Unlock the full potential of your projects.
Montrer carte totale
Copier éditer carte Copier

IA Genératives et RGPD

Éducation et remarques
BF
BOCQUET François

Cette carte supporte une intervention sur la question de la conformité RGPD de l'utilisation des services d'IA Génératives en contexte scolaire en France.

Lancez-Vous. C'est gratuit
ou s'inscrire avec votre adresse e-mail
Cartes mentales similaires Plan de carte mentale
IA Genératives et RGPD par Mind Map: IA Genératives et RGPD

1. RGPD Kezako ?

1.1. réglement européen pour la protection des données

1.1.1. voté le 27 avril 2016

1.1.2. entré en vigueur en mai 2018

1.1.3. s'impose sans transposition

1.1.3.1. ≠ de la directive

1.1.4. remplace la loi Informatique et Liberté

1.1.4.1. modifiée en juin 2018

1.2. intitulé complet

1.2.1. Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

1.3. notions importantes

1.3.1. traitement de DCP ?

1.3.1.1. définie par art. 4 du RGPD

1.3.1.2. au dela des données identifiantes

1.3.1.3. catégories DCP

1.3.1.3.1. adresse IP

1.3.1.3.2. pseudonyme

1.3.1.3.3. identifiants

1.3.1.3.4. données de profil

1.3.1.3.5. attributs en BdD

1.3.1.3.6. cookies

1.3.1.3.7. traces d'utilisation

1.3.1.3.8. DCP interdites

1.3.1.3.9. ...

1.3.1.4. attention confusion

1.3.1.4.1. pseudonymisation

1.3.1.4.2. anonymisation

1.3.1.5. risque différent

1.3.1.5.1. DCP d'enseignant

1.3.1.5.2. DCP d'élèves

1.3.2. grands principes

1.3.2.1. limitation

1.3.2.1.1. pas de réutilisation non prévue

1.3.2.2. minimisation

1.3.2.3. liceité, loyauté, transparence

1.3.2.4. exactitude

1.3.2.5. conservation limitée

1.3.2.6. intégrité, confidentialité (sécurité)

1.3.3. responsabilité de traitement

1.3.3.1. défini par l'institution pour l'EN

1.3.3.2. hors EN

1.3.3.2.1. droit commun

1.3.3.3. si traitement pas géré par RT

1.3.3.3.1. alors sous traitance

1.3.4. sous traitance

1.3.4.1. contrat de sous traitance obligatoire

1.3.4.1.1. art 28

1.3.5. respect des procédures

1.3.5.1. DPD/DPO

1.3.5.1.1. doit être ésigné

1.3.5.1.2. doit être actif

1.3.5.2. Registres tenus

1.3.5.2.1. traitements

1.3.5.2.2. sous traitants

1.3.5.2.3. requêtes

1.3.5.2.4. brèches

1.3.5.3. Contrats signés

1.3.5.3.1. dont accord de sous traitance (art 28)

1.3.5.4. Analyse d'impact (AIPD)

1.3.5.4.1. 2 critères parmi 9

1.3.5.4.2. a priori obligatoire

1.3.5.5. Information des personnes

1.3.5.5.1. art 13 et 14

1.3.5.5.2. pour chaque traitement

1.3.5.6. Tous les documents sont accessibles au public

1.3.5.6.1. art 22 loi du 22 juin 2018

1.3.5.6.2. art L121-4-2 du Code de l'éducation

1.3.6. quelle régulation

1.3.6.1. CNIL en France

1.3.6.2. EDPB en Europe

1.3.7. quelles sanctions

1.3.7.1. administratives

1.3.7.1.1. CNIL

1.3.7.1.2. sanctions possibles

1.3.7.2. judiciaires

1.3.7.2.1. Juge judiciaire

1.3.7.2.2. sanctions pénales

1.3.7.3. concerne le RT

1.3.7.3.1. pas l'enseignant

2. pour partager

3. sous licence CC By SA

4. Glossaire

4.1. AIPD

4.1.1. analyse d'impact pour la protection des données

4.2. B2B

4.2.1. Business to business (contrat entre une organisation et un éditeur)

4.3. B2C

4.3.1. Business toi consumer (contrat entre l'utilisateur et l'éditeur)

4.4. CNIL

4.4.1. Commission nationale informatique et libertés

4.5. DCP

4.5.1. données à caractère personne

4.6. DPA

4.6.1. Data processing amendment = contrat de sous traitance (art 28)

4.7. DPD/DPO

4.7.1. Délégué à la protection des données

4.8. RGPD

4.9. RT

5. RGPD dans l'éducation

5.1. encadré par des instructions

5.2. DCP toujours interprétées vue par le RT

5.3. responsabilité de traitement EN

5.3.1. école ou étab.

5.3.1.1. secondaire

5.3.1.1.1. chef d'établissement

5.3.1.2. primaire

5.3.1.2.1. DASEN

5.3.2. rectorat

5.3.3. ministère

5.4. responsabilité de traitement Ens Privé

5.4.1. président OGEC

5.4.2. directeur Ecole d'ingénieur

5.4.3. ...

5.5. responsabilité de traitement Sup

5.5.1. président université

5.5.2. directeur école

5.6. conséquences

5.6.1. un enseignant n'est jamais RT

5.6.2. un enseignant ne peut décider du traitement mis en oeuvre

5.6.2.1. peut proposer

5.6.2.2. peut accompagner

5.6.2.2.1. instruction

5.6.3. impossible d'inciter les élèves à s'inscrire

5.6.4. liberté pédagogique

5.6.4.1. parmi les services au registre

6. RGPD et IA

6.1. DCP traitées ?

6.1.1. pour identifier l'utilisateur

6.1.1.1. identifiant collectif possible

6.1.1.1.1. anonymisation si + de 10/12 utilisateurs

6.1.1.2. utilisation d'un service proxy

6.1.1.2.1. proxy pour adresse IP

6.1.1.2.2. proxy type Duck.ai

6.1.2. pour rendre le service

6.1.2.1. les invites (prompts)

6.1.2.1.1. réutilisables ?

6.1.2.1.2. stratégie d'affinage des invites

6.1.2.2. les productions de l'IA

6.1.2.2.1. reliées à l'identifiant

6.1.2.2.2. mémorisées

6.1.2.2.3. réutilisables ?

6.1.3. pour entrainer les algorithmes

6.1.3.1. provenant

6.1.3.1.1. des données d'entrainement primaire

6.1.3.1.2. des données des utilisateurs si prévu par contrat

6.2. Quels risques pour les DCP

6.2.1. liés aux usages

6.2.1.1. super trucages

6.2.1.1.1. difficiles à détecter

6.2.1.1.2. voix

6.2.1.1.3. images

6.2.1.1.4. vidéos

6.2.1.2. manipulations

6.2.1.2.1. chantage

6.2.1.2.2. désinformation

6.2.1.2.3. propagande

6.2.1.3. cybersecurité

6.2.1.3.1. arnaque au président

6.2.1.3.2. usurpation

6.2.1.4. profilage de personnes

6.2.1.4.1. reconnaissance faciale

6.2.1.4.2. géolocalisation

6.2.1.4.3. collecte massive

6.2.2. liés à la technologie elle même

6.2.2.1. mémorisation dans les modèles

6.2.2.2. regurgitation possible

6.2.2.3. discrimination liée aux biais

6.2.2.4. adéquation culturelle

6.2.2.5. réutilisation des données

6.2.2.5.1. transferts hors UE non encadrés

6.2.2.5.2. accessible via habilitation ?

6.2.2.5.3. pour améliorer le modèle

6.2.2.5.4. pour les RAG

7. Une clé de lecture : les contrats

7.1. Service B2C

7.1.1. utilisable à titre perso

7.1.1.1. l'utilisateur valide

7.1.1.1.1. le contrat

7.1.1.1.2. les CGU

7.1.2. non utilisable à titre pro

7.1.2.1. encore moins avec des élèves

7.2. Service B2B

7.2.1. utilisable à titre pro

7.2.1.1. si conditions remplies

7.2.2. contrats signés par le RT

7.2.2.1. procédures appliquées

7.2.2.2. inclu l'accord de sous traitance art 28 ou DPA

7.2.3. utilisable avec des élèves si prévu

7.2.3.1. par ex

7.2.3.1.1. Google Workspace Education

7.2.3.1.2. Adobe

7.2.3.1.3. Canva

7.2.3.1.4. Copilot avec Office 365

7.2.3.1.5. ...

8. Quelles lignes directrices ?

8.1. faire la différence entre perso/pro

8.1.1. privé non professionnel

8.1.1.1. l'éditeur est le RT

8.1.1.2. contrat entre

8.1.1.2.1. éditeur

8.1.1.2.2. utilisateur final

8.1.1.3. l'éditeur gère l'accès

8.1.1.4. l'employeur n'est pas partie prenante

8.1.2. professionnel

8.1.2.1. le RT autorise explicitement le traitement

8.1.2.1.1. inscrit au registre des traitements

8.1.2.1.2. Inscrit au registre des sous traitants

8.1.2.2. l'éditeur est ST

8.1.2.3. le RT

8.1.2.3.1. passe contrat avec éditeur

8.1.2.3.2. signe un accord de sous traitance

8.1.2.3.3. réalise une AIPD

8.1.2.3.4. gère l'accès des utilisateurs

8.1.2.3.5. défini la charte d'utilisation

8.1.2.3.6. fait respecter la charte d'utilisation

8.1.2.4. si conditions non remplies

8.1.2.4.1. pas d'utilisation légale possible

8.1.2.4.2. risque pour le RT

8.2. état de la situation

8.2.1. peu de services utilisables en contexte scolaire public

8.2.1.1. conçus pour usage privé

8.2.1.2. trop chers pour achat massif à date

8.2.1.3. mais piste possible

8.2.1.3.1. compte commun à N utilisateurs

8.2.1.3.2. utilisation d'un service proxyfié

8.2.2. sauf si

8.2.2.1. services IA intégrés et contrats en bonne et due forme

8.2.2.1.1. instance O 365

8.2.2.1.2. instance Google Workspace

8.2.2.1.3. instance Adobe

8.2.2.1.4. instance Canva

8.2.2.1.5. ...

8.2.2.2. proposé par EN

8.2.2.2.1. avec un contrat

8.2.2.2.2. ou R&D piloté EN

8.2.2.2.3. géré directement par EN

8.2.3. mais projets en cours ?

8.2.3.1. ?

8.3. précautions

8.3.1. ne jamais inciter des élèves mineurs à créer des comptes sur services B2C

8.3.2. informer son RT du souhait d'utilisation

8.3.2.1. par l'enseignant

8.3.2.2. par les élèves

8.3.3. obtenir préalablement son autorisation explicite

8.3.3.1. càd inscription au registre

8.3.4. anonymiser par groupement

8.3.4.1. compte commun à plus de 10-12 utilisateurs

8.3.4.2. utiliser un service proxyfié

8.3.5. ne pas injecter de documents contenant des DCP

8.3.5.1. divers documents

8.3.5.1.1. pdf ou docx

8.3.5.1.2. tableurs

8.3.5.1.3. ...

8.3.5.2. attention aux connexions aux "drives"

8.3.5.3. attention aux traitements à risque

8.3.5.3.1. de la voix

8.3.5.3.2. de l'image

8.3.5.4. surtout si DCP d'élèves

8.3.6. utiliser des services en minimisant

8.3.6.1. invites possibles

8.3.6.1.1. sur des ressources

8.3.6.1.2. sur des planifications

8.3.6.2. pas d'invites sauf si cadre conforme

8.3.6.2.1. pour le parcours d'élèves

8.3.6.2.2. pour personnalisation de ressources

8.3.6.2.3. pour le feedback/correction

8.3.7. pousser les institutions à proposer

8.3.7.1. des contrats pré négociés avec éditeurs ST ?

8.3.7.1.1. via le GAR ?

8.3.7.1.2. autre cadre contractuel ?

8.3.7.2. des instance gérées

8.3.7.2.1. par des partenaires sous-traitants

8.3.7.2.2. par le ministère lui même

8.3.7.2.3. par un rectorat

8.3.7.2.4. par un chef d'établissement

8.3.7.2.5. mais pas par un prof !

8.3.8. ne pas placer son RT en situation délictuelle

8.3.8.1. responsabilité administrative engagée pour un agent public