Chaque 28 janvier, des organisations dans le monde entier célèbrent la Journée de la protection des données. La Journée de la protection des données commémore le premier traité international sur la protection des données, ratifié le 28 janvier 1981.
À l’époque, les exigences légales incitant les entreprises à protéger les données personnelles étaient limitées. Au cours des décennies suivantes, nous avons connu à l’échelle mondiale de nombreux développements réglementaires et avancées dans la façon dont les organisations sécurisent les données afin de mieux protéger les individus. Pourtant, avec les progrès technologiques, en particulier l’IA générative, nous devons être encore plus vigilants. Cette journée est l’occasion de rappeler les efforts continus devant être déployés pour sensibiliser et promouvoir les meilleures pratiques en matière de protection des données personnelles, quelle que soit la technologie utilisée.
Les obligations en matière de protection des données personnelles et d’intelligence artificielle prennent diverses formes, y compris la réglementation, les engagements contractuels, les décisions de justice, les recommandations des autorités, les normes de l’industrie, etc. L’approche et les exigences peuvent varier selon la région, le pays et le secteur d’activité, et ne cessent d’évoluer. Elles sont également interprétées et appliquées différemment, que ce soit par les organisations, les juges, les autorités de protection des données, les auditeurs ou même les associations qui influencent les normes et les meilleures pratiques.
En tant que chef de la protection des données personnelles et responsable du centre de recherche en intelligence artificielle chez CGI, nous passons beaucoup de temps à travailler avec les équipes des opérations mondiales afin de non seulement suivre le rythme des changements, mais aussi anticiper les technologies en constante évolution et l’intelligence artificielle respectueuse de la vie privée.
CGI utilise un cadre de gestion responsable de l’intelligence artificielle pour élaborer des décisions et des résultats axés sur les données, apportant les meilleures pratiques et principes éthiques de la recherche scientifique. Ce cadre comprend des lignes directrices claires et exécutoires, ainsi qu’une matrice de risques robuste, comme indiqué dans ce blogue : Règles de protection des données à l’ère de l’intelligence artificielle générative . Nous participons aussi activement à des activités de gouvernance de l’IA, notamment en étant signataires du Code de conduite volontaire concernant l’intelligence artificielle (IA) et en nous engageant dans les discussions sur la « Frontier AI » (technologies émergentes de l’IA).
Alors que nous célébrons la Journée de la protection des données 2024, nous aimerions vous faire part de quelques-unes des meilleures pratiques que vos organisations peuvent également adopter, particulièrement dans un contexte où la puissance et le potentiel de l’IA augmentent rapidement dans tous les secteurs d’activité, tout en entraînant des risques pour les données, les utilisateurs et les droits fondamentaux.
Meilleure pratique no 1 – Établir des équipes de gouvernance de la protection des données personnelles et de l’intelligence artificielle
La meilleure pratique qui est sans doute la plus importante pour toute organisation est d’établir un modèle de gouvernance afin de surveiller les exigences en matière de protection des données personnelles et de l’intelligence artificielle et d’en assurer la conformité. Ce modèle devrait s’étendre à l’échelle de l’entreprise et réunir des experts commerciaux, de la donnée, de la technologie et de la science des données, y compris des professionnels de la protection des données personnelles, de l’intelligence artificielle, des services juridiques et de la sécurité.
Les équipes de gouvernance doivent se concentrer sur les exigences mondiales et locales, ainsi que sur le suivi et l’analyse des mises à jour et des différences. Grâce à une compréhension approfondie des exigences existantes et émergentes, les équipes devraient élaborer des politiques et des processus pour assurer la conformité à l’échelle mondiale et locale, et superviser leur mise en œuvre.
En tant qu’organisation mondiale, nous avons mis sur pied un programme mondial de protection des données personnelles pour faciliter l’analyse de la conformité. Mis à jour fréquemment, il s’applique à toutes les entités et à tous les professionnels de CGI, et est aligné aux exigences des lois les plus strictes. Pour les responsables de la mise en œuvre de l’IA, cette perspective mondiale fournit un cadre de conformité unique pour les solutions d’IA et l’utilisation de cette technologie, qui permet à CGI d’adopter une approche organisationnelle normalisée, peu importe où se trouve l’équipe ou la solution.
Malgré des exigences régionales différentes, les politiques et processus mondiaux et locaux doivent être dans la mesure du possible, cohérents dans leur contenu. En outre, ils doivent être appliqués de manière uniforme à l’échelle de l’entreprise. Les équipes qui travaillent en vase clos et créent des politiques et des processus disparates seront un frein à la création d’une vision de la conformité à l’échelle de l’entreprise et d’une approche de conformité normalisée, deux éléments essentiels à l’atteinte d’une conformité effective et au maintien d’un excellent niveau de confiance de toutes les parties prenantes.
Meilleure pratique no 2 – Surveiller de manière continue et agile
Étant donné que les exigences juridiques évoluent rapidement, une évaluation continue et agile s’impose. Même dans le cadre d’un seul projet, vous pouvez faire face à des défis liés à l’évolution des exigences qui affectent le projet et nécessitent une adaptation rapide et une gestion efficace du changement. Une surveillance constante est essentielle, ainsi qu’une volonté de s’adapter aux nouvelles exigences.
Chez CGI, nous avons conçu une plateforme de protection des données personnelles qui permet à nos professionnels de déterminer, par région, les lois et restrictions applicables en matière de protection des données et d’avoir accès à des lignes directrices de haut niveau en matière de conformité. Cette plateforme est accessible par l’intranet. Nous bénéficions également de l’expertise d’associations professionnelles comme l’International Association of Privacy Professionals (IAPP) et de cabinets d’avocats externes, nous donnant accès à des bulletins d’information, à des perspectives sur la protection des données personnelles et à des mises à jour réglementaires continues.
Une fois les nouvelles exigences en matière de protection des données personnelles publiées, vous devez non seulement connaître et comprendre les répercussions sur votre organisation, mais aussi être prêts à adapter vos politiques, pratiques, systèmes, processus et outils liés à l’IA à la lumière des changements. Pour ce faire, il faut instaurer une mentalité de gestion du changement au sein de l’organisation, ainsi qu’une communication claire pour faire en sorte que les changements soient pertinents pour toutes les personnes impactées.
Le fait d’adopter une approche de gestion des risques simplifiée, intuitive et conviviale à chaque étape d’un mandat impliquant l’IA permet aux équipes d’évaluer avec confiance les risques liés à l’IA (p. ex. éthique, protection des données personnelles, sécurité, transparence, explicabilité, fiabilité, etc.), de la création d’une nouvelle initiative à son déploiement et à son bon déroulement.
Meilleure pratique no 3 – Investir dans la formation
Pour s’assurer que tous les professionnels maîtrisent les technologies émergentes comme l’IA et les meilleures pratiques, et ainsi faire de la protection des données une priorité absolue, il est essentiel d’investir à l’échelle de l’entreprise dans la formation et le perfectionnement professionnel. Vos professionnels doivent posséder les connaissances et les compétences nécessaires pour suivre le rythme de l’évolution des technologies et des exigences juridiques associées.
La formation peut consister en un échange de connaissances systématique et continu entre les équipes internes au moyen, par exemple, d’applications pratiques d’atténuation des risques liés à l’IA dans le cadre de groupes de travail et de forums. Il peut également s’agir de cours et de certifications s’inscrivant dans des programmes de formation officiels. CGI investit dans tous ces efforts et plus encore pour s’assurer que ses professionnels sont pleinement qualifiés afin d’améliorer l’efficacité des processus, d’automatiser certains aspects des activités quotidiennes et de soutenir ses clients de façon responsable.
Apprenez-en davantage sur le programme de protection des données personnelles de CGI en consultant la Politique de protection des données personnelles sur notre site Web, et lisez nos billets de blogue sur l’intelligence artificielle pour découvrir les perspectives de différents experts. Nous vous invitons également à communiquer avec nous pour poursuivre la conversation.
Haut de pageÀ propos des auteurs-es
Lucille Bonenfant
Vice-Présidente et Chef de la protection des données
En mai 2021, Lucille Bonenfant est nommée Chef de la protection des données chez CGI. Elle supervise la stratégie mondiale de l'entreprise en matière de protection des données, les politiques et procédures de protection des données à l'échelle de l'entreprise, ainsi que la conformité législative ...
Diane Gutiw
Vice-présidente – Responsable mondiale de la recherche en intelligence artificielle
Diane est à la tête du centre de recherche en intelligence artificielle (IA) du centre d’excellence en IA de CGI. Elle est responsable d’établir la position de CGI en matière d’offres et de leadership éclairé en IA appliquée.
