Règlement européen sur l'IA: Adaptations pour entreprises suisses

ManagementPratique

Savoir-faire pratique et plus de 300 aides de travail testées pour un management efficace

à partir de CHF 148.00

Quelles données sont traitées par le système d'IA?

Tout d'abord, la direction de l'entreprise doit réfléchir aux systèmes d'IA qui doivent être utilisés pour quels domaines d'application. Il convient de noter que dans le domaine d'application du règlement sur l'IA, diverses pratiques seront interdites à partir du 2 février 2025 ou ne seront autorisées que dans le cadre de dispositions dérogatoires très strictes, comme le «social scoring» ou la surveillance biométrique en temps réel des espaces accessibles au public.

Il convient ensuite de déterminer si des données (personnelles) et leur traitement sont nécessaires à cette fin et, le cas échéant, lesquelles. La réponse à cette question dépend des domaines d'application définis par l'entreprise et du fonctionnement du système d'IA et ne peut être donnée de manière générale. Il est essentiel que l'entreprise ait acquis une compréhension approfondie des méthodes d'apprentissage, des technologies et des systèmes sous-jacents.

Le règlement européen sur l'IA définit un «système d'IA» comme un «système assisté par ordinateur conçu pour fonctionner de manière plus ou moins autonome (...) et qui, à partir des entrées reçues, déduit des objectifs explicites ou implicites, tels que des sorties (...) pouvant influencer des environnements physiques ou virtuels». Un système d'IA se compose de plusieurs éléments, dont un LLM peut faire partie. Le traitement des données n'est pas seulement effectué par le LLM, mais aussi par d'autres composants (tels que des interfaces ou des filtres). Les aspects techniques des LLM et leur évaluation à la lumière de la jurisprudence du Tribunal fédéral suisse et de la Cour de justice européenne sur la notion de données personnelles permettent de conclure que les LLM ne stockent généralement pas de données personnelles, ce qui fait actuellement l'objet d'un débat controversé en Suisse et sur la scène internationale de la protection des données. Pour simplifier, cela s'explique notamment par le fait que même si les données d'entraînement contenaient des données personnelles, elles seraient transformées en fragments de langage (« tokens ») dans le processus d'apprentissage automatique, de sorte qu'elles ne pourraient plus être reconstituées en tant que telles. Ces fragments de langage ne se réfèrent pas (ou plus) à une personne physique déterminée ou déterminable, comme le prévoient la loi suisse sur la protection des données (LPD) et le règlement général européen sur la protection des données (RGPD). La situation juridique est plus claire dans le cas où une entreprise décide de « réentraîner » le LLM avec des données personnelles pour un usage spécifique. Lors de ce traitement de données, l'entreprise doit respecter les conditions-cadres de la protection des données, entre autres traiter les données personnelles de manière licite, uniquement pour un usage spécifique et reconnaissable par la personne concernée et de manière proportionnée, et s'assurer que les droits des personnes concernées peuvent être respectés. Même si les noms et adresses des personnes concernées sont supprimés dans les données d'entrée, de nombreux systèmes d'IA sont capables d'établir un lien avec les personnes concernées en établissant des références croisées, de sorte que le fonctionnement du système d'IA à cet égard doit être analysé de manière décisive avec le fournisseur concerné. Les dispositions relatives à la protection des données ne sont applicables que s'il peut être exclu avec certitude que des données personnelles sont traitées.