Interrogé par l’autorité irlandaise de contrôle, le CEPD a adopté, le 18 décembre 2024, son premier avis sur l’intelligence artificielle.
L’avis du CEPD porte sur trois points, en réponse aux trois questions qui ont été posées par l’autorité de contrôle irlandaise.
1/ L’application du RGPD aux traitements réalisés au moyen d’outils d’intelligence artificielle
Dès lors que le RGPD ne s’applique pas aux données « anonymes » (considérant 26 du RGPD), l’autorité de contrôle se demande dans quelle mesure les traitements de données réalisés au moyen d’outils d’intelligence artificielle peuvent échapper à l’application du RGPD (dans l’hypothèse où l’outil ne traiterait que des données non personnelles ou des données personnelles anonymisées)
Selon le CEPD, les intelligences artificielles sont entraînées à l’aide de « données d’apprentissage » qui contiennent, généralement, des données à caractère personnel. Ainsi, par principe, il faut considérer les traitements de données réalisés par les outils d’intelligence artificielle comme soumis au RGPD.
Par exception, le CEPD fournit les critères permettant d’évaluer, au cas par cas, si les traitements réalisés au moyen d’outils d’intelligence artificielle échappent à l’application du RGPD (dès lors que l’outil ne traiterait pas de données personnelles ou uniquement des données personnelles anonymisées). Parmi les critères, le CEPD recommande de vérifier (i) que les données d’apprentissage utilisées ne peuvent pas être extraites de l’outil et (ii) que les résultats générés ne font pas ressortir les données à caractère personnelle présentes dans les données d’apprentissage.
2/ La base légale applicable aux traitements réalisés au moyen d’outils d’intelligence artificielle
A l’exception de ceux non soumis au RGPD (cf. point précédent), les outils d’intelligence artificielle traitent, en principe, des données à caractère personnel. Or, conformément à l’article 6 du RGPD, tous les traitements de données personnelles doivent reposer sur une base légale. Ainsi, l’autorité de contrôle se demande si l’intérêt légitime est une base légale valable.
Selon le CEPD, les traitements de données personnelles réalisés au moyen d’outils d’intelligence artificielle peuvent être fondés sur l’intérêt légitime. La possibilité d’utiliser cette base légale n’est cependant pas absolue : le responsable du traitement doit préalablement s’assurer que les « conditions » de l’intérêt légitime sont remplies.
3/ Les conséquences du développement illicite d’une intelligence artificielle
Les outils d’intelligence artificielle poursuivent généralement plusieurs phases (l’outil est d’abord développé, puis déployé et enfin utilisé). L’autorité de contrôle se demande si, en cas de non-respect du RGPD pendant la phase de développement, ce manquement peut avoir une conséquence sur l’utilisation de l’outil d’intelligence artificielle.
Selon le CEPD, le développement d’une intelligence artificielle en violation du RGPD rend nécessairement son déploiement et son utilisation illicites.