Le projet de réglementation des IA génératives préparé par les autorités de protection des données

par | Avr 21, 2023

“Protégeons nos données avec des IA génératives réglementées!”

Mise à jour mai 2023 : un prompt respectueux des données personnelles et du droit d’auteur lors de la fouille de texte

 

Introduction

Le projet de réglementation des IA génératives est un document préparé par les autorités de protection des données pour réglementer l’utilisation des technologies d’intelligence artificielle générative. Il vise à protéger les droits fondamentaux des personnes et à promouvoir l’innovation et l’utilisation responsable des technologies d’IA générative. Le projet de réglementation vise à établir des règles claires et précises pour l’utilisation des technologies d’IA générative, à assurer la transparence et à garantir que les données personnelles sont traitées de manière responsable. Il vise également à promouvoir l’utilisation des technologies d’IA générative pour le bien commun et à encourager l’innovation et l’utilisation responsable des technologies d’IA générative.

L’IA générative est un sous-domaine de l’intelligence artificielle (IA) qui implique l’utilisation de réseaux de neurones artificiels pour créer des données ou des contenus, tels que des images, de la musique ou du texte, de manière autonome. Contrairement à d’autres types d’IA qui se concentrent sur l’analyse de données existantes, l’IA générative crée de nouvelles données à partir d’une série de modèles statistiques appris à partir d’un ensemble de données d’entraînement.

Le processus de fonctionnement de l’IA générative varie selon les techniques utilisées. Cependant, en général, les réseaux de neurones artificiels sont entraînés à reconnaître des modèles dans des ensembles de données existants, tels que des images ou des textes. Ensuite, ces réseaux sont utilisés pour générer de nouvelles données qui ressemblent à celles de l’ensemble d’entraînement.

Il existe plusieurs approches pour réaliser de l’IA générative, notamment l’utilisation de réseaux de neurones récurrents (RNN) ou de réseaux de neurones antagonistes génératifs (GAN). Dans le cas des RNN, les modèles sont entraînés à prédire la prochaine valeur dans une séquence de données, puis sont utilisés pour générer de nouvelles séquences. Dans le cas des GAN, deux réseaux de neurones sont utilisés en tandem : un réseau génératif qui crée des données et un réseau discriminant qui évalue la qualité des données générées. Les deux réseaux sont entraînés simultanément jusqu’à ce que le réseau génératif puisse produire des données de haute qualité.

En résumé, l’IA générative utilise des réseaux de neurones artificiels pour créer de nouvelles données qui ressemblent à celles d’un ensemble d’entraînement. Les techniques utilisées varient, mais toutes impliquent l’utilisation de modèles statistiques pour générer des données nouvelles et originales.

Quels sont les principaux défis à relever pour mettre en œuvre le projet de réglementation des IA génératives?

Le défi principal à relever pour mettre en œuvre le projet de réglementation des IA génératives est de définir des lignes directrices claires et précises pour le développement et l’utilisation des technologies d’IA génératives. Il est essentiel de déterminer les limites de l’utilisation des technologies d’IA génératives et de définir des règles et des procédures pour leur développement et leur utilisation.

Un autre défi important est de développer des mécanismes de surveillance et de contrôle pour s’assurer que les technologies d’IA génératives sont utilisées de manière responsable et conformément aux lignes directrices établies. Il est également important de développer des mécanismes de responsabilisation pour s’assurer que les entreprises et les utilisateurs sont tenus responsables de leurs actions et de leurs décisions.

Enfin, il est essentiel de développer des mécanismes de protection des données pour s’assurer que les données personnelles et les informations sensibles sont protégées et ne sont pas utilisées à des fins non autorisées. Il est également important de développer des mécanismes de protection des droits de propriété intellectuelle pour s’assurer que les technologies d’IA génératives ne sont pas utilisées pour violer les droits de propriété intellectuelle des autres.

Quels sont les avantages et les inconvénients du projet de réglementation des IA génératives pour les entreprises?

Les avantages du projet de réglementation des IA génératives pour les entreprises sont nombreux. Tout d’abord, cela leur permettrait de mieux comprendre et de mieux contrôler leurs systèmes d’IA générative, ce qui leur permettrait de mieux gérer leurs risques et leurs responsabilités. De plus, cela leur donnerait une plus grande assurance quant à la conformité de leurs systèmes d’IA générative aux lois et réglementations en vigueur. Enfin, cela leur permettrait de mieux protéger leurs données et leurs systèmes contre les cyberattaques et les violations de la vie privée.

Cependant, le projet de réglementation des IA génératives présente également des inconvénients pour les entreprises. Tout d’abord, cela peut entraîner des coûts supplémentaires pour les entreprises, car elles devront mettre en place des systèmes de conformité et des procédures pour s’assurer que leurs systèmes d’IA générative sont conformes aux lois et réglementations en vigueur. De plus, cela peut entraîner une perte de temps et d’argent pour les entreprises, car elles devront mettre en place des systèmes de conformité et des procédures pour s’assurer que leurs systèmes d’IA générative sont conformes aux lois et réglementations en vigueur. Enfin, cela peut entraîner une perte de flexibilité et de liberté pour les entreprises, car elles devront se conformer aux lois et réglementations en vigueur.

Comment le projet de réglementation des IA génératives pourrait-il aider à protéger les données personnelles?

Le projet de réglementation des IA génératives pourrait aider à protéger les données personnelles en imposant des restrictions sur la façon dont les entreprises peuvent utiliser les données personnelles. Par exemple, le projet pourrait exiger que les entreprises obtiennent le consentement explicite des utilisateurs avant de collecter et d’utiliser leurs données personnelles. De plus, le projet pourrait imposer des restrictions sur la façon dont les entreprises peuvent stocker et partager les données personnelles. Enfin, le projet pourrait exiger que les entreprises mettent en place des mesures de sécurité pour protéger les données personnelles contre la perte, l’utilisation abusive et la divulgation non autorisée. En imposant ces restrictions, le projet de réglementation des IA génératives pourrait aider à protéger les données personnelles des utilisateurs.

Conclusion

La réglementation des IA génératives préparée par les autorités de protection des données est un pas important vers la protection des données et des droits des individus. Elle offre une protection supplémentaire contre l’utilisation abusive des données personnelles et des technologies d’intelligence artificielle. Elle offre également des garanties supplémentaires pour les consommateurs et les entreprises qui utilisent ces technologies. La réglementation des IA génératives est un pas important vers une utilisation plus responsable et plus sûre des technologies d’intelligence artificielle.

Agissez maintenant pour protéger votre vie privée et vos données personnelles! Le projet de réglementation des IA génératives préparé par les autorités de protection des données est une étape importante pour assurer la sécurité et la confidentialité des données. Pour en savoir plus sur ce projet et sur la façon dont vous pouvez le soutenir, cliquez ici: https://roquefeuil.avocat.fr/avocat-droit-informatique-paris/avocat-protection-des-donnees/.

La fouille de texte et l’intelligence artificielle au service de la génération de texte : respecter le droit d’auteur et la protection des données personnelles

La fouille de texte (ou Text Mining) est une méthode d’analyse qui permet d’extraire des informations pertinentes et utiles à partir de grandes quantités de données textuelles. L’intelligence artificielle (IA) joue un rôle clé dans ce processus, en utilisant des techniques de traitement automatique du langage naturel (TALN) et d’apprentissage automatique pour identifier des modèles, des tendances et des relations dans les données textuelles.

Quelles conditions doit respecter le prompt pour ne pas enfreindre le droit d’auteur et le droit à la protection des données personnelles ?

Quelques conseils généraux concernant le respect du droit d’auteur et du droit à la protection des données personnelles dans le contexte de l’utilisation d’un prompt. Pour éviter d’enfreindre ces droits, veillez à respecter les conditions suivantes :

1. Ne pas utiliser de contenu protégé par le droit d’auteur sans autorisation : Évitez d’inclure des extraits de textes, des images, des vidéos, des musiques ou tout autre contenu qui est protégé par le droit d’auteur sans obtenir préalablement l’autorisation de l’auteur ou du détenteur des droits.

2. Citer les sources : Si vous utilisez des informations ou des extraits provenant d’autres sources, il est important de les citer correctement pour reconnaître le travail original de l’auteur.

3. Créer un contenu original : Dans la mesure du possible, essayez de créer un contenu original et unique qui ne copie pas directement le travail d’autres personnes.

4. Ne pas divulguer d’informations personnelles : Pour respecter le droit à la protection des données personnelles, ne demandez pas de données sensibles ou personnelles dans le prompt et évitez d’inclure des informations qui pourraient identifier des individus sans leur consentement (noms, adresses, numéros de téléphone, adresses e-mail, etc.).

5. Respecter la vie privée : Ne partagez pas d’informations confidentielles ou de détails sur la vie privée d’autrui sans leur consentement explicite.

6. Être conscient des lois applicables : Les lois sur le droit d’auteur et la protection des données personnelles peuvent varier d’un pays à l’autre. Il est important de se familiariser avec les lois applicables dans votre région ou pays et de les respecter.

En suivant ces conseils, vous pouvez réduire les risques d’enfreindre le droit d’auteur et le droit à la protection des données personnelles lors de l’utilisation d’un prompt. Toutefois, pour des conseils juridiques précis, il est toujours recommandé de consulter un avocat spécialisé dans ces domaines.

Réglementation sur le profilage – L’avocat en droit informatique à Paris répond

par | Avr 6, 2023

Que dit la réglementation en ce qui concerne le profilage des personnes dans les traitements informatiques, l’avis de l’avocat en droit informatique à Paris

 

La réglementation en matière de protection des données personnelles, telle que le Règlement général sur la protection des données (RGPD) de l’Union européenne, encadre strictement le profilage des personnes dans les traitements informatiques.

Selon l’article 4 du RGPD, le profilage est défini comme “toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique”.

Le profilage n’est autorisé que dans certaines circonstances spécifiques, et la personne concernée doit être informée et doit avoir donné son consentement explicite pour que ses données personnelles soient utilisées de cette manière. En outre, les personnes ont le droit de s’opposer à tout moment au profilage les concernant.

Le RGPD exige également que les organisations prennent des mesures pour garantir la transparence, la sécurité et la précision des données utilisées pour le profilage, ainsi que pour protéger les droits et libertés fondamentaux des personnes concernées.

Quelques remarques de l’avocat spécialisé en droit informatique à Paris sur la réglementation concernant le profilage des personnes dans les traitements informatiques, en particulier en ce qui concerne le RGPD (Règlement Général sur la Protection des Données), qui s’applique aux pays membres de l’Union européenne.

 

Le profilage est défini par le RGPD comme “toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant les préférences, les intérêts, la situation financière, le comportement, etc.”

 

Le RGPD encadre le profilage pour protéger les droits et libertés des personnes concernées, notamment en ce qui concerne les décisions automatisées ayant des effets juridiques ou similaires. Voici quelques points clés à prendre en compte :

 

  1. Consentement : Le profilage nécessite généralement le consentement de la personne concernée. Les personnes doivent être informées de l’existence du profilage et de ses conséquences potentielles.
  2. Droit d’opposition : Les personnes ont le droit de s’opposer au profilage lorsqu’il est utilisé pour le marketing direct.
  3. Décisions automatisées : Les personnes ont le droit de ne pas être soumises à une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques les concernant ou les affectant de manière significative.
  4. Limitation des données : Le traitement des données doit être limité aux données strictement nécessaires pour atteindre les objectifs du traitement.
  5. Transparence : Les responsables de traitement doivent fournir des informations claires et accessibles sur les procédures de profilage et les critères utilisés pour prendre des décisions automatisées.
  6. Évaluation d’impact : Pour les traitements à haut risque, tels que le profilage à grande échelle, une évaluation d’impact sur la protection des données (AIPD) peut être requise.

 

Il est important de noter que la réglementation peut varier en fonction de la juridiction et du contexte. Consultez le cabinet Pierre de Roquefeuil pour obtenir des conseils juridiques spécifiques à votre situation.

 


Datenschutzbehörde, GZ : D124.3816, Greffier :2023-0.193.268

 

L’autorité autrichienne de protection des données (DPA) a jugé que la grande majorité des données personnelles collectées par le bureau de crédit CRIF étaient illégales et devaient être supprimées. 

 

Le CRIF recueillait les adresses, les dates de naissance et les noms de presque tous les Autrichiens afin de calculer leur «solvabilité» sans consentement ni autre base légale

 

. La plupart des données de base utilisées par le CRIF pour calculer les «valeurs de solvabilité» proviennent de l’éditeur d’adresses AZ Direkt (qui appartient au groupe allemand Bertelsmann). 

 

AZ Direct n’est autorisé à transmettre ces données qu’à des fins de marketing et non pour le calcul de la cote de crédit. 

 

Ces notations de crédit ont également des impacts réels, a expliqué Max Schrems : « Des millions de personnes en Autriche sont concernées par cela. Les clients ne reçoivent pas de contrat de téléphonie mobile ou de contrat d’électricité si leur score est trop bas. On pourrait avoir à payer des versements de prêt plus élevés si la banque utilise ce score. Nous pensons que les données ne devraient être collectées qu’au maximum auprès des défaillants manifestes, et non auprès de l’ensemble de la population. » noyb s’attend à ce que le CRIF fasse appel de cette décision car il s’agit d’un coup dur porté à son modèle économique.

 

CJUE, Conclusions de l’avocat général dans l’affaire C-634/21 | SCHUFA Holding e.a. (Scoring) et dans les affaires jointes C-26/22 et C-64/22 SCHUFA Holding e.a. (Libération de reliquat de dette) Avocat général Pikamäe : l’établissement automatisé d’une probabilité sur la capacité d‘une personne à honorer un prêt constitue un profilage selon le RGPD 

 

L’affaire C-634/21 concerne un litige opposant un citoyen au Land Hessen, représenté par le délégué à la protection des données et à la liberté d’information du Land de Hesse (ci-après le « HBDI »), au sujet de la protection des données à caractère personnel. Dans le cadre de son activité économique consistant à fournir à ses clients des informations concernant la solvabilité des personnes tierces, SCHUFA Holding AG (ci-après « SCHUFA »), une société de droit privé, a fourni à un établissement de crédit un score concernant le citoyen en question qui a servi de base au refus du crédit demandé par ce dernier. Le citoyen a ensuite demandé à SCHUFA d’effacer l’enregistrement y relatif et de lui donner accès aux données correspondantes. Cette dernière ne lui a cependant communiqué que le score pertinent et, de manière générale, les principes qui sous-tendent la méthode de calcul du score, sans l’informer des données spécifiques prises en compte dans ce calcul et de la pertinence qui leur est attribuée dans ce contexte, en faisant valoir que la méthode de calcul relève du secret des affaires. Dans la mesure où le citoyen concerné fait valoir que le refus de SCHUFA est contraire au régime de protection des données, la Cour de justice est appelée par le tribunal administratif de Wiesbaden à se prononcer sur les restrictions que le règlement général sur la protection des données 1 (ci-après le « RGPD ») impose à l’activité économique des agences de renseignement dans le secteur financier, en particulier dans la gestion des données, ainsi que sur l’incidence à reconnaître au secret des affaires. De même, la Cour devra préciser l’étendue des pouvoirs réglementaires que certaines dispositions du RGPD confèrent au législateur national par dérogation à l’objectif général d’harmonisation poursuivi par cet acte juridique.

 

Dans ses conclusions, l’avocat général Priit Pikamäe indique, d’abord, que le RGPD consacre un « droit » de la personne concernée de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage. L’avocat général constate ensuite que les conditions de ce droit sont réunies puisque : – la procédure en cause constitue un « profilage », – la décision produit des effets juridiques à l’égard de la personne concernée ou l’affecte de manière significative de façon similaire, et que 1 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1). Direction de la Communication Unité Presse et information curia.europa.eu – la décision peut être considérée comme fondée exclusivement sur un traitement automatisé. La disposition du RGPD prévoyant ce droit est donc applicable dans des circonstances telles que celles de l’affaire au principal. 

 

Voir aussi : Données personnelles : la CJUE retient l’intérêt prépondérant des registres officiels des sociétés.

Transfert de données : l’évaluation nécessaire des législations étrangères ?

par | Juil 9, 2021

Mise à jour 2 novembre 2022

 

Le Comité européen de la protection des données (CEPD) donne son cadre pour être en conformité avec le RGPD en cas de transfert de données hors de l’Union européenne.

Recommendations 01/2020 on measures that
supplement transfer tools to ensure compliance with
the EU level of protection of personal data
Version 2.0
Adopted on 18 June 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

On pouvait s’attendre à ce que ce cadre allège les formalités contractuelles des entreprises (Binding Corporate Rules ou Clauses contractuelles type) en matière de transfert de données hors Union Européenne.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

Sauf à rentrer dans les dérogations prévues par l’article 49 du RGPD.

En effet, un Etat souverain peut dans tous les cas accéder aux données, sur demande spécifique : seule une demande générale d’accès aux données pourrait être contestée sur le plan des principes.

En ce qui concerne les transferts de données vers les Etats-Unis, il n’existe toujours pas de décision d’adéquation par la Commission Européenne, après les arrêts CJUE dits Schrems I du 6 octobre 2015 (C-362/14) (invalidation du Safe Harbour) et Schrems II du 16 juillet 2020 (C-311/18) (invalidation du Privacy Shield). La législation US reflète en effet une conception de la vie privée centrée sur la protection du citoyen américain n’incluant pas les étrangers, qui n’est pas celle, universaliste, de l’Union Européenne.

Le 4ème amendement de la Constitution des Etats-Unis prévoit en effet : « Le droit des citoyens d’être garantis dans leur personne, leur domicile, leurs papiers et leurs effets contre les perquisitions et saisies non motivées ne sera pas violé et il ne sera émis aucun mandat si ce n’est sur présomption sérieuse, corroborée par serment ou déclaration solennelle et décrivant avec précision le lieu à perquisitionner et les personnes ou choses à saisir. »

Malgré les efforts de rapprochement (cf.le récent executive order de Joe Biden du 7 octobre 2022 prévoyant bien le recours à un délégué du pouvoir exécutif et même à une cour indépendante mais dont les avis n’ont pas de force exécutoire), la législation américaine prévoit toujours la surveillance de masse et l’absence de recours effectifs en ce qui concerne les droits des personnes concernées par un traitement de données.

Il revient donc en premier lieu à l’exportateur de données, dans un exercice périlleux d’évaluation, de vérifier les législations étrangères. Le Comité donne une liste de sources de données à l’annexe III de ses recommandations.

Les nouvelles Clauses Contractuelles Types (« CCT ») (adoptées par la Commission européenne le 4 juin 2021 et publiées le 7 juin 2021, qui entreront en vigueur le 27 juin 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) ne dispensent pas de cet exercice.

La décision provisoire Doctolib peut donner des indices sur la façon de sécuriser un transfert de données : localisation et chiffrement en France, obligation de contestation par la filiale européenne de la demande “générale” étrangère, données peu sensibles, durée courte de conservation des données : https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Consultez un avocat spécialisé en droit informatique

Transfert de données sur un cloud étranger : la décision Doctolib

par | Mai 12, 2021

CE, ord. réf., 12 mars 2021, Doctolib, req. n° 450163 – Décision provisoire de référé

Lors de sa décision Doctolib, le Conseil d’État reconnaît l’incompatibilité du droit américain avec la protection des données à caractère personnel de l’Union européenne

Concernant les États-Unis, l’arrêt Schrems II (CJUE 16 juill. 2020, aff. C-311/18) a invalidé le Privacy Shield, équivalent d’une décision d’adéquation, qui permettait aux entreprises s’y soumettant d’exporter des données à caractère personnel vers les États-Unis. Le droit américain autorise en effet aux autorités publiques d’accéder aux données personnelles sans assurer aux personnes concernées des voies de recours effectives

La société Doctolib, qui propose un service de prise de rendez-vous médicaux en ligne, héberge ses données sur les serveurs d’une filiale d’Amazon Web Services (AWS), société de droit états-unienne. Dans le cadre de la campagne de vaccination contre la covid-19, Doctolib a été désignée par le ministère des Solidarités et de la santé pour gérer les prises de rendez-vous y afférent.

Le juge des référés du Conseil d’État a été saisi d’une demande de suspension de ce partenariat en ce qu’il méconnaîtrait le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD).

Le juge rejette en ce que :

La société AWS Sarl, filiale luxembourgeoise d’AWS Inc., est certifiée « hébergeur de données de santé » (CSP, art. L. 1111-8). Les données sont hébergées dans des centres situés en France et en Allemagne et il n’est pas prévu au contrat d’éventuels transferts de données aux États-Unis pour des raisons techniques. Puisqu’AWS Sarl est une filiale d’une société américaine, elle peut faire l’objet d’une demande d’accès par les autorités publiques américaines, selon les requérants.

Données en cause. – Le Conseil d’État relève que « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination », les personnes devant simplement justifier leur éligibilité par une attestation sur l’honneur.

Durée de conservation. – Les données « sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de prise de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne ».

Demande d’accès par les autorités publiques américaines. – Afin de sécuriser leurs relations, il est prévu au contrat qu’AWS devra contester « toute demande générale ou ne respectant pas la réglementation européenne ». Cette mesure s’accompagne d’un « dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers ».

> le niveau de protection ainsi mis en place par les parties « ne peut être regardé comme manifestement insuffisant au regard du risque de violation du RGPD ».

 

La portée de la décision est relative en ce qu’il s’agit une décision provisoire de référé qui sanctionne le “manifestement illicite” et qui pourrait donc être corrigée. A suivre.

 
V.aussi
CNIL, délib. n° 2020-044 du 20 avr. 2020 et communiqué de presse du 14 oct. 2020
CE, ord. réf., 13 oct. 2020, n° 444937
 
 
en_GBEnglish
en_GBEnglish