Permettre le bon exercice de leurs droits par les personnes
Promouvoir la transparence et les droits de l'utilisateur final.
Mesurer l'impact du traitement sur les droits fondamentaux des personnes
Certains traitements impliquant des systèmes d'IA peuvent s'avérer particulièrement intrusifs ou avoir des conséquences importantes pour les personnes au regard de leur ampleur, des caractéristiques des personnes concernées ou d'autres spécificités.
Dans un tel contexte, il est d'autant plus important de préserver les droits et libertés des personnes.
Les conséquences du traitement sur les droits fondamentaux des personnes (droits à la liberté d’expression, à la liberté de pensée, de conscience et de religion, de circuler librement, au respect de sa vie privée et familiale, etc.) ont-elles été prises en compte ?
Les conséquences sur les groupes de personnes fondés sur la base du genre, de l’origine, ou encore des opinions politiques ou religieuses, sur la société et la démocratie en général ont-elles été considérées ?
Un cadre formel a-t-il été utilisé afin de réaliser cette étude d’impact (AIPD, autre grille d’analyse) ?
Informer les personnes pour leur rendre le contrôle
Les inconnues persistantes sur les potentielles failles des algorithmes et leurs impacts sur les personnes et la société incitent à être précautionneux et à permettre aux personnes de pouvoir reprendre la main sur leurs données.
Les personnes ont-elles été informées du traitement de manière claire et concise ?
Comment le sont-elles ?
Les informations sont-elles aisément accessibles ?
Les personnes sont-elles informées de la collecte, que celle-ci soit réalisée directement auprès des personnes ou non ?
Les personnes ont-elles conscience d'interagir avec une machine ?
Dans le cas où les utilisateurs interagissent avec une machine (bot) ou du contenu généré automatiquement (par exemple deepfake), cela est-il clairement indiqué à l'utilisateur ?
L'information se fait-elle par une information spécifique ou grâce au contexte de l'utilisation ?
Si le responsable de traitement est une administration, l'information des personnes relative à un traitement algorithmique auquel elles seraient soumises est-elle prévue conformément au code des relations entre le public et l'administration et à la loi pour une République numérique ?
Si le responsable de traitement est une administration, le code source de l'algorithme est-il rendu public à priori ?
À défaut, sera-t-il transmis aux personnes qui en feront la demande via la Commission d'accès aux documents administratifs (CADA) ?
L'impact sur la santé mentale et le comportement des personnes a-t-il été étudié ?
L'utilisation de méthodes visant à influencer les choix des personnes est-elle envisagée ?
Le système pourrait-il mener à une utilisation exacerbée d'un produit, similaire à une addiction ?
Pourrait-il faciliter le harcèlement ?
Fournir un cadre propice à l'exercice des droits liés à la protection des données
Il est à la charge du responsable de traitement de mettre en place les mesures nécessaires afin de garantir que les personnes concernées par le traitement pourront exercer leurs droits de manière effective.
Quelles mesures permettent aux personnes d'exercer leurs droits ?
Sont-elles informées de comment et auprès de qui ces droits peuvent être exercés ?
Le droit d'opposition au traitement de ses données peut-il facilement être exercé par l'individu pour les phases d'entraînement comme de production ? Est-il possible pour les individus d’exercer ce droit à tout moment (avant et après la collecte) ?
Le droit à l'effacement et le droit d'accès peuvent-ils facilement être exercés par l'individu ?
En particulier, si le modèle d'IA possède un risque de réidentification ou d'inférence d'appartenance, causant ainsi la classification des paramètres du modèle en tant que données personnelles, comment ces droits peuvent-il être exercés par l'individu ?
Le droit à la limitation du traitement et le droit à la rectification peuvent-ils facilement être exercés par l'individu ?
En particulier, sera-t-il possible de vérifier l’intégrité des données concernant l'individu grâce à une journalisation ?
Dans le cas où le système d'IA est utilisé pour établir un profil des personnes, le profil prédit par le système est-il utilisé à titre indicatif lors du traitement ou est-il un résultat en soi ? Si le profil constitue un résultat en soi, le droit à la rectification peut-il facilement être exercé ?
Encadrer les décisions automatisées
Lorsqu'une décision est fondée exclusivement sur un traitement automatisé et peut avoir des conséquences pour les personnes, l'article 22 du RGPD et l’article 47 de la loi Informatique et Liberté s'appliquent. Ces articles prévoient, avec certaines exceptions, que toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, lorsque celle-ci pourrait avoir des effets juridiques la concernant ou l’affectant de manière significative.
Cela signifie que lorsqu’aucune des exceptions prévues n’est vérifiée, une supervision par l’humain confirmant ou remplaçant la décision automatisée est nécessaire.
Le système conduit-il à une décision fondée exclusivement sur un traitement automatisé, par conception ou dans les faits, et produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire ?
Même si certains systèmes ne semblent pas produire un effet sur les personnes, des conséquences peuvent-elles exister dans les faits (par ex. : un algorithme de tri des CV pour le recrutement qui ordonnerait certains CV en bas d'une file trop longue pour qu'un humain puisse vérifier la pertinence de la décision prise par l'algorithme) ?
Quelle est la base légale sur laquelle repose la prise de décision automatisée ?
Les personnes peuvent-elles facilement s'opposer à une décision fondée exclusivement sur un traitement automatisé ?
Si oui, par quels moyens ?
Les individus décidant de ne pas avoir recours au système d'IA en application de l'article 22 bénéficient-ils des mêmes avantages et possibilités que ceux utilisant le système ?
Aucune information n'est collectée par la CNIL.
Vous souhaitez contribuer ?
Écrivez à ia[@]cnil.fr