La Conférence allemande sur la protection des données, la conférence des autorités indépendantes de contrôle de la protection des données de l’État fédéral et des Länder, a publié un guide d’orientation “Intelligence artificielle et protection des données” (Version 1.0 du 6 mai 2024 – que l’orientation sera adaptée à l’avenir, est explicitement mentionnée).
L’aide à l’orientation (OH) se concentre sur IA générative et s’adresse avant tout aux ResponsableLes autres fonctions, telles que les développeurs, les fabricants et les fournisseurs, ne sont qu’indirectement concernées.
L’OH passe en revue les exigences habituelles en matière de protection des données et fait la distinction entre la conception de l’utilisation et la sélection des applications d’IA, leur mise en œuvre et leur utilisation. Les explications se recoupent toutefois ; certaines indications relatives à la phase de conception concernent par exemple également la phase d’utilisation. Les points suivants méritent d’être soulignés :
Phase de conception
- L’OH met ici l’accent sur un examen de la manière dont le modèle doit être utilisé et dans quel but – l’OH s’oppose donc ici avant tout à l’aveuglement, peut-être par curiosité ou dans l’espoir de vagues avantages. Dans la mesure du possible, les responsables doivent renoncer à l’utilisation de données personnelles. Mais comme la notion de données personnelles est large, les responsables ne peuvent pas espérer trop vite ne pas tomber dans le champ d’application de la législation sur la protection des données.
- Sur LLMs la CCPD fait remarquer qu’un traitement de données personnelles peut aussi résider dans le fait que le modèle lui-même contient des données personnelles. Il n’est toutefois pas clair dans quelle mesure cela doit relever de la responsabilité du responsable.
- En référence à la Formation le responsable doit se demander si des erreurs commises lors de l’entraînement peuvent avoir un impact sur un traitement de données propre.
- Une propre Base juridique (à ce sujet, l’OH renvoie à un Document de l’autorité de protection des données du Bade-Wurtemberg) serait nécessaire lorsque des données personnelles sont utilisées à des fins d’entraînement ; même si le responsable utilise un système tiers qui continue à être entraîné par des saisies ;
- Règles de confidentialité peuvent être applicables ;
- Les obligations d’information et de transparence doivent être respectées. Dans la mesure où une décision individuelle automatisée est prise, le responsable doit, entre autres, être informé de La “logique” de la décision informer les utilisateurs. Selon l’OH, cela signifie une “explication de la méthode de traitement des données en rapport avec le fonctionnement du déroulement du programme dans le contexte de l’application concrète”. Les “visualisations et les techniques interactives” peuvent aider à “ramener la complexité de la logique à un niveau compréhensible” ;
- Droits des personnes concernéesUn modèle d’IA doit être en mesure de corriger des données personnelles incorrectes, par exemple par le biais d’un post-entraînement ou d’un réglage fin. En ce qui concerne le droit de suppression, un filtre de sortie n’est pas suffisant en soi, mais ils constituent tout de même une “contribution”.
Mise en œuvre
Pour la phase de mise en œuvre, l’OH retient notamment les points suivants :
- Le fournisseur tiers du système est en général un sous-traitant. Une responsabilité partagée est toutefois envisageable si
un Application d’IA alimentée ou entraînée avec différents ensembles de données ou sur la plate-forme d’un organisme, leur application d’IA d’autres organismes évolué vers de nouvelles applications d’IA est en cours. Il n’est pas nécessaire que le responsable ait effectivement accès aux données traitées pour être qualifié de responsable conjoint.
- La communication de données personnelles entre responsables conjoints exige une base juridique propre, cette relation n’est donc pas privilégiée en ce sens (ce qui ressort également de la jurisprudence de la CJCE).
- Sur le site interne Les responsables doivent définir des règles claires sur la manière dont les collaborateurs doivent ou peuvent utiliser les applications d’IA. En outre, les collaborateurs doivent disposer de leurs propres outils de travail et de leurs propres comptes, avec des comptes non verrouillables (par ex. une adresse e‑mail fonctionnelle).
- Pour les applications d’IA, une analyse d’impact sur la protection des données (DSFA) est nécessaire. Le site “black list” de DSK prévoit également qu’une AIPD est obligatoire en cas d’utilisation de l’IA pour “gérer l’interaction avec les personnes concernées ou évaluer des aspects personnels de la personne concernée”, si des données personnelles sont traitées dans ce cadre (par ex. dans le cas d’une analyse de sentiments d’un centre d’appel ou d’un chatbot qui “interagit avec les clients par le biais de la conversation” et qui utilise des données personnelles pour les conseiller).
Utilisation d’applications d’IA
Lors de l’utilisation, les responsables doivent notamment limiter au maximum la saisie de données personnelles. Dans la mesure où une IA génère une donnée personnelle, il convient également d’établir une déclaration de confidentialité. Base juridique est nécessaire, c’est-à-dire lorsque l’utilisateur attribue une sortie à une personne spécifique. L’exemple de l’OH est une proposition de composition de joueurs pour un entraîneur de football.
Les résultats de l’IA doivent ensuite être vérifiés en termes de Exactitude être examinés s’ils font référence à des personnes, et ces résultats ne doivent pas être de manière non discriminatoire peuvent être utilisés.