité
de la technologie d'IA (§2).
§1. L'appréciation du critère de risque
élevé
L'article 35.1 du RGPD dispose que l'analyse d'impact
relative à la protection des données est obligatoire et est
susceptible d'engendrer un « risque élevé pour les
droits et libertés des personnes physiques ». Le management du
risque ne peut se résumer à une analyse binaire de traitements
risqués ou non risqués. Cette pratique vise à
réduire les risques à un niveau acceptable au regard du
bénéfice potentiel et du contexte200. La CNIL propose
une méthode de mise en oeuvre d'une analyse d'impact à la
protection des données pas à pas201. Le risque peut
traditionnellement provenir de sources humaines internes, de sources humaines
externes et de sources non humaines202. Afin de mesurer le risque
lié au traitement, il convient d'envisager la conjugaison de la
gravité et de la vraisemblance du fait
générateur203. Les facteurs de gravité prennent
en compte le recours à de nouvelles technologies dans le traitement,
ainsi que la nature, le contexte, la portée et la finalité du
traitement. L'analyse de risque comprend le risque ainsi que les mesures
coercitives prévues pour y remédier204.
Certains types de traitement sont par nature susceptibles
d'engendrer un risque élevé. Tout d'abord, le paragraphe 3 de
l'article 35 du RGPD dresse une liste non exhaustive205 qui inclut
notamment les décisions automatisées produisant des effets
significatifs ou équivalant sur les personnes ; le traitement à
grande échelle de données sensibles ou relatives à des
infractions pénales ; ainsi que la surveillance systématique
à grande échelle d'une zone interdite au public. De plus,
conformément aux paragraphes 4 et 5 de cet article, la CNIL a
publié une liste d'opérations de traitements pour lesquelles
cette analyse d'impact est requise206 ou non
200 OCDE, «Enhancing Access to and Sharing of Data :
Reconciling Risks and Benefits for Data Re-use across Societies», 6
novembre 2019, 4.
201 CNIL, « Outil PIA : téléchargez et
installez le logiciel de la CNIL », 8 avril 2020
202 CNIL, « Analyse d'impact à la protection des
données : les bases de connaissances », février 2018,
p.2
203 CNIL, « Analyse d'impact relative à la
protection des données, la méthode », février
2018, p.6
204 CNIL, « Analyse d'impact relative à la
protection des données, application aux objets connectés
», février 2018, p. 33
205 G29, « Lignes directrices concernant l'analyse
d'impact relative à la protection des données (AIPD) et la
manière de déterminer si le traitement est «susceptible
d'engendrer un risque élevé» aux fins du règlement
(UE) 2016/679 », WP 248, 4 avril 2017, p. 9
206 CNIL, Délib. n° 2018-327, 11 octobre 2018
- 38 -
Les moyens d'autorégulation adaptés à
l'intelligence artificielle
requise207. Sur cette liste figurent notamment les
traitements de profilage faisant appel àÌ des données
provenant de sources externes, les traitements qui présentent un risque
élevé du fait du croisement des bases de données et les
traitements dont l'usage est innovant.
Par ailleurs, le G29 a adopté des lignes
directrices208 listant les cas de figure susceptibles d'engendrer un
risque élevé. En compilant les paragraphes de l'article 35 et les
Considérants (91), (71), (75) et (91) du RGPD, le G29 liste les neuf
critères susceptibles de rendre le risque du traitement
élevé :
· évaluation ou notation
· prise de décisions automatisées avec effet
juridique ou effet similaire significatif
· surveillance systématique
· données sensibles ou données à
caractère hautement personnel
· données traitées à grande
échelle
· croisement ou combinaison d'ensembles de
données
· données concernant des personnes
vulnérables
· utilisation innovante ou application de nouvelles
solutions technologiques ou organisationnelles
· traitements en eux-mêmes qui « empêchent
[les personnes concernées] d'exercer un droit ou de
bénéficier d'un service ou d'un contrat »
Dès que deux critères sont réunis, il est
fort probable que le traitement présente un risque
élevé209.
En l'absence de lignes directrices, la Commission
européenne recommande de déterminer ce qui constitue un risque
élevé d'une application de l'IA en prenant en compte le secteur
d'activité et le traitement210. Or, afin de réaliser
un traitement par un logiciel d'intelligence artificielle, il est
nécessaire de disposer d'une grande quantité de données.
C'est justement ce qui constitue la « plus-value de l'intelligence
artificielle211 ». Dès lors, tout traitement peut
potentiellement être considéré comme présentant un
risque élevé du fait qu'il est effectué par une nouvelle
technologie, qu'il est permis par un croisement ou une combinaison de
données, et/ou que les données sont traitées à
grande échelle.
Il est alors recommandé de systématiquement
effectuer une analyse d'impact lors d'un traitement effectué par IA.
207 CNIL, Délib. n° 2019-118, 12 septembre 2019
208 G29, WP 248, op. cit., p. 10
209 G29, ibid., p. 13
210 Commission Européenne, livre blanc sur
l'intelligence artificielle, op. cit., p.17
211 A. Bensamoun, G. Loiseau, l'intégration de
l'intelligence artificielle dans certains droits spéciaux, op.
cit.
- 39 -
Les moyens d'autorégulation adaptés à
l'intelligence artificielle
§2. Un risque spécifique au logiciel de
l'intelligence artificielle
Le traitement effectué par des logiciels d'intelligence
artificielle crée de nouveaux risques spécifiques et augmente les
risques existants. La prise en compte des évolutions techniques de l'IA
est nécessaire pour effectuer une analyse d'impact efficace, qui permet
de mesurer les risques et de proposer des solutions scientifiques
réalisables212. La Commission européenne recommande
que l'Europe mette en oeuvre des outils de guide pour aider l'évaluation
de ces risques spécifiques213.
| 
