Le Règlement général sur la protection des données (RGPD) ne considère pas que l’IA est illégale, mais qu’il ne peut y avoir de décision exclusivement automatisée sans intervention humaine, soit en amont, soit en aval. « Quelles que soient les finalités du traitement d’intelligence artificielle, le RGPD le considère sous le prisme des risques qu’il présente pour les droits et libertés des personnes, a rappelé Clémence Scottez, chef du service des affaires économiques à la Commission nationale de l'informatique et des libertés (CNIL), lors de la Conférence du pôle commun ACPR-AMF du mercredi 4 décembre 2019 à Paris. Si un mécanisme d’IA présente ces risques, il va falloir mettre en place des mesures qui permettent de les limiter ».
Le premier principe qui doit s’appliquer aux données personnelles est celui de finalité déterminée, explicite et légitime. Le deuxième principe consiste à ne pas détourner la finalité. Le troisième à n’utiliser que des données exactes. Le quatrième est le principe de loyauté. « Les personnes concernées doivent avoir conscience que certaines de leurs données vont être utilisées, ce qui nécessite une information en amont et en aval, précise Clémence Scottez. Elles doivent pouvoir comprendre la logique sous-jacente de l’IA pour pouvoir la contester et faire valoir leurs droits. » Cette logique d’autodétermination informationnelle ne s’applique cependant qu’aux données personnelles et ne couvre pas tous les aspects de l’IA.
G. D.
