IA et Privacy : les entreprises doivent se tenir prêtes

L'écosystème de la protection de la vie privée est en pleine mutation. Aux préoccupations des consommateurs viennent s'ajouter les réglementations en vigueur en Europe et aux États-Unis.

La privacy a été l’un des principaux buzzwords dans les entreprises tout au long de 2023. Cette année cependant, nous verrons certainement émerger beaucoup plus d’actions que de paroles sur ce sujet, à mesure que les lois de protection de la vie privée et d’autres réglementations cadrent davantage le paysage.

Les préoccupations des gouvernements et des entreprises s’inscrivent dans un contexte de sensibilité accrue des individus aux questions relatives à la protection de leurs données personnelles. Une enquête révèle que seulement 41 % des consommateurs pensent qu’il est devenu plus facile de protéger leurs données en ligne au cours de l’année écoulée. À peine 34 % d’entre eux estiment que les entreprises sont transparentes sur la manière dont elles utilisent les données qu’elles collectent sur leurs services en ligne.

Les entreprises doivent faire preuve de souplesse et bâtir une culture respectueuse de la vie privée si elles veulent répondre aux attentes des consommateurs et aux nouvelles réglementations.

IA et IA Gen : de la hype au statu quo

La présence croissante d’outils d’IA sur le lieu de travail et les fonctionnalités de plus en plus sophistiquées de l’IA générative rendent la privacy une question brûlante cette année, avec 35 % des entreprises mondiales se servant des outils d’IA en 2023.

En réponse, le Comité européen de la protection des données (CEPD) a créé un groupe de travail pour surveiller ChatGPT, tandis que le règlement européen sur l’IA devrait renforcer cette protection, même s’il n’entrera en vigueur au mieux qu’en 2025. Aux États-Unis, le décret sur le développement et l’utilisation sûrs, sécurisés et fiables de l’intelligence artificielle, publié en octobre dernier, s’il est axé sur l’utilisation de l’IA par le gouvernement, devrait avoir un effet d’entraînement beaucoup plus large.

En 2024, d’autres mouvements mondiaux se produiront vers une réglementation plus complète et nuancée pour garantir l’utilisation éthique, le respect de la vie privée et la sécurité de l’IA.

S’assurer de la maîtrise du respect des données personnelles

L’IA générative, les grands modèles linguistiques (LLM) et d’autres outils d’IA risquent d’user et d’abuser des données personnelles pour des résultats rapides. Cela peut conduire à une prise de décision automatisée et sans intervention humaine, entraînant un impact considérable sur la protection de la vie privée des individus, elle-même régulée par le Règlement général sur la protection des données (RGPD), en vigueur dans l’UE. Le RGPD est largement considéré comme une référence en matière de protection de données personnelles.

Avec 74 % des violations de données impliquant une intervention humaine, la formation régulière et continue des équipes est essentielle pour protéger les entreprises des conséquences de telles erreurs. Le personnel, nouveau et existant, doit disposer de solides connaissances en matière de protection de la vie privée sous l’impulsion de sa hiérarchie.

Prenez soin de vos PETS

En parallèle aux questions concernant l’IA, 2024 marque l’entrée en vigueur dans les pays de l’UE de la loi sur les marchés numériques (DMA) et de la loi sur les services numériques (DSA). L’application de ces réglementations se concentre dans un premier temps sur les très grandes plateformes en ligne (VLOP) qualifiés de « gatekeepers ». Dans les deux cas, la protection de la vie privée sera traitée à travers des dispositions relatives à la publicité ciblée ou comportementale.

Ces réglementations amèneront les entreprises à se concentrer davantage sur les privacy clouds et les « privacy-enhancing technologies (PETs) ». Ces dernières sont conçues pour empêcher les fuites de données tout en équilibrant les besoins en matière à la fois de confidentialité et de facilité d’utilisation. Le recours à des techniques telles que la confidentialité différentielle, le K-anonymat et le chiffrement homomorphe dans les services des data clean rooms permettra aux entreprises de répondre de manière plus appropriée aux nouvelles réglementations et aux attentes des consommateurs.

Les technologies et services tels que les data clean rooms sont également mieux adaptées aux spécificités des données first party, ce qui en fait une vraie option pour les besoins de la privacy à l’approche de la fin des cookies tiers.

Le recours préventif à des pratiques respectueuses de la vie privée ne protège pas seulement les entreprises des sanctions liées à un manque de conformité, comme l’amende de 1,2 million d’euros infligée à Meta plus tôt cette année pour violation des règles de transfert de données en vertu du RGPD. Cela a également le mérite de préserver la confiance vitale des utilisateurs : ces derniers s’engagent en effet de plus en plus auprès d’entreprises qui accordent une grande valeur à leur vie privée et qui sont transparentes sur la manière dont elles utilisent les données de leurs clients.

Tensions transatlantiques

La question des transferts internationaux de données restera d’actualité en 2024. Le cadre pour le transfert de données UE-États-Unis adopté en juillet dernier facilite la légalisation du transfert de données personnelles outre-Atlantique, mettant temporairement un terme au débat sur la manière dont les données pourraient ou devraient être transférées depuis l’Union européenne vers les États-Unis.

Cependant, Max Schrems, militant pour la protection de la vie privée, et son association à but non lucratif NOYB (None of Your Business) devraient une fois de plus solliciter la justice pour lui faire part de leurs inquiétudes quant à l’étendue de la surveillance exercée par le gouvernement américain. Ces militants considèrent que le nouveau cadre ne protège pas suffisamment les données personnelles de l’UE. Si cela se confirme, les transferts UE-États-Unis pourront à nouveau se trouver dans une situation juridique difficile, perturbant les flux de données transatlantiques.

Même si les entreprises doivent être vigilantes quant aux données qu’elles transfèrent et quant à leur destination, il est important de noter que le transfert de données entre pays est vital pour l’économie mondiale. Dans une société numérique sans frontières, chercher à contrôler les flux de données entre les pays semble contre-intuitif.

Les inquiétudes croissantes quant à la manière dont les données personnelles sont utilisées et partagées ont créé un paysage de la privacy fragmenté dans lequel les entreprises doivent naviguer en un temps record. Les données étant cruciales pour les entreprises dans l’écosystème numérique mondial, la recherche d’un juste équilibre entre les besoins des entreprises, les exigences réglementaires et les priorités des consommateurs sera clé en 2024.