La Loi sur l'Intelligence Artificielle de l'Union européenne (Loi sur l'IA) est là pour redéfinir comment les systèmes d'IA sont développés et utilisés. La Loi précise que la conformité ne peut être atteinte que si les réglementations européennes existantes en matière de protection des données, de cybersécurité et de droits fondamentaux sont respectées.
Lors du développement ou de l'entraînement des systèmes d'IA, les données personnelles ne sont pas laissées intactes, ce qui déclenche par conséquent la conformité aux lois sur la protection des données. Bien que la Loi croise les lois sur la protection des données à de nombreux points, l'anonymisation des données, en particulier le masquage et l'obscurcissement des données, apparaît comme un mécanisme clé pour faciliter la conformité aux obligations de gestion des données de la Loi sur l'IA de l'UE.
Cet article met en lumière la Loi sur l'IA de l'UE, l'interaction entre le RGPD et la Loi sur l'IA de l'UE, et comment les opérateurs de systèmes d'IA, en particulier ceux à haut risque, peuvent employer l'anonymisation pour assurer la conformité de l'IA.
Loi sur l'IA de l'UE : La première réglementation complète sur l'IA
L'UE a introduit sa première réglementation complète sur l'intelligence artificielle, appelée Loi sur l'IA de l'UE, le 1er août 2024, dans les 27 États membres. La Loi encourage le développement d'une intelligence artificielle digne de confiance tout en atténuant ses effets néfastes sur les valeurs éthiques, les droits fondamentaux et la sécurité de l'UE.
La nouvelle loi sur l'IA adopte une approche réglementaire basée sur le risque, classant les systèmes d'IA en quatre catégories — inacceptable, élevé, limité et minimal. Les exigences et obligations pour chaque catégorie varient et doivent entrer en vigueur selon un déploiement progressif, la majorité d'entre elles devant s'appliquer dans les 24 mois suivant la date d'entrée en vigueur.
Le non-respect de la Loi peut entraîner des sanctions entre 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial et 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. Le niveau inférieur s'applique généralement aux violations moins graves, comme le défaut de coopération avec les autorités. Le niveau supérieur s'applique aux violations graves, comme le déploiement de systèmes d'IA interdits. L'article 2 de la Loi définit les obligations des différents opérateurs de la chaîne d'approvisionnement de l'IA ayant un lien avec le marché de l'UE, indépendamment de leur localisation, tant qu'ils développent, commercialisent ou utilisent des systèmes d'IA qui affectent les individus au sein de l'UE.
Interaction entre la Loi sur l'IA de l'UE et le RGPD
La Loi sur l'IA de l'UE mentionne le RGPD de l'UE, Règlement (UE) 2016/679, 30 fois dans ses 180 considérants et 113 articles. Cette mention fréquente est attendue, étant donné que les modèles d'IA sont entraînés sur des ensembles de données qui incluent très souvent les données personnelles des individus. Les bases de données contenant des identifiants tels que le nom, les données de localisation, les visages humains et les numéros de plaques d'immatriculation sont considérées comme des données personnelles au sens du RGPD.
Chaque fois que des données personnelles sont utilisées dans le développement ou le déploiement d'un système d'IA, les entreprises doivent naviguer dans le chevauchement potentiel entre les deux régimes pour assurer la conformité et éviter les pénalités. Alors que le RGPD se concentre sur la protection des données personnelles, la Loi sur l'IA de l'UE s'applique à la fois aux données personnelles et non personnelles. Bien que leurs approches diffèrent, les organisations doivent soigneusement cartographier leurs obligations pour déterminer quelles opérations sont régies par le RGPD, la Loi sur l'IA de l'UE, ou les deux.
Rôle de l'anonymisation dans la conformité à la Loi sur l'IA de l'UE
L'article 10(5) de la Loi sur l'IA de l'UE stipule que les ensembles de données d'entraînement, de validation et de test doivent être soumis à des pratiques de gouvernance et de gestion des données appropriées à la finalité prévue du système d'IA à haut risque, en particulier pour assurer la détection et la correction des biais. L'article 2(7) précise que l'application de la Loi sur l'IA de l'UE n'affecte pas le Règlement (UE) 2016/679 (RGPD) ou la Directive 2002/58/CE (Directive ePrivacy), sans préjudice des articles 10(5) et 59.
L'article 59 définit les règles relatives au traitement des données personnelles pour le développement de systèmes d'IA à haut risque, établissant des exigences pour les fournisseurs et déployeurs d'IA afin qu'ils se conforment aux lois existantes sur la protection des données. Ici, garantir qu'un système d'IA est équitable et impartial nécessitera donc également la conformité aux exigences pertinentes du RGPD, y compris la licéité, l'équité et la transparence (article 5(1)(a)) ; la minimisation des données (article 5(1)(c)) ; l'exactitude (article 5(1)(d)) ; le traitement des catégories spéciales de données personnelles (article 9) ; les droits des personnes concernées (articles 12-22) ; et les mesures de sécurité (article 32).
L'article 9 du RGPD est particulièrement pertinent lors du traitement de catégories spéciales de données personnelles, telles que les données génétiques et biométriques, ce qui est interdit par la loi. Cependant, en vertu de l'article 6 du RGPD, le traitement peut être licite s'il n'infère pas d'attributs sensibles et si des techniques d'anonymisation appropriées sont appliquées pour rendre les données non identifiables (considérant 26). Dans de tels cas, les restrictions de l'article 9 peuvent ne pas s'appliquer.
La Loi sur l'IA de l'UE interdit l'utilisation de systèmes d'IA (article 5) qui impliquent des pratiques d'IA interdites, telles que l'identification biométrique en temps réel pour la surveillance de masse dans les espaces publics ; et le grattage non ciblé d'images faciales sur Internet ou de la vidéosurveillance pour les bases de données de reconnaissance faciale. À cet égard, les premières exigences de la Loi sur l'IA de l'UE, interdisant les pratiques d'IA prohibées, sont entrées en vigueur le 2 février 2025.
L'article 6 de la Loi sur l'IA de l'UE décrit les seuils pour classer les systèmes d'IA comme à haut risque. La Loi, dans l'annexe III, précise huit contextes différents qui sont généralement considérés comme à haut risque, tels que la gestion des infrastructures critiques (par exemple, les systèmes de gestion du trafic pilotés par l'IA) et les systèmes d'identification biométrique qui ne sont pas interdits (par exemple, la reconnaissance des empreintes digitales ou des iris aux contrôles frontaliers).
Les systèmes d'IA utilisés uniquement pour vérifier l'identité d'une personne en correspondance 1:1, c'est-à-dire pour confirmer si une personne est bien celle qu'elle prétend être (par exemple, déverrouiller un téléphone avec la reconnaissance faciale ou d'empreintes digitales), ne sont pas considérés comme à haut risque. Dans un cas de correspondance 1:N (pour identifier un individu parmi un groupe), la Loi classe ces systèmes comme à haut risque et impose des exigences en matière de documentation, de gouvernance stricte, de gestion des risques, de transparence pour les autres, et de réalisation d'évaluations d'impact sur les droits fondamentaux.
Pour répondre aux exigences des systèmes d'IA à haut risque, en particulier lorsque des données biométriques, génétiques ou, en général, d'autres données sensibles sont utilisées pour entraîner les modèles d'IA, les développeurs d'IA peuvent employer des techniques d'anonymisation, de chiffrement ou de pseudonymisation. Cela garantit la conformité avec :
- La gouvernance et gestion des données (article 10), qui exige des mesures techniques et organisationnelles appropriées (MTOs) pour minimiser les risques. Par exemple, une entreprise de technologie de la santé collecte des données de centaines de patients contenant leurs caractéristiques faciales pour développer et entraîner un système d'IA à haut risque qui diagnostique les maladies de la peau. Ici, le floutage des caractéristiques faciales aide les développeurs d'IA à prévenir la sur-collecte de données (en s'assurant que seule la partie de la peau est exposée) et réduit le risque d'identification des individus, protégeant ainsi leur vie privée et leurs droits en matière de protection des données.
- L'exactitude, la robustesse et la cybersécurité (article 15), qui exigent que les systèmes d'IA soient techniquement robustes et résistants à la manipulation. L'anonymisation, dans ce cas, peut aider les développeurs à réduire le risque d'accès non autorisé et les risques cyber.
- Les évaluations d'impact sur les droits fondamentaux (EIDF), qui exigent que les déployeurs de systèmes d'IA à haut risque évaluent leur impact sur les droits fondamentaux. Si le système traite des données personnelles, des techniques d'anonymisation peuvent être appliquées pour réduire les risques de non-conformité avec le RGPD. Lorsque les données sont correctement anonymisées de manière irréversible, elles sont considérées comme non personnelles au sens du RGPD. Ainsi, lorsque les développeurs et déployeurs d'IA réalisent une EIDF (article 27) ou des évaluations de conformité (article 43), ils atténuent le risque de violation des droits fondamentaux et doivent prouver que le risque de réidentification est réduit au minimum.
- Le considérant 59 souligne la nécessité du droit à la vie privée et garantit la protection des données personnelles tout au long du cycle de vie du système d'IA, exigeant la prise en compte des principes du RGPD tels que la protection des données dès la conception et par défaut. Cela signifie que, par exemple, lorsqu'une entreprise automobile enregistre des rues pour constituer des ensembles de données afin d'entraîner des véhicules autonomes ou des systèmes d'aide à la conduite (ADAS), les données doivent être anonymisées (visages et plaques d'immatriculation floutés dans les enregistrements).
Permettre la conformité de l'IA avec l'anonymisation avancée de Gallio.pro
La Loi sur l'IA de l'UE définit des exigences strictes pour le traitement des données personnelles dans l'entraînement des systèmes d'IA. Elle aura sans aucun doute un effet profond sur la façon dont les développeurs d'IA équilibrent la protection de la vie privée des données avec la préservation des données critiques nécessaires à l'entraînement de l'IA. Gallio.pro excelle dans le masquage des données personnellement identifiables, telles que les plaques d'immatriculation et les visages, vous permettant de maintenir les performances du modèle d'IA tout en respectant les réglementations sur la vie privée. Nos solutions d'anonymisation peuvent vous aider à répondre aux exigences strictes des systèmes d'IA à haut risque, atténuant le risque de complications juridiques et réglementaires.
