L’utilisation de données personnelles d’utilisateur pour entraîner des modèles d’intelligence artificielle était dans un flou juridique depuis plusieurs mois, mais le comité européen de protection des données (CEPD) a choisi de clarifier la situation. Dans un avis rendu le 18 décembre, l’organisation, qui regroupe les différentes autorités de protection des données de l’Union européenne, a ainsi estimé qu’il était possible d’invoquer l’intérêt légitime pour justifier l’utilisation de données personnelles pour l’entraînement des modèles d’intelligence artificielle.
Intérêt légitime et nécessaire
Le comité précise néanmoins que les organisations qui souhaitent s’appuyer sur cette base juridique pour justifier l’utilisation des données personnelles doivent s’assurer de respecter certaines obligations. La première est de s’assurer que cette utilisation correspond bien à la définition de l’intérêt légitime tel qu’il est défini dans le RGPD. Le CEPD cite ainsi en exemple la création d’un chatbot qui viserait à aider les utilisateurs à améliorer leur sécurité ou le développement de moteurs de détection des menaces.
Mais le comité rappelle également que cet intérêt légitime doit uniquement être invoqué dans les cas où le recours aux données personnelles est jugé strictement nécessaire. En d’autres termes, si l’objectif du modèle peut être atteint sans avoir recours aux données personnelles, alors le recours aux données personnelles n’est pas justifié. Enfin, le responsable du traitement doit s’assurer que la collecte et le traitement des données personnelles ne vient pas empiéter sur les droits fondamentaux des personnes concernées.
Dans ce cadre là, il est donc possible d’envisager la collecte de données personnelles pour entraîner un modèle d’IA.
Les appétits des Gafam
L’avis du CEPD vient clarifier une question posée directement par l’autorité irlandaise de protection des données personnelles. Celle-ci a été confrontée directement au problème : en début d’année, le groupe Meta avait en effet tenté de modifier ses conditions générales d’utilisation afin de permettre la collecte des données publiées par les utilisateurs afin d’entraîner ses modèles d’IA. Pour justifier cette décision, les équipes juridiques du groupe avaient déjà invoqué l’intérêt légitime comme base légale, sans donner de détails sur l’utilisation exacte des modèles ayant recours à ces données personnelles.
Une initiative un peu hâtive qui lui avait valu une levée de bouclier de la part des organisations de défense des libertés sur Internet : l’association autrichienne noyb avait ainsi déposé une dizaine de recours auprès des autorités de protection des données européennes, poussant Meta à revenir sur sa décision en attendant une clarification du cadre légal.