Poser question

Qu’est-ce que l’intelligence artificielle dans la sécurité des données ?

Table des matières

Intelligence artificielle dans la sécurité des données - définition

L’intelligence artificielle dans la sécurité des données désigne l’application de méthodes d’apprentissage automatique (machine learning) et d’apprentissage profond (deep learning) pour identifier, classifier, traiter et protéger les informations, afin de réduire les risques d’atteinte à la confidentialité, à l’intégrité et à la disponibilité. Dans le contexte de l’anonymisation d’images et de vidéos, il s’agit de détecter automatiquement les éléments permettant d’identifier une personne - notamment les visages et les plaques d’immatriculation - puis de les altérer (par exemple par floutage ou mosaïque), conformément au principe de minimisation des données et à la protection des données dès la conception (« privacy by design », art. 5 et 25 du RGPD - Règlement (UE) 2016/679).

Le cadre de référence pour une utilisation sécurisée de l’IA est complété par les normes ISO/IEC relatives à la gestion des risques liés à l’IA (ISO/IEC 23894:2023) et aux systèmes de management de la sécurité de l’information (ISO/IEC 27001:2022).

Rôle de l’IA dans l’anonymisation d’images et de vidéos

Dans l’anonymisation visuelle, l’IA constitue la couche de détection et de décision. Les modèles de deep learning, entraînés sur des ensembles de données comprenant des visages et des plaques d’immatriculation, reconnaissent ces objets dans diverses conditions, puis des algorithmes de transformation appliquent un floutage ou une pixellisation. Cela nécessite un modèle préalablement entraîné sur des données représentatives - sans cela, la détection sera incomplète, augmentant directement le risque de divulgation de données personnelles.

En pratique :

  • un détecteur localise les visages et les plaques d’immatriculation à l’aide de réseaux neuronaux convolutionnels ou de modèles de vision par transformeurs ;
  • des mécanismes de suivi d’objets stabilisent les masques dans les séquences vidéo ;
  • des filtres de traitement d’image appliquent une altération au niveau des pixels.

Dans les outils on-premise tels que Gallio PRO, l’IA automatise le floutage des visages et des plaques d’immatriculation. D’autres éléments (par exemple logos, tatouages, badges nominatifs, documents) peuvent être masqués manuellement dans l’éditeur. Cette approche permet de limiter le périmètre de traitement et de simplifier l’analyse de risque, conformément au principe de « privacy by design » (art. 25 RGPD) et aux recommandations du CEPD (EDPB) relatives aux dispositifs de vidéosurveillance (Lignes directrices 3/2019, version finale 2020).

Technologies et architectures (vision par ordinateur)

Les solutions d’IA dédiées à l’anonymisation reposent sur des paradigmes établis de vision par ordinateur. Le choix technologique influence la sensibilité et la rapidité du système, et indirectement le risque résiduel de divulgation.

Les technologies les plus utilisées sont :

  • détecteurs d’objets : RetinaFace (Deng et al., 2019) pour les visages ; famille YOLO et variantes pour les plaques d’immatriculation - ces détecteurs fournissent des boîtes englobantes et un score de confiance (AP/mAP comme métriques standard ; benchmark WIDER FACE pour la détection faciale) ;
  • segmentation et points de repère (landmarks) : masques faciaux précis améliorant la couverture en cas d’occlusions partielles ;
  • suivi vidéo : algorithmes tels que SORT/DeepSORT stabilisant les masques entre les images et réduisant l’effet de « clignotement » ;
  • traitement d’image : filtres gaussiens, pixellisation, remplacement par une couleur neutre - le choix influe sur la résistance à la reconstruction et la lisibilité du contexte ;
  • MLOps on-premise : gestion des versions des modèles, validation des modifications, builds reproductibles et isolation des environnements (conformément à l’ISO/IEC 27001:2022 - gestion des changements et sécurité des environnements).

Paramètres clés et métriques (anonymisation visuelle)

L’efficacité et la sécurité opérationnelle doivent être mesurées et documentées. Le tableau ci-dessous présente les métriques couramment utilisées dans les projets d’IA pour l’anonymisation d’images et de vidéos. Les seuils dépendent du contexte de risque et doivent résulter d’une analyse formelle (ISO/IEC 23894:2023 ; NIST AI RMF 1.0, 2023).

Métrique

Description

Remarques d’utilisation

Source / norme

 

Precision / Recall (détection)

Taux de détections correctes et exhaustivité

Calcul par classe (visage, plaque) ; IoU et seuil de confiance à expliciter

WIDER FACE, métriques COCO

mAP@IoU

Précision moyenne pour un seuil de recouvrement (IoU)

Indiquer le seuil IoU (ex. 0,5) et les courbes PR

Benchmark WIDER FACE ; évaluation COCO

False Negative Rate

Taux d’objets non détectés

Critique pour le risque de divulgation

NIST AI RMF 1.0 (2023)

Latence

Temps de traitement par image / trame

Préciser la configuration matérielle et la taille des lots

ISO/IEC 25010 (performance)

Stabilité du masque

Pourcentage d’images sans « clignotement » du masque

Tests séquentiels avec suivi nécessaires

Bonnes pratiques d’ingénierie ; NIST SP 800-53 rev.5

Résistance à la reconstruction

Vérification que la transformation empêche la reconstitution des traits identifiants

Tests d’attaques de reconstruction et estimation du risque

ISO/IEC 20889:2018

Défis et limites (risques et conformité)

L’intelligence artificielle dans la sécurité des données appliquée à l’image comporte des risques techniques et juridiques. Les conditions variables d’enregistrement, la compression, les occlusions et les prises de vue à distance augmentent le risque de non-détection partielle. Les modèles peuvent perdre en capacité de généralisation hors de leur domaine d’entraînement, ce qui nécessite une validation continue et un réentraînement régulier.

Du point de vue de la conformité, le CEPD souligne que l’image d’une personne peut constituer une donnée à caractère personnel, et que le traitement de contenus vidéo doit respecter les principes du RGPD ainsi qu’une analyse de nécessité et de proportionnalité (Lignes directrices 3/2019, version finale du 29.01.2020). Dans plusieurs pays d’Europe occidentale, les autorités de contrôle exigent fréquemment le masquage des plaques d’immatriculation lors de publications ou de partages. Ces différences doivent être intégrées dans l’analyse de risque et les politiques internes de publication.

Exemples d’applications pratiques (anonymisation des visages et des plaques)

L’IA et le traitement d’image sont utilisés dans des processus d’anonymisation de vidéos et de photos répétitifs, où performance et cohérence sont essentielles. Exemples d’implémentations on-premise sans traitement en temps réel ni flux vidéo :

  • archives de vidéosurveillance - floutage massif des visages et plaques avant transmission à des tiers (CEPD 3/2019) ;
  • recherches et audits - préparation de jeux de données vidéo/photo pour publication conformément au principe de minimisation ;
  • médias et communication - diffusion de contenus d’événements publics avec respect du droit à l’image et masquage des plaques selon la pratique des régulateurs européens ;
  • gestion des demandes d’accès - masquage sélectif des tiers dans les images communiquées au demandeur.

Dans ce contexte, Gallio PRO floute automatiquement les visages et les plaques d’immatriculation, tandis que les autres éléments sont traités manuellement dans l’éditeur. Le logiciel fonctionne on-premise et n’effectue ni anonymisation en temps réel ni traitement de flux vidéo. Le système ne conserve pas de journaux contenant des détections de visages, de plaques ou d’autres données personnelles.

Références normatives et lignes directrices

L’utilisation correcte de l’IA dans la sécurité des données pour l’image et la vidéo doit s’appuyer sur des normes et documents de référence :

  • RGPD - Règlement (UE) 2016/679 : art. 5 (principes), art. 25 (privacy by design), considérant 26 (anonymisation) ;
  • CEPD, Lignes directrices 3/2019 sur le traitement des données personnelles par les dispositifs vidéo (version finale 29.01.2020) ;
  • ISO/IEC 27001:2022 - système de management de la sécurité de l’information ;
  • ISO/IEC 23894:2023 - gestion des risques liés à l’IA ;
  • ISO/IEC 20889:2018 - techniques de protection de la vie privée et de limitation de l’identifiabilité ;
  • ISO/IEC 22989:2022 et ISO/IEC 23053:2022 - terminologie et cycle de vie des systèmes d’IA ;
  • NIST AI Risk Management Framework 1.0 (2023) ;
  • NIST SP 800-53 rev. 5 (2020) - contrôles de sécurité pour systèmes d’information.

Voir aussi

Retour au glossaire