La nLPD est directement applicable à l’intelligence artificielle
Selon le Préposé fédéral à la protection des données (PFPDT), la nouvelle loi sur la protection des données en vigueur depuis septembre s'applique également aux outils d'intelligence artificielle. Le traitement des données des utilisateurs doit être signalé, même s'il est effectué par une IA.
La nouvelle loi sur la protection des données est en vigueur en Suisse depuis le 1er septembre 2023. Elle stipule entre autres que l'utilisation et le traitement des données des utilisateurs doivent désormais être signalés. Une obligation qui vaut également pour les applications d'intelligence artificielle, a souligné le Préposé fédéral à la protection des données (PFPDT), Adrian Lobsiger, dans un récent communiqué.
La loi fédérale sur la protection des données (LPD) est formulée de manière neutre sur le plan technologique et est donc directement applicable à l'utilisation de traitements de données basés sur l'IA, indique le PFPDT. Les fabricants, les fournisseurs et les exploitants de tels outils doivent donc s'assurer, dès le développement, que les personnes concernées «d’un degré d’autodétermination numérique aussi élevé que possible». Pour ce faire, il convient de rendre transparents le but, le fonctionnement et les sources de données traitées par l’IA.
Obligation d'informer
Pour les modèles de langage qui communiquent directement avec les utilisateurs, ces derniers ont le droit légal de savoir qu'ils parlent à une machine et si les données saisies sont utilisées pour le développement du modèle. Les programmes permettant de falsifier des visages, des images ou des messages vocaux doivent être clairement reconnaissables et identifiables (à condition qu'ils ne soient pas de toute façon interdits).
Les applications à haut risque sont également autorisées
Les traitements de données basés sur l'IA et présentant des risques élevés sont également autorisés par la nLPD, explique le PFPDT. Toutefois, des mesures adéquates doivent être prises pour protéger les personnes potentiellement concernées. En cas de risques élevés, la loi exige une analyse d'impact sur la protection des données.
Les applications qui visent à «l’érosion de la sphère privée et de l’autodétermination informationnelle, telles que protégées par la LPD», précise encore le PFPDT, sont en revanche interdites. Cela concerne surtout les applications telles que la reconnaissance faciale en temps réel à grande échelle ou la surveillance globale et l’évaluation du mode de vie des individus tel qu'il se pratique en Chine.