Il n’y a rien de surprenant à dire que l’IA est devenue encore plus un point de mire pour le DPO depuis l’introduction de ChatGPT. Dans le contexte des algorithmes et autres modèles d’apprentissage, nous avons déjà souvent rencontré l’IA, mais depuis ChatGPT, elle est devenue inévitable et est également disponible pour chaque employé dans une organisation.
Une question pour de nombreux DPO est donc : pouvons-nous continuer à nous appuyer sur les leviers existants du RGPD, ou devons-nous chercher notre inspiration ailleurs ? Le RGPD a été proposé en 2012 lorsque cette technologie en était encore à ses balbutiements. La crainte que le RGPD soit déjà dépassé est probablement infondée. Après tout, l’innovation est de tous les temps et les principes de base du traitement des données n’ont pas beaucoup changé depuis 1980. Ce sont donc des principes englobants, et avec un peu de gymnastique mentale, ils peuvent également être bien appliqués dans le contexte de l’IA.
Cela signifie, par exemple, une plus grande focalisation sur le principe de l’exactitude : quelles données ont été utilisées dans la formation du modèle et comment savons-nous qu’elles sont correctes et exemptes de biais ? Nous connaissons le principe du « garbage in, garbage out ». Il faut donc demander explicitement aux fournisseurs de ce type de logiciels IA quelles garanties ils peuvent offrir dans ce contexte.
En même temps, l’impact de l’IA va au-delà de la simple traitement des données personnelles. Alors que le RGPD gère le côté de l’IA impliquant des données personnelles à travers diverses obligations et principes généraux, il est nécessaire d’avoir un cadre plus large pour réguler l’IA en général. L’Europe y réfléchissait déjà avant l’engouement pour ChatGPT sous la forme de l’Acte sur l’IA.
Les dernières étapes sont les plus difficiles, bien que l’Acte sur l’IA soit désormais dans les étapes finales de l’approbation européenne. Fondamentalement, nous voyons de nombreuses similitudes avec le RGPD, comme l’approche générale de la gouvernance et l’approche basée sur le risque. Ainsi, un rôle important dans l’Acte sur l’IA est réservé à l’évaluation de l’IA et aux risques potentiels. Un concept que les DPO connaissent bien sous la forme de l’analyse d’impact relative à la protection des données (DPIA), il n’est donc pas étrange que les organisations se tournent déjà secrètement vers le DPO pour le suivi de diverses obligations de l’Acte sur l’IA.
Un DPO bien préparé en vaut deux, et laissez l’Acte sur l’IA et la synergie entre le RGPD et l’Acte sur l’IA être précisément ce dont notre prochaine session Stay Tuned va parler. En plus de la discussion habituelle sur les affaires nationales et internationales des autorités de protection des données, l’atelier de cette session Stay Tuned portera sur l’Acte sur l’IA et plus particulièrement sur la mise en œuvre d’une évaluation d’impact de l’IA.
Pour plus d’informations ou pour vous inscrire ? Regardez ICI.
***