Contrairement à l'UE avec l'EU AI Act, la Suisse ne connaît pas (encore) de législation spécifique à l'IA. Même si un groupe de travail mandaté par le Conseil fédéral doit présenter d'ici fin 2024 des approches possibles pour la réglementation de l'IA. De nombreuses questions relatives à l'utilisation quotidienne de l'IA demandent déjà une réponse aujourd'hui. Cela concerne notamment les questions de protection des données lors de l'utilisation de l'IA dans la formation.
Dans ce contexte, il est important de souligner que la protection des données en Suisse n'est pas axée sur des technologies particulières. Par conséquent, même si l'IA ouvre de nouvelles possibilités et pose des défis qui nécessitent une réévaluation potentielle des réglementations actuellement en vigueur, les questions de protection des données doivent et peuvent s'appuyer sur les principes et obligations actuellement en vigueur. Pour les organes fédéraux et les particuliers (personnes et entreprises), il s'agit des dispositions de la loi fédérale sur la protection des données (LPD). Les administrations cantonales sont en revanche soumises à leur propre loi cantonale sur la protection des données.
L'IA: un défi pour la protection des données
Les systèmes d'intelligence artificielle constituent toujours un défi pour la protection des données lorsqu'ils traitent des données personnelles. Le traitement de ces données peut intervenir à différents moments du cycle de vie de l'IA. Par exemple, lorsque les données personnelles:
- sont utilisées comme données d'entraînement pour un système d'IA;
- sont utilisées pour contextualiser un système d'IA existant;
- sont introduites dans un système d'IA par des utilisatrices et utilisateurs en tant que données d'input;
- sont transmises par le système d'IA aux utilisatrices et utilisateurs en tant que données d'output.
De manière générale, c'est surtout le manque de transparence concernant le fonctionnement des systèmes d'IA qui pose un sérieux problème. La «méthode de travail» de ces systèmes n'est pas suffisamment explicable ou compréhensible pour les utilisatrices et utilisateurs. La manière dont le système d'IA choisit de générer un output à partir des données d'input n'est pas claire en soi. C'est pourquoi on parle souvent de la problématique de la boîte noire dans le contexte de l'IA. Les utilisatrices et utilisateurs sont particulièrement mis au défi en ce qui concerne la protection des données. En effet, si le cycle de vie des données traitées par un système d'IA ne peut pas être clairement retracé, il est difficile pour les institutions ou les individus qui utilisent ces systèmes d'IA pour leurs services de garantir le respect des principes de la protection des données et de remplir pleinement les obligations qui en découlent.
Si, par exemple, une enseignante ou un enseignant transmet des données personnelles d'apprenantes ou d'apprenants à un système d'IA, des considérations relatives à la protection des données s'imposent sans aucun doute. Dans ce cas concret et également en raison de la fonction publique du corps enseignant, les dispositions relatives aux organes publics s'appliquent. Indépendamment du fait qu'il s'agisse d'un organe fédéral ou cantonal, le principe de légalité doit être respecté. Concrètement, la transmission de données personnelles étant une forme de traitement de données, elle suppose une base légale. Avant de transmettre des données personnelles à un système d'IA, l'enseignante ou l'enseignant doit donc s'assurer que la base juridique en question permet l'utilisation du système d'IA en question.
Utilisation de systèmes d'IA: à quoi faut-il faire attention?
L'exemple ci-dessus le montre: les considérations relatives à la protection des données entrent toujours en jeu lorsqu'un système d'IA traite des données personnelles. C'est pourquoi il est recommandé, dans la mesure du possible, de supprimer préalablement les données personnelles lors de l'utilisation de l'IA.
Si l'intégration de données personnelles est essentielle pour la valeur ajoutée de l'utilisation de l'IA (par ex. en cas de feedback individualisé), il convient de vérifier au cas par cas si l'utilisation d'un système d'IA est conforme à la loi. Cet examen de la conformité d'un système d'IA doit garantir le respect des principes et obligations en vigueur en matière de protection des données et permettre de «minimiser les risques», ce qui est essentiel dans le contexte de la protection des données.
Afin de garantir une utilisation responsable des systèmes d'IA, il est donc nécessaire que les acteurs responsables (par ex. les institutions éducatives) se fassent une idée aussi complète que possible du système d'IA en question. Pour ce faire, il est important de clarifier les questions suivantes.
Des données personnelles sont-elles traitées et, si oui, quel type de données personnelles?
En particulier lorsque des systèmes d'IA traitent des données personnelles sensibles, il convient de vérifier si les dispositions générales de ces lois sont suffisantes (voir à ce sujet «État des lieux juridique de l'IA dans l'espace de formation»). En fonction du cadre légal, il convient de vérifier si une analyse d’impact relative à la protection des données personnelles AIPD doit être effectuée. C'est par exemple le cas lorsque le traitement de données personnelles présente un risque potentiellement élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Dans le contexte de l'IA, cela devrait être la règle.
Quelle est la finalité du système d'IA?
Il convient ici de vérifier entre autres si l'utilisation est conforme à la finalité des éventuelles données personnelles traitées. En outre, l'utilisation d'un système d'IA à des fins de prise de décision automatisée peut entraîner d'autres obligations en matière de protection des données, telles que l'obligation d'informer (voir à ce sujet l'«État des lieux juridique de l'IA dans l'espace de formation»). Afin d'éviter que des erreurs ne se glissent dans l'utilisation de systèmes d'IA en interne, il peut être judicieux de réglementer clairement l'utilisation de ces systèmes d'IA en interne. Des séances de formation et de sensibilisation internes régulières permettent également de prévenir les erreurs possibles et les violations de la protection des données qui en découlent potentiellement.
Quel est le cycle de vie des données dans le contexte du système d'IA?
Il faut analyser où les données sont traitées pendant leur utilisation dans le système d'IA. Les données restent-elles stockées localement, sont-elles traitées dans un propre cloud ou sont-elles transmises à des tiers? Si des tiers sont impliqués, il vaut la peine d'examiner la possibilité de conclure un contrat d'externalisation. Répondre à ces questions implique inévitablement un examen approfondi des conditions générales, des conditions d'utilisation, des conditions de vente, des déclarations de protection des données et d'autres informations mises à disposition par le fournisseur.
Le rythme effréné des développements autour des systèmes d'IA exige de toutes les actrices et de tous les acteurs du système éducatif qu'ils se tiennent constamment au courant. Parallèlement, certaines parties du système éducatif ne doivent pas perdre pied dans le domaine des systèmes d'IA «uniquement» par peur d'éventuelles erreurs. Les points susmentionnés peuvent constituer certains garde-fous afin d'utiliser les systèmes d'IA de manière conforme à la protection des données malgré les grandes incertitudes et de rester ainsi dans la course.
Pour approfondir le thème de la conformité à la protection des données à l'école, nous vous recommandons la lecture de notre dossier «École conforme à la protection des données ». Dans l'article «Ce que peut faire une école», vous en apprendrez plus sur les deux outils pratiques que sont le «registre des activités de traitement» et la «liste de contrôle des applications», qui vous donnent un cadre pour l'utilisation des données et vous aident à respecter les exigences légales.