L'organisme de protection de la vie privée de l'Union Européenne a pris position sur les questions émergentes concernant la légalité de GenAI. Le comité a exploré les failles que les développeurs d'IA pourraient exploiter pour traiter des données personnelles sans contrevenir à la législation actuelle.
Le Comité Européen de la Protection des Données a soulevé des questions sur la base légale pour les développeurs d'IA traitant les données personnelles des utilisateurs. Dans un avis publié le 17 décembre, le comité a abordé diverses questions d'application générale en conformité avec l'article 64(2) du RGPD.
Le comité de protection de la vie privée de l'Union Européenne s'exprime sur les questions de protection des données et de déploiement de l'IA
Le Comité Européen de la Protection des Données (CEPD) a émis cet avis à la demande de l'autorité de surveillance irlandaise. Le comité a noté qu'il avait un mandat statutaire en vertu du Règlement Général sur la Protection des Données (RGPD) pour émettre un avis sur des questions affectant plus d'un État membre de l'Union Européenne.
L'agence a souligné les demandes présentées par l'organisme irlandais concernant le traitement des données personnelles pendant les phases de développement et de déploiement de l'Intelligence Artificielle (IA). Elle a restreint l'avis à quatre questions liées à la protection des données au sein de l'Union Européenne.
Les questions comprenaient quand et comment un modèle d'IA peut être considéré comme anonyme et comment les responsables du traitement peuvent illustrer la nécessité de l'intérêt légitime lors du déploiement. Le comité a également exploré les conséquences du traitement illégal des données pendant la phase de développement d'un modèle d'IA sur le fonctionnement ultérieur de ce modèle d'IA.
Concernant la question de quand et comment l'anonymat d'un modèle d'IA peut être déterminé, l'organisme a déclaré qu'une autorité locale compétente devrait prendre cette décision au cas par cas. Le comité a exprimé qu'il ne considérait pas tous les modèles d'IA formés en utilisant des données personnelles comme anonymes.
L'organisme a recommandé que les autorités nationales de surveillance évaluent la documentation pertinente fournie par le responsable du traitement pour déterminer l'anonymat d'un modèle. Il a ajouté que les responsables du traitement devraient également prendre les mesures appropriées pour limiter la collecte de données personnelles lors de la formation et atténuer les attaques potentielles.
Sur la question de l'intérêt légitime comme base légale appropriée pour le traitement des données personnelles lors du déploiement de modèles d'IA, le comité a laissé aux responsables du traitement le soin de déterminer la base légale appropriée pour le traitement de ces données.
Le CEPD a souligné le test en trois étapes pour déterminer l'intérêt légitime par les organes de surveillance. Les étapes comprenaient l'identification de l'intérêt légitime réel et l'analyse de sa nécessité. Les responsables du traitement doivent également évaluer si l'intérêt légitime équilibre les droits et libertés des personnes concernées.
En évaluant les conséquences, l'organisme a référé la discrétion aux autorités de surveillance des États respectifs. Il a ajouté que les AS devraient choisir les conséquences appropriées en fonction des faits de chaque scénario.
Commission de Protection des Données d'Irlande commente l'avis du CEPD sur la régulation des modèles d'IA
La Commission de Protection des Données d'Irlande a répondu dans une déclaration notant que l'avis favoriserait une régulation efficace et cohérente des modèles d'IA dans l'UE. Le Commissaire Dale Sunderland a commenté :
Cela soutiendra également l'engagement de la DPC avec les entreprises développant de nouveaux modèles d'IA avant leur lancement sur le marché de l'UE, ainsi que la gestion des nombreuses plaintes liées à l'IA qui ont été soumises à la DPC.
Dale Sunderland
Des plaintes concernant le créateur de ChatGPT, OpenAI, ont été mises en avant au cours des derniers mois. L'Autorité Polonaise de Protection des Données a soulevé des questions l'année dernière sur la conformité du développeur d'IA avec le RGPD.
L'autorité a allégué qu'OpenAI avait négligé des exigences telles que la consultation préalable avec les régulateurs lorsqu'il y avait un risque de violation des données personnelles. Le régulateur a noté qu'OpenAI avait lancé ChatGPT sans consulter les régulateurs locaux en contravention des directives du RGPD.
Le Garante d'Italie a également ordonné à OpenAI de cesser de traiter des données personnelles en 2023 avant d'aborder les problèmes qu'il avait identifiés avec la plateforme de l'entreprise. Il a souligné que l'entreprise basée à San Francisco manquait de mesures pour empêcher les mineurs d'accéder à la technologie comme l'exige la loi.
L'autorité de régulation a averti que le non-respect des directives entraînerait des pénalités, y compris quatre pour cent du chiffre d'affaires annuel ou vingt millions d'euros, selon le montant le plus élevé.
Atteindre un emploi bien rémunéré dans le Web3 en 90 jours : la feuille de route ultime