09.11.2023 - La loi actuelle sur la protection des données est directement applicable à l’IA

09.11.2023 – En Suisse aussi, l’intelligence artificielle (IA) investit de plus en plus la vie économique et sociale de la population. Dans ce contexte, le PFPDT rappelle que la loi sur la protection des données en vigueur depuis le 1er septembre 2023 est directement applicable aux traitements de données basés sur l’IA.

Le 30 octobre 2023, le président des Etats-Unis Joe Biden a signé un « Executive Order » marquant un premier pas vers la régulation de l’intelligence artificielle (IA). En juin, le Parlement européen (UE) avait déjà donné son accord de principe pour la poursuite des travaux législatifs sur « l’AI Act », une loi visant à réglementer l’intelligence artificielle à l’échelle de l’UE. Au niveau du Conseil de l’Europe, un comité sur l'intelligence artificielle est en train d’élaborer une convention-cadre sur l’IA, les droits de l’homme, la démocratie et l’Etat de droit public. 

En Suisse, l’administration fédérale évalue jusqu’à fin 2024 différentes approches pour la règlementation de l’IA. Le Conseil fédéral prendra ensuite une décision, et le cas échéant, attribuera un mandat de réglementation correspondant. Pour la réglementation spécifique aux technologies, la Suisse suit actuellement une approche sectorielle, c’est-à-dire que la législation est élaborée en fonction de la branche ou du secteur d’activité. L’avenir nous dira si cette approche sera poursuivie telle quelle ou si elle doit être complétée voire remplacée par une réglementation générale sur l’IA. 

Au vu de l’augmentation rapide du nombre de traitements de données basés sur l’IA, le PFPDT souligne qu’indépendamment de l’approche adoptée pour les futures réglementations, les dispositions de protection de données déjà en vigueur doivent être respectées. La loi fédérale sur la protection des données (LPD), formulée de manière neutre du point de vue technologique, est donc directement applicable à l’utilisation de traitements de données basés sur l’IA. De ce fait, le PFPDT rappelle aux fabricants, fournisseurs et exploitants d’applications de ce type l’obligation légale de s’assurer, dès le développement de nouvelles technologies et la planification de leur utilisation, que les personnes concernées disposent d’un degré d’autodétermination numérique aussi élevé que possible. 

Compte-tenu des exigences de la LPD, les fabricants, fournisseurs et exploitants de systèmes d’IA doivent rendre transparent la finalité, le fonctionnement et la source de données traités par l’intelligence artificielle. Le droit à la transparence est étroitement lié au droit des personnes concernées de s’opposer à un traitement automatisé de données ou d’exiger que des décisions individuelles automatisées soient contrôlées par un être humain - tel que prévu expressément par la LPD. Dans le cas d’un modèle intelligent de langage qui communiquerait directement avec un utilisateur, ce dernier a le droit de savoir s’il parle ou écrit à une machine et si les données qu’il a entré dans le système sont traitées ultérieurement pour améliorer les programmes d’auto-apprentissage de la machine ou à d’autres fins. De même, l’utilisation de programmes permettant la falsification de visages, d’images ou de messages vocaux de personnes identifiables doit être clairement reconnaissable et identifiable – pour autant que, dans le cas concret, cette utilisation ne s’avère pas totalement illicite en raison d’interdictions pénales. 

Les traitements de données basés sur l'IA comportant des risques élevés sont, sur le principe, autorisés, mais nécessitent des mesures appropriées pour protéger les personnes potentiellement concernées. Pour cette raison, la loi exige une analyse d’impact relative à la protection de données en cas de risques élevés.  En revanche, les applications visant l’érosion de la sphère privée et de l’autodétermination informationnelle, telles que protégées par la LPD, sont interdites du point de vue de la protection des données. C’est par exemple le cas de traitements de données basées sur l’IA tels qu’ils sont effectués dans certains pays sous régime autoritaire, comme l’utilisation la reconnaissance faciale à grande échelle en temps réel ou la surveillance globale et l’évaluation du mode de vie des individus, autrement dit le « crédit social ».