Politique de protection des données relative à l’IA et à la prise de décision individuelle automatisée

La Politique de protection des données relative à l’IA et à la prise de décision individuelle automatisée définit les exigences obligatoires de protection des données applicables aux activités d’intelligence artificielle, de profilage, de notation, de recommandation, d’aide à la décision et de prise de décision individuelle automatisée impliquant des données à caractère personnel. Son champ d’application comprend les systèmes, applications, modèles, services, flux de travail, moteurs de décision, modèles d’analyse et processus de prise de décision individuelle automatisée activés par l’IA qui utilisent, infèrent, génèrent, divulguent ou traitent autrement des données à caractère personnel dans le domaine d’application du PIMS. Elle couvre également les données à caractère personnel utilisées pour l’entraînement, les tests, la validation, l’ajustement, la surveillance, l’inférence en production, la revue des résultats, la mesure de performance, l’investigation des incidents et le retrait des modèles. La politique s’applique aux contextes de responsable du traitement, responsable conjoint du traitement, sous-traitant et sous-traitant ultérieur, y compris les fournisseurs, sous-traitants, sous-traitants ultérieurs, destinataires de partage de données et circuits de transfert international liés à l’IA. L’objet de la politique est de veiller à ce que les activités d’IA, de profilage et de prise de décision individuelle automatisée impliquant des données à caractère personnel soient identifiées, documentées, appréciées au regard des risques, transparentes, contestables, surveillées et contrôlées au moyen du PIMS, sans créer de livrables justificatifs de gouvernance propres à l’IA faisant doublon. Elle précise explicitement qu’elle ne crée pas de cadre complet de gouvernance de l’IA, de système de management de l’IA, d’inventaire de l’IA, d’inventaire des modèles, de registre des risques liés aux modèles, de registre d’équité, de registre des algorithmes, de registre des incidents IA, de comité IA, de rôle de propriétaire de modèle, de rôle de propriétaire du système IA, de workflow d’avis juridique ni de formulaire d’approbation IA distinct. À la place, elle exige que les obligations de protection des données liées à l’IA soient démontrées au moyen des éléments de preuve canoniques existants : REG02, REG04, REG06, REG07, REG08, REG09, REG10 et REG12. Sur le plan opérationnel, la politique impose aux responsables de processus / propriétaires de l’entreprise de déterminer si les systèmes, flux de travail ou processus opérationnels nouveaux ou substantiellement modifiés utilisent l’IA, le profilage, la notation, la recommandation, l’aide à la décision ou la prise de décision individuelle automatisée impliquant des données à caractère personnel, et de consigner cette détermination dans REG02. Avant le début du traitement de données à caractère personnel lié à l’IA, la politique exige la documentation de la finalité du traitement, des catégories de données à caractère personnel, des catégories de personnes concernées, des sources de données, des catégories de données inférées ou dérivées, des catégories de résultats, des catégories de destinataires, de la base légale et du lien avec la conservation. Pour le profilage, la notation, la recommandation, l’aide à la décision ou la prise de décision individuelle automatisée utilisés en production, le contexte de décision, l’effet attendu sur les personnes concernées, l’intervention humaine et le circuit des droits doivent être documentés dans REG02 et REG04. La gouvernance des risques constitue un élément central de la politique. Avant le lancement ou la modification substantielle d’un traitement de données à caractère personnel lié à l’IA, le responsable de la protection des données / responsable du PIMS doit réaliser l’examen des risques relatifs à la vie privée et consigner la décision relative à la DPIA dans REG04. Lorsque le traitement implique le profilage, des décisions automatisées, une évaluation à grande échelle, des données de catégories particulières, des données relatives à des infractions pénales, des personnes concernées vulnérables, l’évaluation des employés, des enfants, la surveillance comportementale, des données de localisation, des données biométriques, une notation à fort impact ou des effets significatifs, le délégué à la protection des données / conseiller en protection des données doit examiner le risque relatif à la vie privée et consigner son avis dans REG04. Si un risque résiduel élevé relatif à la vie privée subsiste après le traitement prévu, Top Management doit approuver, rejeter ou exiger un traitement supplémentaire avant l’utilisation en production, la décision étant consignée dans REG04 et REG12. La politique établit également des contrôles relatifs à la transparence, aux informations utiles, à la minimisation, au traitement des droits, à la surveillance, aux fournisseurs et à l’application de la politique. Le contenu des mentions d’information doit décrire la finalité liée à l’IA, les catégories de données, les catégories de résultats, les catégories de destinataires, le circuit des droits et le circuit de contact, les versions des mentions étant enregistrées dans REG07. Des circuits de revue humaine, d’opposition et de contestabilité sont requis pour les décisions liées à l’IA produisant des effets juridiques, d’éligibilité, d’accès, d’emploi, financiers, éducatifs, de service, de sécurité ou des effets similaires significatifs. Les fournisseurs et sous-traitants doivent être gouvernés au moyen de REG08, les transferts internationaux étant acheminés via REG09. Les critères de surveillance doivent couvrir les changements d’entrée, les changements de résultat, les enjeux relatifs aux droits, les impacts défavorables sur la protection des données, l’utilisation non autorisée et les tendances des réclamations, avec une revue trimestrielle pour les traitements actifs de données à caractère personnel liés à l’IA à fort impact et l’enregistrement des non-conformités ou actions correctives dans REG12.