Ce qu’il faut savoir sur le règlement générale sur la protection des données (RGPD) et sa conséquences pour la vision par ordinateur.
S’il y a bien une chose que vous avez apprise avec nous jusqu’à présent, c’est que l’IA se développe rapidement et que là où les technologies progressent, la réglementation doit également évoluer. Comme l’intelligence artificielle repose sur le traitement des données, le Parlement européen a décidé d’actualiser la réglementation relative aux données à caractère personnel afin de rattraper son retard. Nous en profitons pour faire le point et vous donner une idée précise de ce qui va changer et de l’impact que cela peut avoir sur votre entreprise.
De plus en plus de services sont construits à partir de données personnelles afin de personnaliser les offres, cibler des publics spécifiques ou créer des systèmes de reconnaissance automatique. Chez deepomatic, nous avons rencontré de nombreux cas d’usages dans lesquels la collecte de données personnelles est au cœur des systèmes que nous co-créons avec nos clients. Pour protéger chacun d’entre nous, il existe des institutions qui garantissent une utilisation sûre et contrôlée de notre identité et certaines règles doivent être respectées lors de l’utilisation de données personnelles.
Les nouvelles directives générales françaises sur la protection des données ont été mises en œuvre le 25 mai 2018. Elles appliquent les directives européennes votées en 2016. Le premier grand changement dont vous devez être informés est qu’à partir du mois de mai, vous ne serez plus dans l’obligation de faire une déclaration à la CNIL pour utiliser des données personnelles mais vous serez tenus directement responsables de la conformité de vos directives sur les données personnelles.
Quel impact cela a-t-il sur la vision par ordinateur et quelles actions devront être entreprises?
Bien vu Sherlock !
Tout d’abord, définissons qui est concerné par les nouvelles directives en regardant la définition des données personnelles de la CNIL (Commission Nationale de l’Informatique et des Libertés).
Vous ne le savez peut-être pas, mais les données personnelles ne sont pas seulement des photos de visages ou des noms. Selon la CNIL, on entend par données personnelles “toute information concernant une personne physique identifiée ou identifiable”. S’il est simple de définir si vos informations concernent une personne identifiée, qu’en est-il des informations relatives à une personne identifiable ? Un numéro de sécurité sociale, une plaque d’immatriculation ou tout élément spécifique à son identité physique, culturelle ou sociale sont considérés comme des données personnelles. Ce concept peut être très trompeur. On pourrait croire à tort que si vous ne pouvez pas déterminer l’identité d’une personne au premier coup d’œil, alors il ne s’agit pas de données personnelles. Cependant, il est possible de combiner des informations provenant de différentes sources pour identifier une personne, et si vos données peuvent y contribuer, elles entrent dans le cadre des données personnelles défini par la CNIL.
Voyons un exemple. Imaginez que vous avez une photo de personnes marchant dans une rue avec des légendes de lieu et de temps, mais que nous ne voyons pas leurs visages. Il serait possible de retrouver l’identité des individus en recoupant leurs vêtements, leurs couleurs de peau ou leurs dimensions physiques avec le moment et l’endroit où les photos ont été prises.
Alors si vous cherchez à construire un système de vision par ordinateur et vos données répondent à la définition de la CNIL sur les données personnelles: continuez à lire ! Pour vous conformer à la loi, vous avez globalement deux options : répondre aux exigences des directives ou supprimer les renseignements personnels dans votre jeu de données.
1- Répondre aux exigences…
Comme Mike, nous ne sommes pas de vrais juristes et ne vous ennuierons pas avec des articles savants, jetons simplement un coup d’œil au principe de base introduit par les nouvelles directives.
Mike, avocat frauduleux dans l’émission Suits.
- Tout d’abord, vos activités de traitement des données doivent avoir un but précis. Il est illégal de collecter des données personnelles sans aucune raison ou pour un usage futur indéfini. Un objectif défini pourrait être, par exemple, d’optimiser la conduite autonome grâce à des caméras embarquées dans les voitures intelligentes.
- Parallèlement à ce premier principe, les données collectées doivent être pertinentes au but poursuivi et strictement nécessaires à son accomplissement.
Pour illustrer ces deux premières directives, prenons l’exemple d’une entreprise ferroviaire qui souhaite sécuriser les gares en installant un système de détection automatique des armes. Il s’agit d’un objectif défini. Pour ce faire, l’entreprise aura besoin d’images de caméras de vidéosurveillance montrant les visages des usagers. Il s’agit de données personnelles, mais elles sont pertinentes et nécessaires à la réalisation de l’objectif.
- Vos activités de traitement de données et le stockage de ces dernières doivent être limitées dans un laps de temps pertinent pour atteindre votre objectif.
- Et pour finir, vous devrez obtenir le consentement de la personne dont l’identité figure dans vos données. Il y a différentes façons de procéder : vous pouvez soit leur demander directement, soit utiliser des méthodes plus implicites pour obtenir leur consentement. Par exemple, si vous filmez des personnes dans un espace public, il est possible de les informer que vous recueillez des données en installant un panneau ou en leur proposant un autre chemin s’ils ne souhaitent pas être filmés.
Si vous ne pouvez pas obtenir de consentement, alors continuez à lire pour connaître votre dernière option!
2- Ou effacer les traces !
Et si la façon la plus simple de se conformer à une loi était de faire en sorte qu’elle ne s’applique pas à vous ? C’est exactement ce que vous pouvez faire en anonymisant vos données avant de les traiter. Pour ce faire, il ne doit y avoir aucune trace de renseignements personnels dans votre photo (ou tout autre type de données) qui permettrait d’identifier une personne. En vision par ordinateur, vous anonymiseriez très probablement les données en mettant une boîte noire autour d’un visage ou autre identificateur par exemple.
Mais attention à ne pas oublier la définition officielle des données personnelles ! Il ne suffit pas toujours de brouiller ou d’effacer un seul visage pour éliminer la présence d’autres renseignements personnels contenus dans les données. Il s’agit cependant d’une très bonne pratique encouragée par la CNIL qui améliore la sécurité et témoigne d’une bonne volonté de garantir les droits individuels à la vie privée. L’anonymisation peut en fait être facilement réalisée grâce à la vision par ordinateur. En formant un modèle de détection spécialisé dans la reconnaissance de visages ou de plaques d’immatriculation par exemple, vous pouvez ensuite appliquer automatiquement une boîte noire ou les flouter. Si vous souhaitez en savoir plus sur ces dernières solutions, n’hésitez pas à nous contacter !
L’intelligence artificielle s’avère être un sujet controversé d’un point de vue juridique. Les nouvelles directives constituent un premier pas vers une utilisation sûre et éthique des données à caractère personnel afin de mettre en place des systèmes intelligents, mais on peut s’attendre à ce que d’autres réglementations soient nécessaires dans un avenir proche. Les législateurs suivront probablement de près les progrès de l’IA au cours des prochaines années pour s’assurer qu’elle ne compromette pas seulement la vie privée des personnes, mais aussi leur sécurité et leur intégrité.
Pour plus d’informations, visitez notre site à www.deepomatic.com ou contactez-nous à l’adresse suivante https://deepomatic.com/fr/contact.
Pour plus d’informations sur la RGPD, rendez-vous sur https://www.cnil.fr/fr.
