L’application du droit d’accès aux données peut s’avérer complexe pour les responsables de traitement en raison des délais de réponse à satisfaire et des volumes à traiter. Pour aider le DPO et ses équipes sur ces requêtes RGPD, l’éditeur Tessi estime que l’IA était une évidence.
Le règlement général sur la protection des données, le RGPD, a introduit en 2018 plusieurs droits, dont celui d’accéder à ses données. Les entreprises destinataires de ces demandes sont tenues d’y répondre sous un délai précis. La durée varie selon la complexité et la nature des données concernées.
Éditeur de logiciel et spécialiste du BPO (Business Process Outsourcing) auprès de banques, de mutuelles et d’assureurs, Tessi remplit également le rôle de responsable de traitements pour ses clients, ainsi que ses 15 000 salariés.
Hausse des demandes de droit d’accès
Or, depuis presque deux ans, l’entreprise observe « une forte augmentation des demandes de droit d’accès ». Une hausse suffisamment significative pour justifier le lancement d’ateliers visant à identifier des cas d’usage de l’IA appliqués à l’automatisation de processus DPO.
Cette première étape a donné lieu au recensement de trois usages de l’IA, explique lors d’une conférence de l’AFCDP Amine Talbi, le délégué à la protection des données (DPO) de Tessi : le traitement des demandes d’exercice (plus spécifiquement le droit d’accès), des contrôles de conformité du registre de traitements, et enfin le recueil des consentements.
« L’IA est devenue une évidence pour extraire de la donnée, extraire de l’intelligence, avec de l’analyse sémantique. »
Joseph SimonProduct owner, digital factory, Tessi
Sur le droit d’accès, le recours à l’IA était justifié par la durée nécessaire au traitement. Pour outiller ses équipes internes dans ce domaine, l’éditeur s’est appuyé sur sa Digital Factory, en charge notamment de développements en intelligence artificielle appliquée aux documents. « L’IA est devenue une évidence pour extraire de la donnée, extraire de l’intelligence, avec de l’analyse sémantique », souligne Joseph Simon, product owner au sein de la factory. « L’automatisation était un sujet majeur pour raccourcir les temps de réponse » sur le droit d’accès, poursuit-il.
Le RGPD impose une réponse sous un délai de 1 à 3 mois (et 8 jours pour les données de santé). Mais en tant que sous-traitant, Tessi a d’autres échéances. Dans le cadre de l’assistance à ses clients, le fournisseur dispose de 3 à 10 jours pour répondre.
30 jours et plus pour traiter manuellement les requêtes RGPD
Sur le premier semestre, le DPO recense environ 380 demandes de droit d’accès. S’y ajoutent celles de ses propres salariés. Et les temps de traitement nécessaires pour y répondre peuvent s’avérer longs. « On peut facilement dépasser les 30 jours », chiffre Amine Talbi concernant une demande émanant d’un salarié.
Le temps n’est pas la seule problématique. Selon lui, ces processus conduisent à « s’éloigner du métier de DPO », qui consiste « à apporter de l’expertise et du conseil, et à travailler sur des tâches à plus forte valeur ajoutée. »
Plusieurs conditions étaient cependant requises pour automatiser, prévient-il toutefois : une expertise technologique en interne et une connaissance du processus d’exercice du droit d’accès de bout en bout (réception de la demande, périmètre de données, extraction des informations, etc.).
C’est sur cette base qu’a été développée une solution, baptisée « Sqalia », mise en œuvre à ce jour uniquement pour le traitement des demandes internes.
Pour concevoir Sqalia, les « premières réflexions » se sont focalisées sur l’identification des sources d’informations. C’est le volet « discovery », indique Joseph Simon.
Ces sources (messageries et applications métiers principalement) sont fournies par le registre des traitements tenu par le DPO. « Il permet d’aller cibler les éléments sur lesquels il faut se connecter pour récupérer » les données. « D’un point de vue outillage, cela signifie disposer de nombreux connecteurs », précise le DPO.
LLM et RAG pour analyser et appliquer des règles d’exclusion
Deuxième étape de conception : la segmentation des étapes du processus et l’application de règles, notamment d’exclusion.
Le product owner insiste à ce titre sur l’importance accordée au « travail préalable » aux développements purement technologiques. Il revendique en outre une approche « security et privacy by design ».
En ce qui concerne l’IA, Joseph Simon fait savoir qu’elle intervient à la fois pour examiner les documents, mais également « pour aider à designer le process. » Sur l’examen, deux technologies différentes sont exploitées. La première est le LLM, « interpréteur de langage naturel […] qui a l’avantage de comprendre le texte avec de la sémantique. »
Cette capacité est mise à contribution pour le respect des règles d’exclusion, par exemple afin d’exclure la propriété intellectuelle. Le LLM est donc complété par une « technologie supplémentaire », du RAG.
Les deux technologies combinées sont ainsi mobilisées pour « analyser des masses de documents » et appliquer des mécanismes d’exclusion, notamment sur la base de mots clés. D’autres mécanismes s’appliquent, dont de l’anonymisation.
Compte tenu des volumes ainsi traités, un contrôle humain des données extraites n’est pas systématisé. Du « picking » est appliqué. « Sur la masse à traiter, nous allons extraire quelques documents », détaille Joseph Simon. Ces éléments sont ensuite soumis au DPO pour validation. Le DPO de Tessi ajoute que la solution intègre une « auditabilité complète », c’est-à-dire que chaque étape, chaque document, traitement, ou analyse, est « tracé ». Une piste d’audit est conservée et un procès-verbal est produit « à la sortie ».
Du temps libéré pour l’AI Act et la security by design
Enfin, les documents communiqués au demandeur sont mis à disposition « au travers d’interfaces sécurisées ». Les éléments sont hébergés sur une zone dite « tampon » et l’ouverture des pièces s’effectue pour une durée limitée pour permettre leur consultation. Une fois le délai écoulé, les informations sont effacées.
« Toutes les exclusions automatiques et l’anonymisation nous font gagner énormément de temps. Le premier bénéfice est donc le délai de traitement. »
Amine TalbiDélégué à la protection des données (DPO), Tessi
D’après le DPO, Sqalia constitue un motif de satisfaction pour les membres de son équipe en charge des demandes de droit d’accès, grâce (en particulier) à l’automatisation de différentes actions du processus. Il s’agit en particulier de l’anonymisation des données des tiers et de la possibilité de paramétrer des exclusions. « Toutes les exclusions automatiques et l’anonymisation nous font gagner énormément de temps. Le premier bénéfice est donc le délai de traitement », se félicite Amine Talbi.
Les tests par échantillonnage, qui permettent de mesurer la fiabilité et le taux d’erreur (par exemple sur l’anonymisation ou le discovery) sont aussi cités comme une fonctionnalité appréciable.
Grâce au temps libéré par l’automatisation, le DPO et son équipe d’une dizaine de personnes se sont vu confier un autre dossier par la direction de Tessi : la conformité à l’AI Act, la réglementation européenne sur l’IA. « Nous avons aussi de plus en plus de temps pour accompagner les métiers sur la “security by design”, sur les produits et les prestations. »
L’outil, effectif depuis septembre 2024, reste cantonné aux besoins internes et n’est donc pas à ce jour mis en œuvre pour le traitement des demandes des clients de Tessi. Avant de l’étendre à certains processus externes, l’entreprise préfère se concentrer sur d’autres besoins, en particulier l’automatisation de points de contrôle et les audits de conformité.
Pour approfondir sur IA appliquée, GenAI, IA infusée
