Principes éthiques : Confidentialité

Cette sous-ligne directrice fait partie de la ligne directrice Principes éthiques. Se reporter à la ligne directrice principale pour le contexte et une vue d'ensemble.

Cette sous-ligne directrice examine le principe de confidentialité dans la gouvernance de l'IA pour les parlements, en mettant l'accent sur la protection des données personnelles. Elle décrit les problématiques spécifiques en matière de confidentialité dans les différents processus des travaux parlementaires, notamment les contextes législatifs, administratifs et d'interaction avec les citoyens. Elle souligne l'importance de justifier et de limiter l'utilisation des données personnelles dans les systèmes d'IA et propose des conseils sur le traitement des informations sensibles. Une attention particulière est accordée aux défis posés par l'IA générative dans le traitement des données personnelles et sensibles.

Dans l'ensemble, cette sous-ligne directrice propose un cadre permettant aux parlements de développer et de maintenir des systèmes d'IA respectant la confidentialité et protégeant les données personnelles.

Dans le contexte de la transformation numérique, il est essentiel – et c'est souvent une obligation légale – de protéger les données personnelles. Les systèmes d'IA n'échappent pas à cette règle, les parlements devant se conformer à la fois à la législation et aux normes internes en la matière.

Avant de se lancer dans un projet d'IA, les parlements devront donc approfondir le problème à résoudre avec l'IA afin d'identifier si des types de données personnelles seront collectés, traités et potentiellement partagés, en enregistrant clairement la classification des données et leur signification précise.

Les sections suivantes abordent les problématiques spécifiques de la confidentialité soulevées par les divers processus de travail des parlements.

Utilisation des données personnelles

Il est essentiel de faire preuve de prudence et de retenue lors de l'utilisation de données à caractère personnel, et de ne le faire qu'en cas d'absolue nécessité. Les parlements doivent respecter les principes suivants :

• Si des données à caractère personnel sont jugées essentielles aux fonctionnalités d'un système d'IA, leur utilisation doit être justifiée de manière claire et irréfutable. Cette justification doit faire l'objet d'un examen rigoureux et être approuvée par un agent chargé de la protection des données (ou une personne équivalente) et par les principaux décideurs au sein du cadre de gouvernance de l'IA.
• Si l'utilisation de données à caractère personnel est approuvée, des pratiques strictes doivent être mises en place pour protéger leur confidentialité et empêcher toute utilisation abusive. Ces pratiques doivent protéger l'identité des personnes, même indirectement, en particulier lorsqu'il s'agit de données biométriques ou de la combinaison d'informations provenant de sources multiples.
• Les systèmes d'IA ne doivent pas établir le profil des personnes en fonction de leur comportement ni utiliser les données personnelles d'une manière qui pourrait conduire à une discrimination, à la manipulation d'opinions ou à toute forme de préjudice, qu'il soit psychologique, physique ou financier.
• Une autorisation explicite doit être exigée pour l'utilisation des données sensibles, ce qui ajoute une couche supplémentaire de protection et de redevabilité.
• Des conditions particulières peuvent être imposées pour l'utilisation de données à caractère personnel à des fins de recherche ou pour soutenir des projets de loi en cours d'examen par le parlement, en particulier si le parlement dispose déjà d'une réglementation interne concernant l'utilisation de ces données.

Processus administratifs

Lorsque le parlement adopte ou développe des systèmes d'IA, il doit identifier, comprendre et documenter les données utilisées – qu'il s'agisse de données internes ou provenant de l'extérieur ou hébergées – et identifier le propriétaire de ces données.

Données des citoyens

Lorsqu'ils interagissent avec les citoyens, les parlements doivent veiller tout particulièrement à gérer et à protéger les données personnelles qu'ils collectent, que ce soit par le biais d'un service numérique en ligne ou d'un processus manuel de collecte de données. Ils doivent également examiner attentivement les données stockées dans un système exposé à l'IA et s'assurer que seules les données essentielles sont conservées. Plus généralement, lors de la conception d'un système d'IA, les parlements doivent comprendre les paramètres de confidentialité des données, savoir ce qui peut être publié dans le domaine public, ce qui doit être anonymisé et ce qui est protégé.

Données sensibles et IA générative

Les parlements doivent faire preuve d'une extrême prudence et d'un contrôle approprié lorsqu'ils introduisent des données personnelles et sensibles dans des systèmes d'IA générative, car ces systèmes traiteront et utiliseront toutes les données qui leur sont communiquées. L'institution doit mettre en place des mécanismes pour protéger ses données personnelles et sensibles contre tout accès involontaire ou inapproprié par de tels outils. Cela est particulièrement important si ces données sont traitées en externe, comme c'est le cas pour la plupart des systèmes d'IA générative. 
Si un parlement autorise l'utilisation de données personnelles par des systèmes d'IA générative, il doit activement mettre en œuvre des processus visant à rendre ces données anonymes, et adopter d'autres mécanismes, établis par des règles internes, avant de soumettre des données personnelles à ces outils. Cette pratique limite le risque de violation et d'utilisation abusive des données à caractère personnel.
 

Pour garantir que les systèmes d'IA respectent et protègent la confidentialité, les parlements doivent adopter une approche globale. Les composantes de cette approche sont détaillées ci-dessous :

• Procéder à une évaluation approfondie des systèmes d'IA afin d'identifier toute utilisation de données à caractère personnel, en documentant clairement la classification des données et leur finalité.
• Mettre en œuvre des pratiques strictes de protection des données, notamment en obtenant l'approbation de l'agent chargé de la protection des données pour toute utilisation de données à caractère personnel dans les systèmes d'IA.
• Établir des protocoles clairs pour la gestion des données des citoyens dans les interactions basées sur l'IA, en veillant à ce que seules les données essentielles soient collectées et stockées.
• Élaborer et appliquer des protections strictes pour le traitement des données sensibles, en particulier lors de l'utilisation d'outils d'IA générative.
• Créer un système global de propriété et de gestion des données, documentant les sources de données internes et externes utilisées dans les processus d'IA.

Les Lignes directrices pour l’IA dans les parlements ont été produites par l’UIP en collaboration avec le Pôle parlementaire sur la science des données du Centre pour l'innovation au parlement de l'UIP. Ce document est soumis à une licence Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International. Il peut être librement partagé et réutilisé en mentionnant l'UIP. Pour plus d'informations sur les travaux de l'UIP en matière d'intelligence artificielle, veuillez consulter le site www.ipu.org/fr/impact/democratie-et-parlements-forts/lintelligence-artificielle ou contacter [email protected]