Modèle d'IA développé avec des données personnelles traitées illégalement : quelles conséquences sur le déploiement du modèle d'IA ?

Dans son avis adopté 18 décembre 2024 sur l’utilisation de données à caractère personnel pour le développement et le déploiement de modèles d’intelligence artificielle à la demande de l’autorité irlandaise de protection des données, le Comité européen de la protection des données (CEPD) s’est prononcé sur l’impact possible de l’illicéité du traitement de données personnelles en phase de développement d’un modèle d’IA sur la licéité des traitements subséquents et notamment en phase de déploiement du modèle d’IA.

Le CEPD précise que le responsable de traitement doit documenter la conformité de chaque modèle et non le SIA de façon générale. Dans cet avis, il aborde spécifiquement :

1-L’anonymisation des modèles d’IA. Un modèle serait anonyme à condition qu’il soit très peu probable :

-d’identifier, directement ou indirectement, les personnes dont les données personnelles ont été utilisés pour créer le modèle ;

-d’extraire ces données du modèle par le biais de requêtes.

2-L'intérêt légitime, qui peut constituer la base de licéité dès lors que le test en trois étapes est validé:

✅ Définir un intérêt légitime concret et pertinent ;

✅ Établir la nécessité du traitement pour réaliser l'objectif visé ;

✅ Évaluer l'équilibre entre les avantages pour le responsable du traitement et les droits des personnes concernées.

3-L’impact sur la légalité du déploiement d'un modèle d'IA, de son développement avec des données personnelles traitées sans base légale, à moins que le modèle n’ait été anonymisé.

Attardons-nous un instant sur ce troisième volet de l’avis du CEPD :

·         Première situation : Le modèle d’IA n’est pas anonymisé avant son déploiement

Nous sommes face à un modèle d’IA développé avec des données personnelles traitées illicitement et utilisées dans le modèle d’IA. Ce dernier est ensuite déployé par le même responsable de traitement ou par un autre déployeur.

Développement et déploiement du modèle d’IA ont des finalités différentes et sont pour autant des traitements différents ; le CEPD considère par conséquent que l’impact de l’illicéité du premier traitement sur le deuxième doit être envisagé au cas par cas.

-  Par exemple, cette illicéité devra être prise en compte dans la balance réalisée pour mesurer l’intérêt légitime du responsable de traitement si c’est la base de licéité du déploiement du modèle d’IA. Il s’agira notamment de se demander quel est le risque potentiel pour la personne concernée dont les données ont été illicitement traitées pour entraîner le modèle.

-  Lorsque le modèle d’IA est déployé par un responsable de traitement différent de celui qui l’a développé, le déployeur doit, pour répondre à son obligation de reddition de comptes, vérifier la source des données et s’assurer que le modèle d’IA qu’il déploie n’a pas été développé en infraction du RGPD, surtout s’il est démontré que le responsable de traitement ne pouvait ignorer cette atteinte.

·         Deuxième situation : le modèle d’IA est anonymisé avant son déploiement

Dans ce cas, retenons de l’avis du CEPD que :

✅ L’anonymisation est un traitement de données ;

✅Si le modèle est anonymisé, le RGPD ne s’applique pas et par conséquent l’illicéité du traitement nécessaire au développement du modèle n’impacte pas les traitements subséquents opérés par le modèle ;

✅Si le modèle d’IA anonymisé utilise des données personnelles lors de son déploiement, le RGPD s’applique sans que l’illicéité du modèle n’impacte le déploiement.

L’avis du CEPD met ainsi en lumière la distinction très nette des phases de développement et déploiement d’un modèle d’IA qui constituent, s’ils utilisent des données personnelles, deux traitements distincts, et la nécessité, pour tout déployeur de modèle d’IA, de s’intéresser très précisément à la manière dont le modèle a été développé.

Élise DEBIÈS, Avocate