Comment le RGPD répond aux enjeux et risques de l’adaptative learning…

Une approche par les valeurs

Le RGPD s’inscrit dans le cadre de la Charte des droits fondamentaux de l’Union Européenne qui place la protection des données comme droit fondamental (article 8 chapitre 1 de la Charte). Le texte se place donc sur le terrain des valeurs et de l’universalité. « Le traitement des données à caractère personnel devrait être conçu pour servir l'humanité » (considérant 4 du RGPD). Les traitements de données personnelles s’analysent au prisme des atteintes aux intérêts et aux droits et libertés de la personne concernée.

Les principes et obligations posées par le RGPD : une réponse partielle aux risques et enjeux

Destinés à renforcer la confiance de l’usager dans la collecte et le traitement des données, ces principes et obligations sont notamment : 

• Les principes de licéité, loyauté, transparence, de limitation des finalités de traitement, de minimisation des données, d’exactitude, de limitation de la conservation, d’intégrité et confidentialité, et enfin de responsabilité ; 
• Le traitement par défaut interdit des données à caractère personnel particulières ou sensibles (notamment les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne physique) ; 
• L’obligation d’information des personnes concernées ; 
• Les droits des personnes et notamment les droits d’accès, de rectification, à l’oubli, à la portabilité, ou encore d’opposition ;
• L’encadrement des activités de profilage et de prise de décision automatisée ; 
• L’encadrement des flux transfrontières ; 
• Les outils d’analyse et d’encadrement des traitements tels que la nomination d’un Data Protection Officer, le registre ou encore l’analyse d’impact.

Le RGPD permet ainsi de minimiser partiellement les risques identifiés et répondre à certains enjeux. 

Bilan de la conformité RGPD au sein des organisations

Ces dispositions règlementaires entrées en vigueur le 24 mai 2016 et applicables depuis le 25 mai 2018 dans les entreprises ont permis de renforcer la protection des données personnelles, notamment celles de leurs salariés. Les contrats de travail et chartes informatiques ont été renforcés de dispositions spécifiques. Des politiques internes relatives au traitement de données personnelles ont été élaborées permettant de lister les typologies de traitements opérés et informant le personnel sur ses droits et recours. Des formations sont dispensées bien souvent dès le parcours d’intégration des nouveaux collaborateurs. Les équipes RH et les services de formation sont alertes sur ces sujets. 

Toutefois, l’introduction de certains outils, particulièrement lorsqu’ils manquent d’explications, peuvent susciter la méfiance des collaborateurs, par leur caractère intrusif ou par les usages qui peuvent être faits par l’employeur des traitements opérés dans la prise de décision RH. L’augmentation des technologies de surveillance sur le lieu de travail (localisation, surveillance des e-mails, analyse de la productivité) augmentent également cette défiance.

L’usage de solution d’adaptative learning peut aussi engendrer une telle défiance que la seule conformité au RGPD de l’outil ne suffit pas à couvrir. 

L’anticipation du futur IA Act pour mieux appréhender les enjeux et risques de l’adaptive learning

La balance valeur / innovation

La proposition de l’IA Act a pour ambition de « promouvoir l'adoption d'une intelligence artificielle centrée sur l'homme et digne de confiance, tout en assurant un niveau élevé de protection de la santé, de la sécurité, des droits fondamentaux consacrés par la Charte … contre les effets néfastes des systèmes d'intelligence artificielle dans l'Union, et soutenir l'innovation » (proposition considérant 1). 

Le texte de l’IA Act met en balance le respect des valeurs posées par la Charte (et notamment le droit à la dignité humaine (article 1er), le respect de la vie privée et la protection des données à caractère personnel (articles 7 et 8), la non-discrimination (article 21) et l’égalité entre les femmes et les hommes (article 23), la protection de l’environnement (article 37)) et l’innovation compte tenu de la course mondiale et des enjeux économiques, mais également idéologiques et de souveraineté associés à ce sujet.

Pour répondre à cette balance des intérêts, le texte vise à mettre en place une série d’actions préventives et notamment des exigences de sécurité élevées, pesant sur les acteurs de la chaîne d’un système d’IA, en adoptant une approche des IA par les risques et à promouvoir l'adoption d'une intelligence artificielle centrée sur l'homme et digne de confiance, tout en garantissant un niveau élevé de protection des droits fondamentaux consacrés par la législation européenne.

Une approche par les risques

Parmi les systèmes d’IA considérés comme une menace évidente pour les droits fondamentaux et donc interdits sont cités les systèmes de reconnaissance des émotions utilisés sur le lieu de travail ou encore un système de scoring social. 

Parmi les systèmes d’IA présentant un risque élevé dans le domaine de la formation professionnelle et de l’emploi et la gestion des salariés sont listés :

• Les systèmes d’IA destinés à être utilisés pour déterminer l’accès ou l’affectation de personnes physiques aux établissements d’enseignement et de formation professionnelle ;
• Les systèmes d’IA destinés à être utilisés pour évaluer les étudiants des établissements d’enseignement et de formation professionnelle et pour évaluer les participants aux épreuves couramment requises pour intégrer les établissements d’enseignement ;
• Les systèmes d’IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour diffuser les offres d’emploi, la présélection ou le filtrage des candidatures, et l’évaluation des candidats au cours d’entretiens ou d’épreuves ;
• L’IA destinée à être utilisée pour la prise de décisions de promotion et de licenciement dans le cadre de relations professionnelles contractuelles, pour l’attribution des tâches et pour le suivi et l’évaluation des performances et du comportement de personnes dans le cadre de telles relations.

Ces systèmes d’IA à risques élevés imposent de respecter tant pour les fournisseurs de systèmes que pour les utilisateurs un grand nombre d’obligations, parmi lesquelles : 

• Un système de gestion des risques par la création d’un processus itératif continu qui se déroule sur l'ensemble du cycle de vie d'un système d’IA à haut risque (analyse de risques, évaluation continue) ;
• Des obligations de précision, robustesse et cybersécurité ;
• Un contrôle humain permettant d’assurer la surveillance par des personnes physiques pendant la période d'utilisation du système d'IA ; 
• La transparence et la fourniture d’informations aux utilisateurs, notamment par une notice d’utilisation avec des informations relatives à l’identité du fournisseur, les caractéristiques, capacités et limites du système, les informations relatives aux données d’entrainement, la robustesse et sécurité du système, les informations permettant d’interpréter les résultats, les mesures de supervision humaine, les ressources informatiques et matérielles nécessaires ; 
• La journalisation des évènements ;
• Une documentation technique permettant de démontrer la conformité du système aux exigences posées par les textes ;
• La gouvernance des données par la formation, validation et test des ensembles de données répondant aux critères de qualité.

Ces obligations posées par l’IA Act s’ajoutent à celles posées par le RGPD pour ce qui est du traitement de données à caractère personnel. La Commission nationale de l’informatique et des libertés (CNIL) a publié un plan d’actions pour le déploiement de systèmes d’IA respectueux de la vie privée des individus¹. Par conséquent, tout déploiement de solution d’adaptative learning impose de vérifier la conformité de l’outil à l’IA Act et au RGPD et d’assurer une transparence accrue vis-à-vis des salariés en matière d’utilisation de leurs données par le système, mais également par l’employeur qui les déploie.

Déjà paru :

• Vigilance : les enjeux juridiques, éthiques et humains de l’adaptative learning

À suivre : 

• Droit de la propriété intellectuelle actualisé et propos conclusif. 

Michel Diaz (éditeur, e-learning Letter)