Connect with us

Technologie

L’ICO lance des conseils sur l’IA et la protection des données

Published

on


Le Bureau du Commissaire à l’information (ICO) a publié un document d’orientation de 80 pages à l’intention des entreprises et d’autres organisations sur l’utilisation de l’intelligence artificielle (IA) conformément aux principes de protection des données.

Cette orientation est l’aboutissement de deux années de recherche et de consultation menées par Reuben Binns, professeur agrégé au département d’informatique de l’Université d’Oxford, et à l’équipe d’IA de l’ICO.

Les lignes directrices couvrent ce que l’OIC considère comme « les meilleures pratiques en matière d’IA conforme à la protection des données, ainsi que sur la façon dont nous interprétons la loi sur la protection des données telle qu’elle s’applique aux systèmes d’IA qui traitent les données à caractère personnel. Les directives ne sont pas un code législatif. Il contient des conseils sur la façon d’interpréter le droit pertinent tel qu’il s’applique à l’IA, et des recommandations sur les bonnes pratiques en matière de mesures organisationnelles et techniques visant à atténuer les risques pour les individus que l’IA peut causer ou exacerber ».

Il vise à fournir un cadre pour « l’audit de l’IA, en mettant l’accent sur les meilleures pratiques en matière de conformité à la protection des données – que vous conceviez votre propre système d’IA ou que vous en mettez en œuvre un à partir d’un tiers ».

Il incarne, dit-il, « les outils et les procédures de vérification que nous utiliserons dans les vérifications et les enquêtes; des directives détaillées sur l’IA et la protection des données; et une boîte à outils conçue pour fournir un soutien pratique supplémentaire aux organisations qui auditent la conformité de leurs propres systèmes d’IA ».

Il s’agit également d’un document interactif qui invite à une communication plus poussée avec l’OIC.

Ces lignes directrices s’adressent à deux auditoires : « ceux qui ont une orientation en matière de conformité, comme les agents de protection des données (DPO), les avocats généraux, les gestionnaires des risques, la haute direction et les vérificateurs de l’OIC; et des spécialistes de la technologie, y compris des experts en apprentissage automatique, des scientifiques des données, des développeurs de logiciels et des ingénieurs, et des gestionnaires de la cybersécurité et des risques it ».

Il souligne deux risques pour la sécurité qui peuvent être exacerbés par l’IA, à savoir la « perte ou l’utilisation abusive des grandes quantités de données à caractère personnel souvent nécessaires à la formation des systèmes d’IA; et les vulnérabilités logicielles à introduire à la suite de l’introduction de nouveaux codes et infrastructures liés à l’I ».

Car, comme le souligne le document d’orientation, les pratiques standard s’tiques pour le développement et le déploiement de l’IA impliquent, par nécessité, le traitement de grandes quantités de données. Il existe donc un risque inhérent que cela ne respecte pas le principe de minimisation des données.

Ceci, selon le GDPR [the EU General Data Protection Regulation] comme l’a fait l’ancien journaliste d’Computer Weekly Warwick Ashford, « emande aux organisations de ne pas détenir de données plus longtemps que nécessaire, et de ne pas modifier l’utilisation des données de l’objet pour lequel elles ont été collectées à l’origine, tandis que – en même temps – elles doivent supprimer toutes les données à la demande de la personne concernée ».

Bien que le document d’orientation indique que la protection des données et l’« éthique de l’IA » se chevauchent, il ne cherche pas à « fournir des principes éthiques ou de conception génériques pour votre utilisation de l’IA ».

AI pour l’ICO

Qu’est-ce que l’IA, aux yeux de l’OIC? « Nous utilisons le terme générique « IA » parce qu’il est devenu un terme standard de l’industrie pour une gamme de technologies. Un domaine important de l’IA est l’apprentissage automatique, qui est l’utilisation de techniques de calcul pour créer (souvent complexe) des modèles statistiques en utilisant (généralement) de grandes quantités de données. Ces modèles peuvent être utilisés pour faire des classifications ou des prédictions sur de nouveaux points de données. Bien que toutes les IA ne concernent pas ML, la plupart de l’intérêt récent pour l’IA est motivé par ML d’une certaine manière, que ce soit dans la reconnaissance d’image, la parole-à-texte, ou la classification du risque de crédit.

« Ces orientations se concentrent donc sur les défis liés à la protection des données que l’IA basée sur le ML peut présenter, tout en reconnaissant que d’autres types d’IA peuvent poser d’autres défis en matière de protection des données. »

Le concept d’« xpplicabilit » dans l’IA est particulièrement intéressant pour l’OIC. L’orientation se poursuit : « En collaboration avec l’Institut Alan Turing, nous avons produit des conseils sur la meilleure façon d’expliquer leur utilisation de l’IA aux individus. Il en est résulté que la Expliquer les décisions prises avec l’IA d’orientation, qui a été publié en mai 2020 ».

Les directives contiennent des commentaires sur la distinction entre un « ontrôl » et un « ontectio ». Il indique que « les organisations qui déterminent les buts et les moyens de traitement seront des contrôleurs indépendamment de la façon dont ils sont décrits dans tout contrat concernant les services de traitement ».

Cela pourrait être potentiellement pertinent à la controverse entourant l’implication de la société américaine d’analyse de données Palantir dans le projet NHS Data Store, où a été souligné à plusieurs reprises que le fournisseur est simplement un processeur et non un contrôleur – qui est le NHS dans cette relation contractuelle.

Données biaisées

Le guidance discute également de questions telles que les biais dans les ensembles de données conduisant à des IA prenant des décisions biaisées, et offre ce conseil, entre autres conseils: « Dans les cas de données de formation déséquilibrées, il peut être possible de l’équilibrer en ajoutant ou en supprimant des données sur les sous-ensembles sous-représentés ou surreprésentés de la population (par exemple, en ajoutant plus de points de données sur les demandes de prêt des femmes).

« Dans les cas où les données de formation reflètent la discrimination passée, vous pouvez soit modifier les données, modifier le processus d’apprentissage, soit modifier le modèle après la formation ».

Simon McDougall, sous-commissaire à l’innovation et à la technologie réglementaires à l’OIC, a déclaré à propos des lignes directrices : « Comprendre comment évaluer le respect des principes de protection des données peut être difficile dans le contexte de l’IA. Des risques exacerbés, parfois nouveaux, pour la sécurité qui découlent de l’utilisation des systèmes d’IA, au risque de discrimination et de biais dans les données. Il est difficile pour les spécialistes de la technologie et les experts en conformité de naviguer leur chemin vers des systèmes d’IA conformes et réalisables.

« Les lignes directrices contiennent des recommandations sur les meilleures pratiques et les mesures techniques que les organisations peuvent utiliser pour atténuer les risques causés ou exacerbés par l’utilisation de cette technologie. Elle reflète les pratiques actuelles en matière d’IA et est pratiquement applicable.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending