Chapitre 2 : Les points d'attention selon le cycle de
vie de la donnée
L'EDPB, dans son projet de lignes directrices328
sur l'article 25 du RGPD analyse le respect de la confidentialité
dès la conception et par défaut dès lors que les
responsables du traitement effectuent une mise en oeuvre effective des
principes de protection des données ainsi que des droits et
libertés des personnes concernées. Ainsi, ces dispositions
s'appliquent à l'ensemble des principes329 du RGPD, qui sont
les principes de licéité, loyauté et transparence,
limitation des finalités, minimisation des données, exactitude,
limitation de la conservation, responsabilité, intégrité
et confidentialité. Par conséquent, le responsable du traitement,
et le cas échéant le sous-traitant, doivent garantir
l'effectivité de ces principes tout au long du traitement de ces
données. Néanmoins, le RGPD est technologiquement neutre et
contient des principes larges et adaptables. Il convient donc de
réfléchir à leur adaptation aux systèmes
d'IA330, suivant le cycle de vie de l'intelligence artificielle
(Section 1) et point par point (Section 2).
Section 1 : Définition du cycle de vie de la
donnée lors d'un traitement d'intelligence artificielle
S'il existe de profondes différences techniques entre
les algorithmes d'intelligence artificielle, une analyse globale reste
pertinente selon la CNIL331 pour appréhender les
conséquences sociales éthiques et politiques puisque la
finalité reste la même : automatiser des tâches autrement
accomplies par des humains. Les acteurs publics européens332,
internationaux333 et privés334 s'accordent
à définir un cycle de vie commun aux systèmes
d'apprentissage automatique. Ce cycle de vie suit les étapes suivantes
:
· identification de la donnée
· préparation de la donnée
· modélisation
o sélection du modèle de logiciel
o test du design du logiciel
o construction du modèle : entrainement
o évaluation du modèle
· évaluation
· déploiement
o prédiction
o bilan de la prédiction
328 EDPB, Guidelines 4/2019 on Article 25 Data Protection by
Design and by Default, op. cit., p.4
329 Art. 5 RGPD
330 W. Wiewiórowski, «AI and Facial Recognition:
Challenges and Opportunities», EDPS, 21 février 2020
331 CNIL, les enjeux éthiques des algorithmes de
l'intelligence artificielle, op. cit., p. 18
332 Parlement Européen, a governance framework for
algorithmic accountability and transparency, op. cit., p. 29
333 OCDE, « State of the art in the use of emerging
technologies in the public sector », 2019, p. 10
334 IBM, « Machine Learning for dummies », p.
37
- 58 -
Le régime de lege lata
En se basant sur les recommandations de la CNIL pour les
développeurs335 et les étapes de développement
d'un logiciel d'intelligence artificielle, on peut élaborer les points
d'attention pour chaque étape du traitement afin d'être en
conformité avec les principes de privacy by design et de
privacy by default. Une attention particulière sera accordée
à l'entrainement de la donnée, le stockage de la donnée,
l'information fournie, la robustesse et la sécurité, la
supervision humaine et les spécificités de certains traitements
d'IA336. Il faudra veiller à ces points dès la
conception du traitement puis tout au long du cycle vie de la donnée,
étant constitué par les étapes de collecte, traitement et
suppression. On peut envisager la typologie suivante :
Préparation de la donnée
| 
