- Le PFPDT souligne que le droit suisse de la protection des données s’applique aux traitements de données personnelles basés sur l’IA et concerne les fabricants, les fournisseurs et les utilisateurs.
- Obligation de transparence : l’objectif, le fonctionnement et les sources de données des systèmes basés sur l’IA doivent être divulgués ; étiquetage nécessaire en cas d’interaction homme-machine et de deepfakes.
- Certaines applications d’IA (par exemple la reconnaissance faciale en temps réel à grande échelle, le scoring social) peuvent être interdites ; le cas échéant, la DSFA et une responsabilité renforcée sont nécessaires.
Le PFPDT a publié dans une Communiqué – peut-être à l’occasion de la Ordre exécutif du président Biden – a indiqué que le droit de la protection des données s’applique aux traitements de données personnelles basés sur l’IA. Il a s’était déjà exprimé sur le sujet en avril…et maintenant un peu plus de détails.
Remarques du PFPDT
Le PFPDT indique tout d’abord qu’en Suisse, l’administration fédérale évalue – probablement jusqu’à fin 2024 – différentes approches pour la réglementation de l’IA (voir aussi la Réponse au postulat Dobler). Au vu de la rapidité des développements dans le domaine de l’IA, le PFPDT souligne toutefois à juste titre que le droit de la protection des données s’applique également au traitement de données personnelles lorsque celui-ci est effectué à l’aide de l’IA. Le droit de la protection des données peut donc s’appliquer aux fabricants, fournisseurs et utilisateurs d’applications correspondantes.
Le PFPDT souligne avant tout le souci de transparence (comme c’est déjà le cas pour la communication antérieure). Il s’agit de
- le but
- le fonctionnement et
- les sources de données
de rendre transparents les traitements basés sur l’IA. Ce droit est “étroitement lié” au droit de “s’opposer à un traitement automatisé des données” et aux droits des personnes concernées en cas de décisions individuelles automatisées.
Dans le cas des modèles linguistiques intelligents qui communiquent avec les personnes concernées, ces dernières doivent avoir le droit de savoir,
s’ils parlent ou correspondent avec une machine et si les données qu’ils ont saisies sont traitées pour améliorer les programmes d’auto-apprentissage ou à d’autres fins.
De même, lors de l’utilisation de programmes permettant des deep fakes (la “falsification de visages, d’images ou de messages vocaux”) de personnes identifiables,
doit toujours être clairement identifiable, pour autant qu’elle ne s’avère pas totalement illégale dans le cas concret en raison d’interdictions pénales.
En outre, une DPA peut être nécessaire. Certaines applications seraient ensuite interdites, à savoir lorsque
visent précisément à vider de sa substance la sphère privée et l’autodétermination informationnelle protégées par la LPD […]. Sont notamment visés les traitements de données basés sur l’IA que l’on peut observer dans les États à régime autoritaire, comme la reconnaissance faciale généralisée en temps réel ou l’observation et l’évaluation globales du mode de vie, ce que l’on appelle le “scoring social”.
Notes
Le PFPDT se réfère d’emblée à l’ordre exécutif du président Biden mentionné, mais il est sûr de son fait du site Loi sur l’intelligence artificielle inspire. Ainsi, l’AI Act exige dans son article 52, paragraphe 1, une Transparence de base:
Les fournisseurs veillent à ce que les systèmes d’IA destinés à interagir avec des personnes physiques soient conçus et développés de manière à ce que les personnes physiques soient informées qu’elles ont affaire à un système d’IA, sauf si les circonstances et le contexte d’utilisation rendent cette information évidente. Cette exigence ne s’applique pas aux systèmes d’IA autorisés par la loi à des fins de détection, de prévention, d’enquête et de poursuite d’infractions pénales, sauf si ces systèmes sont mis à la disposition du public pour signaler une infraction.
Sur Deep Fakes doit également être informé (art. 532, al. 3) :
Les utilisateurs d’un système d’IA qui génère ou manipule des images, des sons ou des vidéos qui ressemblent de manière significative à des personnes, des objets, des lieux ou d’autres installations ou événements réels et qui apparaîtraient à tort à une personne comme étant réels ou véridiques (“deepfake”) doivent révéler que le contenu a été généré ou manipulé artificiellement.
Art. 5 interdit ensuite certaines pratiquesLes mesures de protection contre la fraude et l’abus de confiance peuvent être utilisées pour influencer les personnes, par exemple pour les influencer de manière subliminale, pour exploiter une faiblesse particulière, pour certaines discriminations ou pour les systèmes biométriques d’identification à distance en temps réel.
Cet emprunt est intéressant car, dans la perplexité générale qui entoure la gestion des applications IA, aucune approche réglementaire supérieure n’a encore pu se dégager. L’approche basée sur les risques de l’AI Act a toutefois du mérite. La volonté de responsabiliser les fournisseurs, importateurs, distributeurs et utilisateurs d’applications IA et de réglementer leur gestion des risques est tout à fait naturelle. D’aucuns pensent qu’il faut d’abord attendre l’évolution et s’attaquer aux problèmes lorsqu’ils se sont manifestés, mais cela semble un peu naïf – tous les problèmes ne sont pas réversibles, surtout les plus importants. Une responsabilité renforcée dans le domaine de l’IA est postulé et est plausible, mais n’aboutit aussi qu’à un transfert de patrimoine. Il semblerait en tout cas que le PFPDT ait une Reprise des principes de l’AI Act anticiper les conséquences. De même, parce que l’AI Act a une certaine applicabilité extraterritoriale (à ce sujet ici), une telle acquisition est tout à fait dans le domaine du probable.
Le PFPDT ne peut pas rester passif face à cette évolution dramatiquement rapide. Mais il n’a pas d’autre instrument que la protection des données (surtout depuis que le Tribunal administratif fédéral a rendu son verdict dans le Décision d’Helsana a refusé de prendre en compte de manière déterminante des préoccupations ne relevant pas de la protection des données, comme par exemple celles liées à la protection des consommateurs). Il est donc évident qu’il postule certains principes minimaux et les justifie du point de vue de la protection des données.
Cela ne signifie toutefois pas que ces principes sont clairement fondés de lege lata. Le souci de transparence, par exemple, est évoqué à l’article 6, paragraphes 2 et 3, LPD et constitue bien entendu un principe. Ce principe n’exige toutefois pas d’informer sur les modalités d’un traitement de données, à moins que celui-ci ne présente des risques particuliers. Cela peut être le cas pour les applications IA, mais pas nécessairement. De même, en ce qui concerne l’obligation d’information, la loi n’exige pas en soi d’informations sur certains types de traitement. On ne peut donc probablement déduire une telle obligation de transparence que du principe de bonne foi, qui peut en effet presque tout fonder, s’il ne devient pas immédiatement – et de manière systématiquement discutable – le critère d’interprétation du principe de transparence.
Néanmoins, il est également Pour des raisons de réputation judicieux de déclarer les applications IA lorsqu’elles traitent des données personnelles. C’est certainement le cas pour les chatbots et les applications similaires. Ce n’est toutefois pas nécessairement le cas pour les applications d’apprentissage automatique. Lorsque des contrats sont catégorisés automatiquement par ML, que des systèmes de notification d’e-mails déterminent automatiquement le moment de l’envoi d’e-mails, que des programmes de traduction sont entraînés, etc. Mais ce traitement – c’est-à-dire le traitement par ML ou AI – est ici incident. Contrairement aux applications qui visent spécifiquement le traitement de données personnelles par des applications d’IA, la transparence s’impose ici beaucoup moins.
Cette distinction ou cette réserve permet de suivre la remarque du PFPDT. La question du niveau de détail des informations à fournir sur le fonctionnement d’une application IA reste toutefois ouverte. La simple indication qu’une IA est utilisée dans un but X devrait souvent suffire. Si un prestataire de services utilise des données personnelles à des fins de formation également en faveur d’autres clients, donc pas seulement en tant que sous-traitant, une indication correspondante, par exemple dans une déclaration de protection des données, est également judicieuse. En ce qui concerne la transparence, voir également la page 10 du ” Guide de l’utilisateur “.Utilisation de l’IA générative – Guide de la loi sur la protection des données” du VUD.