📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 59 IA ACT : Données personnelles dans les bacs à sable

Table des matières

Explication de l’article

L’article 59 de l’AI Act encadre l’utilisation des données personnelles dans le cadre des bacs à sable.

Il autorise leur utilisation uniquement dans des conditions strictes :

  • les données doivent être utilisées dans un objectif d’intérêt public,
  • elles doivent être traitées dans un environnement sécurisé et isolé,
  • elles doivent être supprimées à l’issue de l’expérimentation,
  • des garanties doivent être mises en place pour protéger les droits des personnes concernées.

Cet article vise à concilier innovation et protection des données.

Notions clés à comprendre

Intérêt public : L’intérêt public correspond à un objectif bénéfique pour la société, comme la santé publique, la sécurité ou la protection de l’environnement.

Exemple pratique

Une entreprise développe une intelligence artificielle destinée à anticiper les épidémies.

Elle utilise des données de santé dans un bac à sable. Les données sont sécurisées, utilisées uniquement pour cet objectif, et supprimées après l’expérimentation. Les personnes concernées sont informées et leurs droits sont respectés.

Utilisez des données personnelles en toute sécurité dans vos tests IA
L'article 59 indique que les données personnelles ne peuvent être utilisées dans les bacs à sable que pour des projets d’intérêt public, dans un environnement sécurisé avec des garanties strictes et une suppression après usage.
Sécuriser mes données en bac à sable

Texte original de l’IA Act

Article 59 – Traitement ultérieur de données à caractère personnel en vue du développement de certains systèmes d’IA dans l’intérêt public dans le cadre du bac à sable réglementaire de l’IA

1.   Dans le bac à sable réglementaire de l’IA, les données à caractère personnel collectées légalement à d’autres fins peuvent être traitées uniquement aux fins du développement, de l’entraînement et de la mise à l’essai de certains systèmes d’IA dans le bac à sable, lorsque l’ensemble des conditions suivantes sont remplies:

a)

les systèmes d’IA sont développés pour préserver des intérêts publics importants par une autorité publique ou une autre personne physique ou morale et dans un ou plusieurs des domaines suivants:

i)

la sécurité publique et la santé publique, y compris la détection, le diagnostic, la prévention, le contrôle et le traitement des maladies ainsi que l’amélioration des systèmes de soins de santé;

ii)

un niveau élevé de protection et d’amélioration de la qualité de l’environnement, la protection de la biodiversité, la protection contre la pollution, les mesures de transition écologique et les mesures d’atténuation du changement climatique et d’adaptation à celui-ci;

iii)

la durabilité énergétique;

iv)

la sécurité et la résilience des systèmes de transport et de la mobilité, des infrastructures critiques et des réseaux de transport;

v)

l’efficacité et la qualité de l’administration publique et des services publics;

b)

les données traitées sont nécessaires pour satisfaire à une ou plusieurs des exigences visées au chapitre III, section 2, lorsque ces exigences ne peuvent être satisfaites de manière efficace en traitant des données anonymisées, synthétiques ou autres à caractère non personnel;

c)

il existe des mécanismes de suivi efficaces pour déterminer si des risques élevés pour les droits et les libertés des personnes concernées, visés à l’article 35 du règlement (UE) 2016/679 et à l’article 39 du règlement (UE) 2018/1725, sont susceptibles de survenir lors de l’expérimentation menée dans le cadre du bac à sable, ainsi que des mécanismes de réponse permettant d’atténuer rapidement ces risques et, au besoin, de faire cesser le traitement des données;

d)

les données à caractère personnel à traiter dans le cadre du bac à sable se trouvent dans un environnement de traitement des données séparé, isolé et protégé sur le plan fonctionnel, placé sous le contrôle du fournisseur potentiel, et seules les personnes autorisées ont accès à ces données;

e)

les fournisseurs ne peuvent en outre partager les données initialement collectées que conformément au droit de l’Union en matière de protection des données; aucune donnée à caractère personnel créée dans le bac à sable ne peut être partagée en dehors du bac à sable;

f)

aucun traitement de données à caractère personnel effectué dans le cadre du bac à sable ne débouche sur des mesures ou des décisions affectant les personnes concernées ni n’a d’incidence sur l’application des droits que leur confère le droit de l’Union en matière de protection des données à caractère personnel;

g)

les données à caractère personnel traitées dans le cadre du bac à sable sont protégées par des mesures techniques et organisationnelles appropriées et supprimées une fois que la participation au bac à sable a cessé ou que la période de conservation de ces données à caractère personnel a expiré;

h)

les registres du traitement des données à caractère personnel dans le cadre du bac à sable sont conservés pendant la durée de la participation au bac à sable, sauf disposition contraire du droit de l’Union ou du droit national;

i)

une description complète et détaillée du processus et de la justification de l’entraînement, de la mise à l’essai et de la validation du système d’IA est conservée avec les résultats des essais, et fait partie de la documentation technique visée à l’annexe IV;

j)

un résumé succinct du projet d’IA développé dans le cadre du bac à sable, de ses objectifs et des résultats escomptés est publié sur le site web des autorités compétentes; cette obligation ne couvre pas les données opérationnelles sensibles relatives aux activités des autorités répressives, des autorités chargées des contrôles aux frontières, des services de l’immigration ou des autorités compétentes en matière d’asile.

2.   Aux fins de la prévention et de la détection d’infractions pénales, ainsi que des enquêtes et des poursuites en la matière ou de l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, sous le contrôle et la responsabilité des autorités répressives, le traitement des données à caractère personnel dans les bacs à sable réglementaires de l’IA est fondé sur une disposition spécifique du droit de l’Union ou du droit national et soumis aux mêmes conditions cumulatives que celles visées au paragraphe 1.

3.   Le paragraphe 1 est sans préjudice du droit de l’Union ou du droit national excluant le traitement des données à caractère personnel à des fins autres que celles expressément mentionnées dans ce droit, ainsi que sans préjudice du droit de l’Union ou du droit national établissant le fondement du traitement des données à caractère personnel qui est nécessaire aux fins du développement, de la mise à l’essai et de l’entraînement de systèmes d’IA innovants, ou de toute autre base juridique, dans le respect du droit de l’Union relatif à la protection des données à caractère personnel.

L’IA ACT peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne  pour encadrer ces traitements et protéger les droits des personnes concernées.

← Article précédent - Article 58 : Fonctionnement des bacs à sable
Article suivant – Article 60 : Essais en conditions réelles hors bacs à sable

Menu IA Act

Besoin d’aide pour cet article ?

Comprendre les obligations liées à cet article et éviter les erreurs.

Échanger avec un expert

🔓 Échange confidentiel – Sans engagement

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.