|
L’intégration croissante de l’intelligence artificielle dans les contenus et dispositifs de formation soulève des enjeux juridiques importants. Lorsque les modèles d’IA traitent ou retiennent des données personnelles, ils tombent sous le coup du Règlement général sur la protection des données (RGPD). Pour les services formation, il devient essentiel de comprendre les critères d’applicabilité du RGPD, les moyens de vérifier la conformité des outils d'IA utilisés, et les étapes concrètes à engager sans tarder. Un sujet technique, mais qui sera incontournable (s'il ne l'est déjà).
 #1 Déterminer si un modèle est concerné par le RGPD
La Cnil rappelle une règle simple pour déterminer si un modèle d’IA est concerné par le RGPD : « le modèle en question a-t-il mémorisé ou conservé des données personnelles issues de son corpus d'entraînement ? » Si la réponse est oui, il s’agit d’un traitement de données personnelles et toutes les obligations du RGPD s’appliquent ; or, la réponse risque rapidement d'être positive si l'entreprise mobilise ce type de modèle sur les données produites par ses collaborateurs dans leur interaction avec tous ses systèmes. Sinon, le modèle peut être considéré comme anonyme, mais cette qualification suppose une analyse rigoureuse. En particulier de la part des responsables formation, qui devront s’assurer que les modèles utilisés dans les parcours pédagogiques (intégrés à des outils auteurs, à des LMS ou à des assistants conversationnels) ne retiennent pas des données sensibles, notamment issues de leur phase d'entraînement. Inutile d'insister sur le constat que cette précaution ne saurait uniquement reposer sur la documentation marketing des fournisseurs.
#2 Procéder à une vérification technique des modèles utilisés
La conformité au RGPD repose sur une évaluation technique précise. La Cnil précise qu’il revient au fournisseur du modèle de « conduire et de documenter son analyse », notamment à travers des « tests d'attaque en réidentification sur le système ». Ces tests visent à évaluer s’il est possible d’extraire des données personnelles à partir du fonctionnement du modèle. En cas de risque significatif, le RGPD s’applique pleinement. Les services formation doivent donc se rapprocher des DPO (délégués à la protection des données) et RSSI (responsables de la sécurité des systèmes d’information), quand ils existent, pour intégrer cette vérification dans leurs procédures d’achat, de conception ou d’évaluation des outils d’IA. En complément, une sensibilisation des équipes pédagogiques à ces enjeux est souhaitable pour éviter des usages risqués non identifiés.
#3 Mettre en place des garanties techniques suffisantes
Même lorsqu’un modèle est potentiellement soumis au RGPD, des mesures existent pour réduire les risques. La Cnil indique qu’il est possible de rendre « insignifiant la vraisemblance de réidentification de personnes » grâce à des protections techniques : limitation de la précision des sorties, filtres sur les réponses, chiffrement du modèle, ou encore blocage de l’accès direct au système. Ces mécanismes doivent être évalués au regard de l’état de l’art technologique et ne peuvent se résumer à une simple restriction d’accès. En clair, un modèle intégré à une plateforme fermée n’est pas automatiquement conforme. L’analyse doit prendre en compte les possibilités techniques de réidentification, y compris par des tiers malveillants. Une vigilance qui s’impose à tout acteur du digital learning travaillant avec des IA génératives.
#3 Anticiper les incidents et documenter les actions
L’usage de modèles d’IA dans les formations n’est pas exempt de risques, et ceux-ci doivent être anticipés. La Cnil recommande de mettre en place un système de remontée d’informations par les utilisateurs en cas d’incident. En cas de fuite ou d’extraction de données personnelles, l’entité concernée doit en limiter l’exploitation, analyser la faille et, si nécessaire, identifier les auteurs de l’attaque. « Lorsque cela est possible, elle doit examiner si la vulnérabilité de réidentification a été exploitée et par qui », précise la Cnil. L’autorité peut ensuite imposer le réentraînement ou la suppression du modèle. Il est donc conseillé de prévoir une procédure de réponse aux incidents, en lien avec les fonctions juridiques et IT de l’organisation. Cela suppose également un suivi continu des performances et faiblesses des modèles utilisés.
#4 Engager la démarche sans tarder
Pour les services formation, la première étape consiste à établir un diagnostic des modèles d’IA déjà en usage dans les contenus et dispositifs pédagogiques. L’objectif : identifier ceux qui pourraient relever du RGPD, recenser les garanties disponibles, et enclencher, si nécessaire, une analyse plus poussée avec les experts concernés. Cette évaluation peut être conduite en quelques semaines, à condition d’être bien coordonnée. Compte tenu du rythme d’adoption des IA génératives et de l’attention croissante des régulateurs, un horizon de deux à trois mois semble raisonnable pour disposer d’un premier état des lieux et lancer les ajustements nécessaires. Mieux vaut prévenir que devoir justifier a posteriori des usages non maîtrisés. On notera les bénéfices secondaires d'une telle démarche : la meilleure compréhension, partagée dans la collaboration avec les fournisseurs, du vaste (et encore mystérieux !) domaine de l'IA.
Pour en savoir plus : IA : Analyser le statut d’un modèle d’IA au regard du RGPD
|
