Les systèmes d’intelligence artificielle dans les ressources humaines (EU AI Act, 4e partie)

Publié le 22 décembre 2024 par Me Philippe Ehrenström

Nous avons vu que les rh techs sont susceptibles d’entrer dans la catégorie des systèmes d’intelligence artificielle (SIA ou système(s) d’IA)) à hauts risques au sens du Règlement européen sur l’intelligence artificielle (RIA ; https://droitdutravailensuisse.com/2024/12/18/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-1ere-partie/). Nous avons examiné le champs d’application du RIA (https://droitdutravailensuisse.com/2024/12/20/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-3e-partie/), puis avons traité d’une première obligation s’appliquant aux systèmes d’IA à hauts risques (système de gestion des risques : https://droitdutravailensuisse.com/2024/12/19/les-systemes-dintelligence-artificielle-dans-les-ressources-humaines-eu-ai-act-2e-partie/).

Nous continuons aujourd’hui par une seconde série d’obligations s’appliquant aux systèmes d’IA à hauts risques concernant les données et leur gouvernance (art. 10 RIA).

Les systèmes d’IA à haut risque faisant appel à des techniques qui impliquent l’entraînement de modèles d’IA au moyen de données sont développés sur la base de jeux de données d’entraînement, de validation et de test qui satisfont aux critères de qualité de l’art. 10 du Règlement chaque fois que ces jeux de données sont utilisés (Données et gouvernance des données).

Les jeux de données d’entraînement, de validation et de test sont soumis à des pratiques en matière de gouvernance et de gestion des données appropriées à la destination du système d’IA à haut risque. Ces pratiques concernent en particulier: les choix de conception pertinents; les processus de collecte de données et l’origine des données, ainsi que, dans le cas des données à caractère personnel, la finalité initiale de la collecte de données; les opérations de traitement pertinentes pour la préparation des données, telles que l’annotation, l’étiquetage, le nettoyage, la mise à jour, l’enrichissement et l’agrégation; la formulation d’hypothèses, notamment en ce qui concerne les informations que les données sont censées mesurer et représenter; une évaluation de la disponibilité, de la quantité et de l’adéquation des jeux de données nécessaires; un examen permettant de repérer d’éventuels biais qui sont susceptibles de porter atteinte à la santé et à la sécurité des personnes, d’avoir une incidence négative sur les droits fondamentaux ou de se traduire par une discrimination interdite par le droit de l’Union, en particulier lorsque les données de sortie influencent les entrées pour les opérations futures (boucle de rétroaction); les mesures appropriées visant à détecter, prévenir et atténuer les éventuels biais repérés; la détection de lacunes ou déficiences pertinentes dans les données qui empêchent l’application du règlement, et la manière dont ces lacunes ou déficiences peuvent être comblées.

Les jeux de données d’entraînement, de validation et de test sont pertinents, suffisamment représentatifs et, dans toute la mesure possible, exempts d’erreurs et complets au regard de la destination. Ils possèdent les propriétés statistiques appropriées, y compris, le cas échéant, en ce qui concerne les personnes ou groupes de personnes à l’égard desquels le système d’IA à haut risque est destiné à être utilisé. Ces caractéristiques des jeux de données peuvent être remplies au niveau des jeux de données pris individuellement ou d’une combinaison de ceux-ci.

Les jeux de données tiennent compte, dans la mesure requise par la destination, des caractéristiques ou éléments propres au cadre géographique, contextuel, comportemental ou fonctionnel spécifique dans lequel le système d’IA à haut risque est destiné à être utilisé.

Dans la mesure où cela est strictement nécessaire aux fins de la détection et de la correction des biais en ce qui concerne les systèmes d’IA à haut risque, les fournisseurs de ces systèmes peuvent exceptionnellement traiter des catégories particulières de données à caractère personnel (art. 9 RGPD, « données sensibles » dirait-on en Suisse), sous réserve de garanties appropriées pour les droits et libertés fondamentaux des personnes physiques. Outre les dispositions [notamment] du RGPD, toutes les conditions suivantes doivent être réunies pour que ce traitement puisse avoir lieu: la détection et la correction des biais ne peuvent être satisfaites de manière efficace en traitant d’autres données, y compris des données synthétiques ou anonymisées; les catégories particulières de données à caractère personnel sont soumises à des limitations techniques relatives à la réutilisation des données à caractère personnel, ainsi qu’aux mesures les plus avancées en matière de sécurité et de protection de la vie privée, y compris la pseudonymisation; les catégories particulières de données à caractère personnel font l’objet de mesures visant à garantir que les données à caractère personnel traitées sont sécurisées, protégées et soumises à des garanties appropriées, y compris des contrôles stricts et une documentation de l’accès, afin d’éviter toute mauvaise utilisation et de veiller à ce que seules les personnes autorisées ayant des obligations de confidentialité appropriées aient accès à ces données à caractère personnel; les catégories particulières de données à caractère personnel ne doivent pas être transmises, transférées ou consultées d’une autre manière par d’autres parties; les catégories particulières de données à caractère personnel sont supprimées une fois que le biais a été corrigé ou que la période de conservation des données à caractère personnel a expiré, selon celle de ces deux échéances qui arrive en premier; les registres des activités de traitement comprennent les raisons pour lesquelles le traitement des catégories particulières de données à caractère personnel était strictement nécessaire pour détecter et corriger les biais, ainsi que la raison pour laquelle cet objectif n’a pas pu être atteint par le traitement d’autres données. (Consid. 70)

En ce qui concerne le développement de systèmes d’IA à haut risque qui ne font pas appel à des techniques qui impliquent l’entraînement de modèles d’IA, ce qui précède s’applique uniquement aux jeux de données de test.

Les exigences relatives à la gouvernance des données peuvent être respectées en faisant appel à des tiers qui proposent des services de conformité certifiés, y compris la vérification de la gouvernance des données, l’intégrité des jeux de données et les pratiques d’entraînement, de validation et de mise à l’essai des données, dans la mesure où le respect des exigences du présent règlement en matière de données est garanti. (Consid. 67)

Pour le développement et l’évaluation de systèmes d’IA à haut risque, certains acteurs, tels que les fournisseurs, les organismes notifiés et d’autres entités concernées, telles que les pôles européens d’innovation numérique, les installations d’expérimentation et d’essai et les centres de recherche, devraient être en mesure d’avoir accès à des jeux de données de haute qualité dans leurs domaines d’activité liés au présent règlement et d’utiliser de tels jeux de données. Les espaces européens communs des données et la facilitation du partage de données d’intérêt public entre les entreprises et avec le gouvernement seront essentiels pour fournir un accès fiable, responsable et non discriminatoire à des données de haute qualité pour l’entraînement, la validation et la mise à l’essai des systèmes d’IA. (Consid. 68)

Me Philippe Ehrenström, avocat, LLM

Avatar de Inconnu

About Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M., Yverdon-les-Bains
Cet article, publié dans intelligence artificielle, est tagué , , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire