Accueil
Le quotidien du droit en ligne
-A+A
Article

Publication de l’avis de l’EDPB du 17 décembre 2024 sur le traitement des données personnelles dans le contexte des modèles d’IA : prémices d’une mutation profonde du RGPD ?

Le Comité européen à la protection des données (European Data Protection Board – EDPB) a été saisi, le 4 septembre 2024, par l’Autorité irlandaise de protection des données personnelles, d’une demande d’avis sur le fondement de l’article 64, § 2, du RGPD, concernant le traitement des données personnelles dans le cadre des phases de développement et de déploiement des modèles d’IA. L’EDPB, après avoir consulté les parties prenantes le 5 novembre 2024, a rendu un avis le 17 décembre 2024, répondant précisément aux quatre questions suivantes : quand et comment un modèle d’IA peut être considéré comme « anonyme » ? ; comment les responsables du traitement peuvent démontrer le bien-fondé de l’intérêt légitime comme base juridique dans les phases de développement et de déploiement d’un modèle d’IA ? ; et quelles sont les conséquences du traitement illicite de données à caractère personnel dans la phase de développement d’un modèle d’IA sur le traitement ou l’exploitation ultérieurs du modèle d’IA ?

Les solutions formulées par l’EDPB ont pour mission de rendre compatibles – parfois au forceps – les modèles d’IA et les règles du RGPD qui n’ont pas du tout été pensées à l’origine pour ces modèles. Pour ce faire, l’EDPB trace dans cet avis les grandes lignes de ce qui pourrait s’analyser comme une future mutation du RGPD, afin de permettre une mise en compatibilité, néanmoins sous conditions, des règles du RGPD avec les modèles d’IA. À cet effet, l’EDPB préserve le caractère très large de la demande d’avis formulée par l’Autorité irlandaise sur la notion même de modèle d’IA, tout en omettant totalement le lien naturel avec le concept de « modèle d’IA à usage général » consacré par l’AI Act et retient ensuite une approche casuistique, proposant ainsi aux autorités nationales de protection des données des vingt-sept États membres d’étudier au cas par cas chaque modèle d’IA particulier, tout en offrant à ces autorités pour chacune des quatre questions posées par l’Autorité irlandaise, un ensemble de recommandations et de critères indicatifs permettant d’orienter leurs réponses, recommandations et critères qui ne sont pas exempts d’un certain nombre de glissements sémantiques, de généralisation contra legem et de cloisonnement, voire de contradictions internes.

Questions implicites relatives à la définition du modèle d’IA et du cycle de vie du modèle d’IA : silence de l’EDPB sur les modèles d’IA à usage général consacrés par l’AI Act

Avant de répondre aux quatre questions présentes dans la requête de l’Autorité irlandaise, l’EDPB fait le choix de répondre à deux questions préalables et implicites, mais néanmoins centrales : qu’est-ce qu’un modèle d’IA ?, qu’est-ce que le cycle de vie d’un modèle d’IA ?

Relativement à la première question préalable, l’EDPB rappelle que le concept du modèle d’IA n’est pas défini dans les articles de l’AI Act, et ce, contrairement au système d’IA (RGPD, art. 3, § 1)1. L’EDPB, à aucun moment, n’évoque les sous-espèces et sous-sous-espèces du modèle d’IA, le modèle d’IA à usage général (AI Act, art. 3, § 63)2 et le modèle d’IA à usage général qui présent des risques systémiques (AI Act, art. 33, § 6 et 51 s4.) qui reçoivent pourtant une définition et un régime dans l’AI Act. L’EDPB se contente de citer le considérant 97 de l’AI Act qui précise incidemment que le modèle d’IA est la brique centrale du système d’IA, système qui ne peut néanmoins fonctionner sur la base de cette seule brique, ayant besoin d’autres briques complémentaires, au premier rang desquelles une interface utilisateur. Le modèle d’IA restant donc un concept partiellement non cerné par l’AI Act, l’EDPB choisit de se concentrer sur le champ matériel de sa saisine, tel que défini dans la demande d’avis formulée par l’Autorité irlandaise.

Pour ce faire, en prenant appui sur ladite requête, l’EDPB relève que l’avis a vocation à concerner « les modèles d’IA s’analysant en le produit de mécanismes d’apprentissage appliqués à un jeu de données d’apprentissage, dans le contexte de l’intelligence artificielle, du machine learning, du deep learning ou d’autres contextes de traitement connexes ». En outre, l’avis à vocation à s’appliquer « aux modèles d’IA qui sont destinés à subir un apprentissage, un fine-tuning et/ou un développement complémentaire, ainsi qu’aux modèles d’IA qui ne le sont pas ». Cet avis précise finalement qu’il ne concernera, et ce, logiquement au regard du RGPD, que les modèles qui ont appris sur des jeux de données d’apprentissage comprenant des données personnelles.

Relativement à la seconde question préalable sur le cycle de vie du modèle, l’EDPB note que la demande fait référence au « cycle de vie » des modèles d’IA, ainsi qu’à diverses étapes concernant, entre autres, la « création », le « développement », la « formation », la « mise à jour », le « réglage fin-fine tuning », l’« exploitation » ou la « post-formation » des modèles d’IA. Aux fins de répondre à la demande de l’Autorité irlandaise, l’EDPB considère qu’il est important de rationaliser la catégorisation des étapes susceptibles de se produire. Par conséquent, l’EDPB fait référence à la « phase de développement » et à la « phase de déploiement ». Le développement d’un modèle d’IA couvre toutes les étapes précédant le déploiement du modèle d’IA et comprend, entre autres, le développement du code, la collecte des données personnelles d’entraînement, le prétraitement des données personnelles d’entraînement et l’entraînement. Le déploiement d’un modèle d’IA couvre toutes les étapes relatives à l’utilisation d’un modèle d’IA et peut inclure toutes les opérations menées après la phase de développement. Cette distinction n’est pas sans rappeler les concepts présents dans l’AI Act, qui différencie les « fournisseurs (développeurs) » des systèmes et des modèles d’IA à l’article 3, § 3, de l’AI Act et les « déployeurs » des systèmes et des modèles d’IA à l’article 3, § 4, du même règlement.

En d’autres termes, ces deux précisions préalables signifient implicitement que l’avis concerne, au titre de son champ d’application matériel, dès lors que ces modèles ont appris sur des jeux de données incluant des données à caractère personnel, les phases de développement, puis de déploiement :

  • non seulement des modèles d’IA à usage spécial non réglementés par l’AI Act : par exemple des modèles entraînés, durant la phase de développement, uniquement sur des données de santé, en vue de devenir, en phase de déploiement, la brique centrale d’un système d’IA à visée de diagnostic médical ;
  • mais également les modèles d’IA à usage général de l’article 3, § 63, de l’AI Act et, sa sous-espèce, les modèles d’IA à usage général présentant des risques systémiques des articles 51 et suivants de l’AI Act : par exemple les grands modèles de langage ou Large Langage Models – LLM –, entrainés en phase de développement, sur de très grandes masses de données personnelles et non personnelles, comme l’ensemble des données accessibles sur les réseaux sociaux, voire la totalité des données accessibles sur internet obtenues par web scraping5, en vue de devenir, en phase de déploiement, la brique technique principale de systèmes d’IA générative à usage général – de type Chat GPT, Copilot, Gemini, Grok… Ces systèmes d’IA générative à usage général, incluant un modèle d’IA, peuvent à leur tour devenir, par un système de poupées russes, la brique centrale de systèmes d’IA à usage spécial, comme un système d’IA dédié uniquement à la production d’actes juridiques, à la suite d’un apprentissage complémentaire sur des bases de données juridiques spécialisées.

Néanmoins, l’EDPB ne tire ensuite aucune conséquence de l’inclusion implicite du modèle d’IA à usage général et du modèle d’IA à usage général présentant des risques systémiques, tant au stade de leurs phases de développement, que de déploiement, au sein de la catégorie du modèle d’IA qu’il retient au titre des solutions proposées aux quatre questions posées. Nous verrons tout particulièrement l’impact de cette omission à l’occasion de la réponse aux deuxièmes et troisièmes questions posées par l’Autorité irlandaise.

Pour le reste, le maître mot de l’EDPB est d’approcher de manière casuistique les modèles d’IA. Cette approche consiste pour l’EDPB à proposer aux autorités nationales de protection des données d’étudier au cas par cas chaque modèle d’IA particulier, et leur offrant, pour chaque question posée par l’Autorité irlandaise, un ensemble de recommandations et de critères indicatifs permettant d’orienter leurs réponses particulières, recommandations et critères qui traduisent des glissements sémantiques, des interprétations contra legem ou qui sont parfois contradictoires entre eux.

Première question, « Quand et comment un modèle d’IA peut être considéré comme anonyme ? » : glissement de l’anonymisation des données vers l’anonymat du modèle

La première question explicite de l’Autorité irlandaise a pour objet de déterminer, si le modèle, une fois développé, est anonyme et ne « régurgite » plus – terme employé par les informaticiens – les données personnelles sur la base desquelles il a appris. Le double enjeu de cette première question est de taille.

En premier lieu, la démonstration de l’anonymat du modèle permet de créer une barrière étanche entre la phase de développement du modèle, sur la base d’un ensemble de données personnelles, et la phase de déploiement du modèle. En d’autres termes, en cas de reconnaissance de l’anonymat du modèle, il sera considéré que les données initialement traitées lors de la phase d’apprentissage, n’auront plus vocation à être traitées durant la phase de déploiement. Seules les données personnelles utilisées comme entrées (prompts, contexte, inputs), lors de la phase de déploiement du système créé sur la base d’un modèle, feront l’objet d’un traitement et imposeront l’application du RGPD. À l’inverse, si le modèle n’est pas considéré comme anonyme, toutes les données ayant servi lors de la phase d’apprentissage, seront réutilisées et retraitées à chaque fois que le modèle est déployé dans un système d’IA et...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :