Retour aux modèles de politiques
Politique 02 sur 15

Politique d'utilisation des donnees pour l'IA

Etablit les regles de collecte, de traitement, de stockage et de partage des donnees dans le contexte des systemes d'IA.

1. Objectif

La presente politique definit comment [Nom de l'organisation] collecte, traite, stocke et partage les donnees en lien avec les systemes d'IA. Elle confirme que toute utilisation de donnees liee a l'IA est conforme aux lois applicables en matiere de protection des donnees, respecte les droits individuels et preserve la confiance des clients, des employes et des partenaires.

2. Perimetre

La presente politique s'applique a :

  • Toutes les donnees utilisees pour entrainer, affiner, valider, tester ou exploiter des systemes d'IA.
  • Toutes les donnees generees par les systemes d'IA (predictions, recommandations, contenus, decisions).
  • Toutes les donnees transmises a ou recues de services d'IA tiers.
  • Tous les employes, sous-traitants et partenaires qui manipulent des donnees en lien avec l'IA.

3. Definitions

  • Donnees personnelles : Toute information se rapportant a une personne physique identifiee ou identifiable, telle que definie par l'article 4(1) du RGPD.
  • Donnees de categories particulieres : Donnees revelant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale, les donnees genetiques, les donnees biometriques, les donnees de sante ou les donnees relatives a la vie sexuelle ou a l'orientation sexuelle (Article 9 du RGPD).
  • Donnees d'entrainement : Donnees utilisees pour construire, entrainer ou affiner un modele d'IA.
  • Donnees d'inference : Donnees traitees par un systeme d'IA a l'execution pour produire des resultats.
  • Donnees synthetiques : Donnees generees artificiellement qui imitent les schemas de donnees reelles sans contenir d'informations personnelles effectives.
  • Base juridique : Le fondement legal sur lequel les donnees personnelles sont traitees (consentement, contrat, obligation legale, interets vitaux, mission d'interet public ou interets legitimes).

4. Base juridique du traitement des donnees IA

Avant toute utilisation de donnees personnelles dans un systeme d'IA, la base juridique doit etre identifiee et documentee. Toute utilisation d'IA ne requiert pas necessairement le consentement — le RGPD autorise plusieurs bases juridiques. Toutefois, chacune doit etre evaluee au cas par cas.

Base juridiqueApplicabilite a l'IAExigences cles
Consentement (Art. 6(1)(a))Les personnes concernees consentent explicitement au traitement par l'IADoit etre libre, specifique, eclaire et univoque. Peut etre retire.
Contrat (Art. 6(1)(b))Le traitement par l'IA est necessaire a la fourniture d'un service contractuelDoit etre reellement necessaire, pas simplement pratique.
Interets legitimes (Art. 6(1)(f))Le traitement par l'IA sert un interet commercial legitime qui ne prevaut pas sur les droits individuelsNecessite une evaluation documentee des interets legitimes (LIA).
Obligation legale (Art. 6(1)(c))Le traitement par l'IA est requis par la loi (ex. : obligations de detection de fraude)Doit identifier l'obligation legale specifique.

Les donnees de categories particulieres necessitent une condition supplementaire au titre de l'article 9(2) du RGPD et ne doivent jamais etre utilisees pour l'entrainement de l'IA sans examen juridique explicite.

5. Collecte et approvisionnement des donnees

  • Les donnees doivent etre collectees pour des finalites determinees, explicites et legitimes (limitation des finalites).
  • Seules les donnees adequates, pertinentes et limitees a ce qui est necessaire peuvent etre collectees (minimisation des donnees).
  • La source et la provenance de toutes les donnees utilisees dans l'IA doivent etre documentees.
  • Les donnees achetees ou sous licence doivent disposer de termes clairs autorisant leur utilisation pour l'entrainement et l'inference de l'IA.
  • Les donnees issues du web scraping doivent etre examinees au regard du droit d'auteur, des conditions d'utilisation et du contenu en donnees personnelles avant utilisation.
  • Les donnees synthetiques sont preferees lorsque les donnees reelles ne sont pas necessaires ou lorsque les risques pour la vie privee sont eleves.

6. Qualite et exactitude des donnees

L'article 10 du Reglement europeen sur l'IA exige que les donnees d'entrainement des systemes a haut risque soient « pertinentes, representatives, exemptes d'erreurs et completes ». Toutes les donnees IA doivent satisfaire aux normes suivantes :

  • Les donnees doivent etre examinees en termes d'exactitude, d'exhaustivite et d'actualite avant utilisation.
  • Les problemes connus de qualite des donnees doivent etre documentes et leur impact sur les performances du modele evalue.
  • Un controle des biais doit etre effectue sur les jeux de donnees d'entrainement et d'evaluation.
  • Les indicateurs de qualite des donnees doivent etre suivis et rapportes au proprietaire du modele.

7. Conservation et suppression des donnees

  • Les donnees ne doivent pas etre conservees au-dela de ce qui est necessaire pour leur finalite declaree (limitation du stockage).
  • Les durees de conservation doivent etre definies et documentees pour chaque jeu de donnees et systeme d'IA.
  • Lors du retrait d'un modele, les donnees d'entrainement et d'inference associees doivent etre examinees en vue de leur suppression ou anonymisation.
  • Les individus ont le droit de demander la suppression de leurs donnees. Lorsqu'une demande de suppression est recue, l'impact sur les systemes d'IA actifs doit etre evalue et la demande satisfaite lorsque la loi l'exige.
  • Les journaux d'audit et les preuves de conformite peuvent etre conserves plus longtemps conformement aux exigences legales et reglementaires.

8. Partage des donnees et transferts vers des tiers

  • Les donnees partagees avec des fournisseurs d'IA tiers doivent etre encadrees par un Accord de traitement des donnees (DPA) precisant la finalite, les mesures de securite, les sous-traitants et les droits des personnes concernees.
  • Les transferts transfrontaliers doivent etre conformes au Chapitre V du RGPD (decisions d'adequation, clauses contractuelles types ou regles d'entreprise contraignantes).
  • Les exigences de localisation des donnees doivent etre documentees pour chaque systeme d'IA.
  • Les fournisseurs d'IA tiers ne doivent pas utiliser les donnees clients pour l'entrainement de leurs propres modeles, sauf autorisation explicite.

9. Prise de decision automatisee

Lorsque les systemes d'IA prennent ou influencent de maniere significative des decisions concernant des individus :

  • Les individus doivent etre informes qu'un traitement automatise est en cours (Articles 13/14 du RGPD).
  • Les individus ont le droit de ne pas faire l'objet de decisions fondees exclusivement sur un traitement automatise produisant des effets juridiques ou similairement significatifs (Article 22 du RGPD).
  • Un examen humain significatif doit etre disponible pour les decisions a fort impact.
  • La logique appliquee, l'importance et les consequences envisagees doivent etre expliquees a l'individu.

10. Analyses d'impact relatives a la protection des donnees

Une Analyse d'impact relative a la protection des donnees (AIPD) doit etre realisee avant le deploiement de systemes d'IA qui :

  • Traitent des donnees personnelles a grande echelle.
  • Impliquent une surveillance systematique des individus.
  • Traitent des donnees de categories particulieres.
  • Utilisent la prise de decision automatisee avec des effets juridiques ou significatifs.
  • Combinent des jeux de donnees provenant de sources multiples d'une maniere que les individus ne pourraient raisonnablement pas anticiper.

11. Roles et responsabilites

RoleResponsabilites en matiere d'utilisation des donnees
Proprietaire des donneesRedevable de la qualite, de la classification, des approbations d'acces et de la conformite de ses jeux de donnees.
Proprietaire du modeleS'assure que l'utilisation des donnees du systeme d'IA est documentee, la base juridique identifiee et les durees de conservation definies.
Delegue a la protection des donneesExamine les AIPD, conseille sur la base juridique, traite les demandes des personnes concernees, coordonne avec les regulateurs.
JuridiqueExamine les licences de donnees, les DPA des fournisseurs, les mecanismes de transfert transfrontalier.
Tous les employesManipulent les donnees conformement a leur classification, signalent les problemes de qualite des donnees, suivent la formation sur la confidentialite.

12. Alignement reglementaire

  • RGPD : Articles 5 (principes), 6 (base juridique), 9 (categories particulieres), 13-14 (transparence), 17 (droit a l'effacement), 22 (decisions automatisees), 25 (protection des donnees des la conception), 35 (AIPD).
  • Reglement europeen sur l'IA : Article 10 (gouvernance des donnees pour les systemes a haut risque), Article 13 (transparence).
  • ISO/IEC 42001 : Annexe B (B.7 — donnees pour les systemes d'IA).
  • NIST AI RMF : Fonction MAP (MP-3, risques IA lies aux donnees tierces).

13. Revue

La presente politique est revue annuellement ou plus tot en cas de changements reglementaires, de violations de donnees ou de modifications significatives des activites de traitement de donnees IA.

Controle du document

ChampValeur
Proprietaire de la politique[Delegue a la protection des donnees]
Approuve par[Comite de gouvernance de l'IA]
Date d'entree en vigueur[Date]
Prochaine date de revue[Date + 12 mois]
Version1.0
ClassificationInterne

Prêt à implémenter cette politique ?

Utilisez VerifyWise pour personnaliser ce modèle de politique, le déployer et suivre la conformité.

Commencer gratuitementParcourir tous les modèles
Politique d'utilisation des donnees pour l'IA | Modèles de gouvernance IA VerifyWise