L’intelligence artificielle repose principalement sur le traitement de données à grande échelle. Un projet AI ne doit toutefois être conforme au RGPD que s’il traite des données personnelles, c’est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable.
Un projet d’IA est-il soumis au RGPD alors qu’à première vue, la plupart des données traitées ne peuvent pas être liées aisément à une personne physique? Or, il s’agit aussi de données à caractère personnel si elles ont trait à une personne qui peut être identifiée indirectement par des moyens raisonnables, même à l’aide de données de tiers, même après une demande judiciaire, ou encore dès qu’un individu précis peut être isolé dans un ensemble de données, sans qu’il soit nécessaire de pouvoir mettre un nom sur cette personne. Cette définition large transforme la plupart des données en données personnelles. D’autant plus que l’IA elle-même permet l’exploration de données et l’établissement de corrélations entre des données a priori très éloignées.
Dès lors, un responsable du traitement doit documenter correctement les raisons pour lesquelles il considère que les données qu’il utilise ne sont pas des données à caractère personnel, en vertu de l’obligation générale de compliance du RGPD. Le responsable de traitement pourra considérer qu’il n’est pas soumis au RGPD si une identification n’est possible qu’en violant la loi (piratage), est irréalisable en pratique (effort démesuré en termes de temps, de main-d’œuvre et de coût), est négligeable ou purement hypothétique.
§Dans le cas contraire, la seule porte de sortie permettant d’éviter de se conformer au RGPD consiste à utiliser des données anonymisées, c’est-à-dire des données qui ne peuvent plus être reliées à une personne physique.
La difficulté réside dans le fait que l’anonymisation est explicitement prévue par le RGPD mais qu’aucune technique d’anonymisation spécifique n’est recommandée. Chaque méthode a ses limites, que l’ancien groupe de travail de l’article 29 a analysées (WP216). Ces limites tendent d’ailleurs à se rapprocher en raison de l’augmentation constante de la puissance de calcul des ordinateurs. Le risque de réidentification peut donc rarement être totalement écarté.
Une réelle anonymisation est-elle donc inaccessible et le RGPD est-il par conséquent incontournable ? Nous ne le pensons pas. La CJUE a suivi l’avis du procureur général dans l’affaire Breyer, affirmant que la notion de moyens susceptibles d’être raisonnablement mis en œuvre pour identifier une personne » doit être interprétée raisonnablement. L’obligation générale de compliance du RGPD implique de documenter correctement cette évaluation, qui ne vaudra qu’à un moment bien précis. Les progrès de la technique nécessitent en effet de renouveler fréquemment cette évaluation.
En conclusion: un projet utilisant l’IA n’est pas automatiquement tenu de respecter le RGPD (parce qu’il utilise des données non personnelles depuis l’origine ou anonymisées). Par contre, il incombe au responsable de traitement de démontrer in tempore non suspecto que le RGPD n’est pas applicable, sous peine d’amendes administratives !