Déterminer la qualification juridique des fournisseurs de systèmes d’IA
Les fournisseurs de systèmes d’IA qui souhaitent constituer leurs bases de données d’apprentissage contenant des données personnelles doivent déterminer leur qualification au sens du RGPD : ils peuvent être responsable de traitement, responsable conjoint ou sous-traitant.
Le responsable du traitement
Le principe
Le responsable du traitement est la personne physique ou morale qui détermine les objectifs et les moyens du traitement, c’est-à-dire qui décide du « pourquoi » et du « comment » de l’utilisation de données à caractère personnel (« données personnelles »).
Les moyens essentiels du traitement doivent être compris comme ceux qui sont étroitement liés à l’objectif et à la portée du traitement, tels que le type de données personnelles qui sont collectées et utilisées, les supports matériels et logiciels utilisés pour le traitement ainsi que leur sécurisation, la durée du traitement, les catégories de destinataires et les catégories de personnes concernées.
En pratique
Un fournisseur qui est à l’initiative du développement d’un système d’IA et qui constitue la base de données d’apprentissage de son système d’IA à partir de données qu’il a sélectionnées lui-même pour son propre compte, peut être qualifié de responsable de traitement.
Exemples de responsables de traitement :
- Une plateforme de vidéo à la demande souhaite développer un système d’IA de recommandations. Pour cela, il réutilise une base de données sur ses clients ayant été initialement collectée à des fins de fourniture du service.
La plateforme de vidéo à la demande qui constitue la base de données pour entraîner son système d’IA de recommandations est responsable de ce nouveau traitement puisqu’il a décidé de l’objectif (entraîner un système d’IA de recommandations) et des moyens essentiels du traitement (à savoir la base de données qu’il a déjà collectée pour une autre finalité et va réutiliser).
- Le fournisseur d’un agent conversationnel qui entraîne son modèle de langage (« Large Language Model » ou LLM en anglais) à partir de données publiquement accessibles sur Internet, est responsable de traitement de la réutilisation des données personnelles publiquement accessibles sur Internet. En effet, il décide à la fois de l’objectif (entraîner un système d’IA) et des moyens essentiels du traitement (sélectionner les données qu’il va réutiliser).
Lorsque le fournisseur de système d’IA qui constitue la base de données d’apprentissage réutilise des données collectées initialement par un autre organisme, il est nécessaire de distinguer :
- le diffuseur des données : la personne physique ou morale, publique ou privée, qui met en ligne des données personnelles ou une base de données personnelles ;
- le réutilisateur des données : la personne physique ou morale, publique ou privée, traitant ces données ou bases de données en vue d’une exploitation de celles-ci pour son propre compte.
Le diffuseur et le réutilisateur des données sont, en principe, responsables de traitements distincts puisque chacun détermine les objectifs et les moyens essentiels de son propre traitement.
Le diffuseur des données est, en principe, responsable de traitement de la diffusion publique, alors que le fournisseur du système d’IA qui réutilise les données, est lui responsable de traitement de la réutilisation. Le diffuseur n’est pas,en principe, responsable des traitements de réutilisation de ses données. Il peut toutefois prévoir des conditions d’utilisation des données diffusées pour en limiter les réutilisations ou prévoir certaines dispositions.
Exemple :
Une administration rend publiques et librement réutilisables (open data) des données immobilières. Une entreprise souhaite réutiliser ces données pour constituer une base de données d’apprentissage afin de développer un système d’IA consistant à prédire certaines évolutions immobilières sur un territoire donné. Le diffuseur et le réutilisateur sont alors responsables de traitement distincts, dès lors que ces deux traitements sont indépendants.
En savoir plus : Fiche n° 1 du guide sur l’ouverture et la réutilisation de données publiquement accessibles.
Les responsables conjoints du traitement
Le principe
Lorsque deux responsables du traitement ou plus, déterminent conjointement les finalités et les moyens du traitement, ils sont responsables conjoints du traitement.
Cette qualification peut être plus délicate en présence de plusieurs acteurs exerçant une influence sur la détermination des finalités et des moyens du traitement. Les acteurs doivent notamment déterminer s’ils traitent les données pour des objectifs propres et distincts ou pour un objectif commun.
En pratique
Lorsqu’une base de données d’apprentissage d’un système d’IA est alimentée par plusieurs responsables de traitement pour un objectif conjointement défini, ces derniers peuvent être qualifiés de responsables conjoints du traitement.
Exemples :
- Des centres hospitaliers universitaires développant un système d’IA pour l’analyse de données d’imagerie médicale choisissent de recourir à un même protocole d’apprentissage fédéré. Ce dernier leur permet d’exploiter des données pour lesquelles ils sont initialement des responsables de traitement distincts, afin de ne pas s’en rendre mutuellement destinataires.
Ils déterminent ensemble l’objectif (entraîner un système d’IA d’imagerie médicale) et les moyens de ce traitement (à travers le choix du protocole et la détermination des données qu’ils exploitent) : ils sont donc responsables conjoints de traitement.
- Un consortium composé d’une commune, d’une société fournissant un logiciel de traitement automatisé d’images et une société fournissant des dispositifs vidéo mettent en œuvre une expérimentation visant à installer des caméras augmentées pour enregistrer et analyser le flux et le comportement des véhicules empruntant une voie de circulation au sein d’une commune. Le contrat passé entre la ville et les deux sociétés prévoit l’utilisation du logiciel par la commune en conditions réelles et la possibilité pour les sociétés d’améliorer le logiciel de traitement automatisé d’images par les données collectées en temps réel.
La commune et les deux sociétés seront responsables conjoints du traitement de constitution de la base de données d’apprentissage du logiciel de traitement automatisé d’images dès lors qu’ils décident conjointement de la finalité et des moyens essentiels du traitement et que les sociétés n’agissent pas uniquement pour le compte de la commune. En effet, il est possible de considérer qu’ils décident conjointement des moyens essentiels du traitement (en choisissant d’alimenter la base de données d’apprentissage du système d’IA par les données collectées en temps réel par les caméras augmentées et par les données déjà collectées par la société fournissant le logiciel de traitement automatisé d’images) et de l’objectif du traitement (entraîner de manière expérimentale un système d’IA qui permet de détecter les comportements particuliers de véhicules et améliorer le logiciel de traitement automatisé d’images).
En cas de responsabilité conjointe, les responsables de traitement conjoints doivent s’assurer de la licéité du traitement (c’est-à-dire de sa conformité à la loi), notamment en définissant de manière transparente leurs obligations respectives dans le cadre d’un accord. La forme de cet accord n’est pas précisée par le RGPD. L’accord doit refléter les rôles de chacune des parties prenantes, les responsables conjoints devant préciser de manière claire « qui fait quoi » pour assurer la protection des données traitées.
Le recours à un sous-traitant
Le principe
Le sous-traitant est la personne physique ou morale qui traite des données pour le compte du responsable de traitement, dans le cadre d’un service ou d’une prestation.
En pratique
La qualification du fournisseur de système d’IA doit être appréciée au cas par cas. Un fournisseur de système d’IA peut lui-même être sous-traitant lorsque qu’il développe un système d’IA pour le compte d’un de ses clients, dans le cadre d’une prestation. Le client est pour sa part responsable de traitement dès lors qu’il détermine la finalité et les moyens du traitement. Dans d’autres configurations, le fournisseur de système d’IA peut être responsable de traitement des systèmes qu’il conçoit pour les commercialiser.
Un fournisseur de système d’IA constituant la base de données d’apprentissage du système d’IA qu’il développe pour son propre compte peut faire appel à un prestataire pour collecter et traiter les données selon ses instructions documentées (par exemple, de collecter des données publiquement accessibles sur Internet, de réutiliser une base de données spécifique mise à disposition en ligne, etc.). Ce dernier est alors qualifié de sous-traitant. Il est essentiel pour le fournisseur du système d’IA, en tant que responsable du traitement, de s’assurer que son sous-traitant respecte le RGPD et limite le traitement des données à ses instructions, notamment en concluant un contrat de sous-traitance.
Par ailleurs, le fait d’avoir recours à la même base de données pour différents clients, dans le cadre de prestations de services distinctes, est généralement un indice décisif permettant de considérer que le prestataire est responsable du traitement distinct pour la constitution de la base de données.