UK ICO publie des directives mises à jour sur l’IA et la protection des données

Le 15 mars 2023, l’Information Commissioner’s Office (« ICO ») du Royaume-Uni a publié une version mise à jour de ses directives sur l’IA et la protection des données (les « directives mises à jour »), suite aux demandes de l’industrie britannique de clarifier les exigences d’équité en matière d’IA.

Les principales mises à jour sont résumées comme suit :

  • Les orientations mises à jour ont été restructurées en utilisant les principes de protection des données comme noyau de la structure. Selon l’ICO, cette structure « a un sens éditorial et opérationnel » et rendra plus efficace la mise à jour des orientations à l’avenir.
  • Une nouvelle section a été insérée détaillant ce qu’une organisation doit évaluer lors de la réalisation d’une analyse d’impact sur la protection des données (« DPIA ») sur l’IA. Par exemple, le DPIA devrait inclure des preuves de l’examen d’ »alternatives moins risquées » pour atteindre le même objectif et expliquer pourquoi ces alternatives n’ont pas été choisies.
  • Un nouveau chapitre a été ajouté contenant une description de haut niveau du principe de transparence tel qu’il s’applique à l’IA. Par exemple, les directives mises à jour confirment que, lorsque des données personnelles sont collectées directement auprès d’une personne concernée, la personne concernée doit être informée si ces données personnelles doivent être utilisées pour former le modèle d’IA. Ce chapitre complète les directives existantes de l’ICO sur l’explication des décisions prises avec l’IA .
  • Un nouveau chapitre a été ajouté concernant la garantie de la légalité dans l’IA. Le nouveau contenu de ce chapitre concerne l’IA et les inférences, les groupes d’affinité et les données de catégories spéciales. Par exemple, les directives mises à jour indiquent qu’il peut être possible, en utilisant l’IA, de déduire ou de deviner des détails sur une personne, qui peuvent constituer des données de catégorie spéciale. Selon les directives mises à jour, une inférence est susceptible d’être une donnée de catégorie spéciale si une organisation peut (ou a l’intention de) déduire des informations pertinentes sur un individu, ou a l’intention de traiter quelqu’un différemment sur la base de l’inférence (même si ce n’est pas avec un degré raisonnable de certitude).
  • Un nouveau chapitre a été ajouté concernant la garantie d’équité dans l’IA. Le nouveau contenu de ce chapitre comprend des informations sur, par exemple, l’approche de la protection des données à l’équité ; comment l’équité s’applique à l’IA et une liste non exhaustive de dispositions légales à prendre en compte ; la différence entre l’équité, l’équité algorithmique, les préjugés et la discrimination ; et le traitement des données personnelles pour atténuer les préjugés.
  • Une nouvelle annexe a été ajoutée concernant l’équité dans le cycle de vie de l’IA. L’annexe détaille les considérations d’équité en matière de protection des données tout au long du cycle de vie de l’IA, de la formulation du problème à la mise hors service. Il explique également pourquoi les aspects fondamentaux de la construction de l’IA peuvent avoir un impact sur l’équité, identifie les différentes sources de biais pouvant conduire à l’injustice et énumère les mesures d’atténuation possibles.

Selon l’ICO, les directives mises à jour « soutiennent la vision du gouvernement britannique d’une approche pro-innovation de la réglementation de l’IA et plus précisément son intention d’intégrer des considérations d’équité dans l’IA ». L’ICO a également noté que les orientations nécessiteront d’autres mises à jour à l’avenir pour suivre le « rythme rapide des développements technologiques » et a confirmé qu’elle soutiendrait la mise en œuvre du prochain livre blanc du gouvernement britannique sur la réglementation de l’IA.