RGPD et Intelligence Artificielle : quel(s) impact(s) mutuel(s) ?

Partager

Si l’intelligence artificielle est source de gains de productivité pour de nombreuses entreprises, le RGPD vient rappeler que l’utilisation de la data ne va pas sans contraintes légales et éthiques. Dans le même temps, l’IA peut s’avérer être un outil précieux pour la mise en conformité à ce même règlement.

Derrière la protection des données, l’éthique en filigrane

Le RGPD est une règlementation avant tout axée sur la protection des données, au travers d’une série de règles visant à préserver la vie privée des individus. Il fournit un cadre sur la façon dont les entreprises peuvent collecter et traiter les données à caractère personnel. Le sujet connexe à cette protection ? L’éthique, qui prend de l’ampleur au fur et à mesure que se développent les usages de l’IA.

Ethique, dans la manière dont on peut « moraliser » l’usage des données traitées par les algorithmes. En la matière, ce ne sont pas les données qui sont éthiques, mais bien les usages qui sont bâtis à partir de ces données.

Ethique, dans le type de données que l’on s’autorise à exploiter : peut-on considérer comme vertueux l’usage de données de santé à des fins commerciales ?

Ethique, dans l’impact que peut avoir une décision d’IA sur les vies humaines. « Si l’IA n’est pas mentionnée explicitement dans le RGPD, il y est question de prise de décision automatisée », rappelle Mick Lévy, Directeur de l'Innovation Business chez Business & Decision. « Le texte encadre ces prises de décisions automatisées dès lors qu’elles produisent des effets juridiques ou ont des impacts significatifs sur les personnes concernées. Dans ces cas, la décision finale devra être prise par l’humain afin d’éviter que les individus ne subissent des choix émanant uniquement d’algorithmes, comme pour l’octroi d’un prêt immobilier ou le recrutement d’un candidat par exemple ».

En l’absence de règlement précis au sujet de l’IA, des organismes européens tels que l’OCDE ou la CNIL en France proposent des cadres éthiques afin de mieux réguler ses usages. Ils rappellent que les systèmes d’IA doivent être conçus de manière à respecter les valeurs démocratiques et la diversité, en permettant notamment l’intervention humaine en cas de besoin. « Le RGPD instaure le privacy-by-design. A l’ère de l’intelligence artificielle, il doit être complété par l’ethics-by-design » conseille Mick Lévy.

IA et éthique : pourquoi ça coince ?

Deux éléments intrinsèques de l’IA entraînent les questions d’éthique. D’abord, les biais cognitifs : que dire d’un logiciel de reconnaissance faciale uniquement entraîné à partir de centaines de profils d’une même couleur de peau ? Pour encadrer les usages de l’IA, les organisations devront nourrir les algorithmes d’apprentissage profond (deep Learning) à partir de milliers de données en prêtant attention à la variété des sources pour ne pas biaiser leurs décisions. Or, ce n’est pas toujours réalisable, tant les critères pris en compte par l’IA peuvent être nombreux. « Les intelligences artificielles ‘apprennent’ à partir des données qui leur sont fournies en entrée. Si ces données ne sont pas parfaitement bien réparties sur tous les critères possibles, on risque d’induire un biais dans la prise de décision », argumente Mick Lévy.

Vient ensuite l’enjeu d’explicabilité et de transparence des algorithmes : « Les algorithmes d’apprentissage profond sont basés sur des réseaux de neurones. Les plus avancés peuvent mettre en œuvre des milliers, voire des millions de neurones interconnectés, qui jouent chacun un rôle dans la décision prise par l’intelligence artificielle. Avoir de l’éthique dans les usages de l’IA, ce sera aussi être capable d’expliquer les prises de décisions de ces algorithmes complexes. Et aujourd’hui, c’est parfois mission impossible sur ces algorithmes avancés qui s’apparentent à une boîte noire ».

L’IA, une aide précieuse pour se conformer au RGPD

En inversant le paradigme, on découvre que l’IA peut être un outil très utile de mise en conformité au RGPD. Quelques exemples pour illustrer cette idée.

Les organisations ont l’obligation de communiquer une perte de données auprès des autorités de régulation et des personnes concernées dans un délai de 72 heures. Afin de détecter les fuites d’informations et d’éviter leur propagation sur le web, elles peuvent ainsi s’équiper de programmes basés sur des algorithmes.

L’IA permet également d’analyser toutes les données de l’entreprise pour détecter des anomalies comme des informations personnelles ou des remarques injurieuses dans les zones de commentaires des outils de gestion de la relation client. Ce contrôle de données dispersées entre différents SI ou bases de données et leur catalogage vont s’avérer précieux à l’heure où le RGPD impose une maîtrise de l’ensemble du cycle de vie de la donnée.

« La capacité de l‘IA à brasser de la data peut être exploitée pour répondre au droit des personnes à accéder à leurs données », conclut Mick Lévy. « Les organisations vont pouvoir mettre en place des outils leur offrant une vision centralisée et consolidée des données client sur une même plateforme, le tout accessible en self-service par les personnes concernées ».

 

Pour aller plus loin