Intelligence artificielle
Informations
Comme mentionné dans la fiche GE (Fiche d'information sur l'IA), les principales questions qu’une entité doit se poser avant d’utiliser une IA sont :
-
Quelle est la finalité du traitement des données? Existe-il une base légale autorisant le traitement de données?
-
Des données personnelles, personnelles sensibles ou soumises au secret de fonction seront-elles utilisées dans le système d'IA ?
-
Le système d'IA utilise-t-il les données saisies pour continuer son apprentissage? Existe-il une option pour restreindre/interdire l'utilisation des données saisies?
-
Le système d'IA est-il hébergé en Suisse ?
-
Quelles sont les mesures techniques et organisationnelles de protection des données (ex. sensibilisation des utilisateurs) qui peuvent être mise en œuvre ?
-
Quelles sont les garanties contractuelles en matière de protection des données personnelles ?
-
La solution d'IA offre-t-elle des garanties en matière de "privacy by design and by default" ?
Plus généralement, l’utilisation d’une IA avec des données personnelles équivaut à une sous-traitance de données personnelles et doit respecter toutes les conditions figurant sur cette page : https://www.ppdt-june.ch/fr/Documentation/Themes-A-Z/Sous-traitance/Sous-traitance-de-traitements-de-donnees.html.
Les questions que devraient se poser les entités avant de développer elles-mêmes un système d'IA sont notamment :
-
Quelle est la finalité du traitement des données? Existe-il une base légale autorisant le traitement de données ?
-
Quels sont les rôles (responsable de traitement, co-responsable de traitement, sous-traitant, etc.) des différents intervenants au système d'IA eu égard aux données personnelles ? Quelles sont les conséquences en terme de responsabilités ?
-
Comment la base de données d'apprentissage est-elle constituée ?
-
Les bases de données servant l'apprentissage du modèle d'IA contiennent-elles des données personnelles ? Les données sont-elles anonymisées ou pseudonymisées ?
-
Les risques de ré-identification ont-ils été évalués ?
-
La méthode utilisée pour la collecte des données d'entraînement est-elle suffisamment connue ?
-
Des biais peuvent-ils exister du fait de la méthode utilisée ou des conditions particulières de la collecte ?
-
Le traitement des données a-t-il pour objectif la prise de décision automatisée ?
-
Le cas échéant, quelle information est communiquée aux individus concernés ?
-
Quelles mesures permettent aux personnes d'exercer leurs droits ?
-
Les conséquences du traitement sur les droits fondamentaux des personnes (droits à la liberté d’expression, à la liberté de pensée, de conscience et de religion, de circuler librement, au respect de sa vie privée et familiale, etc.) ont-elles été prises en compte ?
-
Le système est-il qualifiable de système à haut risque ?
-
Une analyse d'impact est-elle nécessaire ?
-
Quelles sont les mesures techniques et organisationnelles mises en œuvre pour assurer la protection des données ?
-
Quels sont les principes de "privacy by design and by default" qui seront mis en œuvre ?

