Règlement Général surla Protection des Données.

La computer vision,ses usages et ses enjeux.

La computer vision (vision par ordinateur) désigne une technique d’intelligence artificielle permettant d’analyser des images et vidéos captées par une caméra. L’intelligence artificielle est capable d’analyser une image, de la comprendre et de traiter les informations qui en découlent. La performance actuelle des capteurs, relative à la qualité de la vidéo, donne la possibilité aux algorithmes d’intelligence artificielle de voir le monde. En catégorisant des objets, leurs déplacements dans l’espace et en analysant des facteurs visuels correspondant à une situation précise, l’IA va pouvoir analyser en temps réel et envoyer une information pour que l’humain puisse y accéder et potentiellement, en déduire une prise de décision.

Par exemple, notre algorithme a été entraîné à détecter et à catégoriser des départs de feux afin d’alerter en temps réel les autorités compétentes pour une intervention plus rapide et plus efficace.

Les collectivités et les infrastructures sont déjà dotées de caméras pour une multitude d’usage : comptage des mobilités, étude des flux, protection des bâtiments et installations publics, constatation des infractions aux règles de la circulation, protection des abords immédiats des bâtiments et installations de commerçants présents dans les lieux particulièrement exposés à des risques d'agression ou de vol… Sans surcouche d’intelligence artificielle, c’est à l'œil humain de voir et d’analyser toutes les situations. Or, chaque année la quantité d’informations accumulées par l’humanité double et seulement 70 % de ces données sont perçues par la vision humaine. Quand nous avons atteint les limites des capacités cognitives nécessaires pour traiter toutes ces informations, notre cerveau n’en est plus capable. De par son évolution, celui-ci opère une analyse biaisée de la réalité afin d’optimiser ses dépenses en énergie. L’analyse vidéo en intelligence artificielle va donc soulager et accompagner l'œil humain.

Un des premiers enjeux de la computer vision est lié à la complexité du monde visuel. Un objet peut être perçu sous de multiples angles, dans diverses conditions d’éclairage, partiellement caché par d’autres objets… Or, un véritable système de vision par ordinateur doit être en mesure de percevoir le contenu dans n’importe laquelle de ces situations et d’en extraire des informations. De fait, la vision par ordinateur représente un véritable challenge.

Qui dit nouvelle technologie et perceptions d’objets dit nouveaux enjeux juridiques, éthiques et politiques. Les caméras étant déployées dans des espaces publics et privés, des questions sur les libertés individuelles des personnes se posent. Dès lors qu’il y a une présence humaine ou une présence d’objet permettant une association indirecte à une personne, les captations d’images (photos ou vidéos) et leurs traitements sont régies par le RGPD. Chez XXII, nous n’analysons pas de données à caractère personnel : nous distinguons des silhouettes que nous apparentons à une catégorie d’objet (humain, chien, voiture, vélo…) sans jamais utiliser de données biométriques. Au-delà de la catégorisation d’objets, certains traitements de nos données ont des finalités d'analyse et d'optimisation (chaîne de montage, analyse des flux de mobilités…). Dans nos analyses algorithmiques, de nombreuses données, dont celles à caractère personnel, peuvent être considérées comme étant en "sommeil". Elles sont captées par la caméra mais n’entrent pas dans le schéma d’analyse d’intelligence artificielle.

Analyse d’impact relativeà la protection des données.

01

Pourquoi

Avoir un dataset photos ou vidéos est indispensable à l’IA. Sans, la technologie ne peut exister. La vision nécessite une grande quantité de données images et vidéos pour pouvoir apprendre, tester et analyser les modèles. C’est ce qu’on appelle le deep learning : le deep learning consiste en des algorithmes capables de mimer les actions du cerveau humain grâce à des réseaux de neurones artificiels. Les réseaux sont composés de dizaines voire de centaines de « couches » de neurones, chacune recevant et interprétant les informations de la couche précédente. Dès lors que nous constituons un dataset, permettant à la machine de reconnaître et classifier des objets, il est fait dans le respect du RGPD et dans certains cas, peut être encadré par une une analyse d’impact relative à la protection des données

02

Création d'une BDD

Nous créons des bases de données spécifiques pour un usage exclusif de recherche scientifique interne à XXII et ce, dans le respect des personnes concernées et de la législation en vigueur. Afin de limiter au maximum les impacts sur les personnes relatives au traitement de potentielles données à caractère personnel, nous travaillons actuellement sur la mise en place de génération de datasets grâce à de la donnée synthétique. Les datasets constitués sont ciblés à un usecase (par exemple, apprendre un nouvel objet) et variés (par exemple, challenger la détection d’un objet dans de multiples situations). De plus, nos datasets sont constitués dans le strict respect du RGPD : avec des solutions en open source, avec le consentement des personnes concernées, en partenariats avec différents acteurs et en pseudonymisant les données.

03

Annotation

Dans le développement d’un algorithme d’intelligence artificielle, certaines démarches comme l’apprentissage, nécessitent un corpus de données annotées. C’est pourquoi, en interne, la première phase de recherche et de développement porte sur l’annotation des données collectées (classes d’objets, angles de caméra, conditions météorologiques…).

04

Apprentissage

La vision par ordinateur a pour but de permettre à l’ordinateur de voir, d’analyser et de comprendre une ou plusieurs images reçues par le système. C’est pourquoi nous apprenons à nos modèles d’intelligences artificielles, souvent des réseaux de neurones profonds, sur un corpus (donc une ou plusieurs bases de données) contenant des images d'exemples annotées. Que ce soit pour entraîner, ou ré-entraîner (spécialiser, corriger un biais, etc...) nos algorithmes, des données visuelles (images, vidéos) sont nécessaires.

05

Évaluation

L'évaluation, ou test, de nos modèles a pour objectif de mesurer nos performances selon un ensemble de critères prédéfinis. L'évaluation peut concerner tout le modèle ou une partie du modèle. Nous nous intéressons notamment au taux de vrai positif, taux de faux positif, taux de vrai négatif et taux de faux négatif. A partir de ces mesures, nous pouvons construire des indicateurs plus lisibles (sensibilité, spécificité, etc).

Ces mesures sont effectuées par classes d'objets et combinées pour fournir un score moyen. Une classe correspond à une typologie d'objet plus ou moins précise (humain, vélo, cycliste, voiture, véhicule, ...). Elles sont importantes car elles nous permettent de comprendre les limites de nos modèles et de les communiquer à nos utilisateurs. Ces tests peuvent être effectués sur des données pseudonymisées, grâce à des logiciels propriétaires ou développés en interne.

Un des grands enjeux de l'intelligence artificielle est la création d'algorithmes exemptés de tout biais. Nous parlons de biais quand l'IA favorise une situation vis à vis d'une autre. Par exemple, y-a-t'il une différence de détection entre les voitures bleues et rouges ? Pour parer à ces éventuels biais, il faut de nombreux datasets pour enrichir les modèles afin qu'ils soient variés et diversifiés. Nos équipes de R&D ont mis en place un process continu de développement, d’apprentissage et de test de nos algorithmes pour parer d’éventuels biais.

Par ailleurs, la diversité des bases de données est également primordiale pour évaluer nos performances selon les angles de vues des images. La diversité des angles compris dans nos bases de données nous permettra de déterminer si, selon certains angles de caméra, nos algorithmes détectent plus ou moins bien l’objet recherché.

Pour aller plus loin.
Recherche scientifique : www.cnil.fr
Réutilisation de données par le sous-traitant : www.cnil.fr

XXII avec ses clientset partenaires.

Chez XXII, nous avons une équipe dédiée aux enjeux des données personnelles en contact permanent avec nos partenaires et clients.Accompagnement de nos partenaires :

Sensibilisation au RGPD et à notre éthique via notre équipe de formation.

Formation à la bonne utilisation de notre plateforme : chaque utilisateur partenaire doit être certifié XXII CORE.

Accompagnement de nos utilisateurs finaux (responsables de traitement) :

Les responsables de traitement ont l’obligation d’avoir une documentation relative à la mise en place d’un traitement de données à caractère personnel. S’il s’agit d’une nouvelle technologie ou d’un traitement systématique, une analyse d’impact peut être nécessaire.

En tant que sous-traitant, nous accompagnons les responsables du traitement dans la réalisation de leur AIPD en, leur transmettant nos fiches de traitement et en réalisant un suivi avec notre équipe dédiée.

Le Partenaire qui installe notre solution est sensibilisé lors de formations XXII et certifications aux enjeux du RGPD et à l’éthique. En parallèle, nous prenons contact avec les personnes en charge des sujets sur les “données personnelles” (DPO) afin d’échanger sur leurs obligations légales.
En priorité, les responsables de traitement sont dans certains cas, dans l’obligation de réaliser une analyse d’impact (Analyse d’Impact relative à la Protection des Données, obligation du RGPD). Ainsi, XXII en tant que sous-traitant accompagne les clients finaux pour la réalisation de cette analyse.

Pour aller plus loin.
Constituée par nos équipes, une fiche de traitement est une documentation qui reprend les différents éléments nécessaires à la réalisation d’une analyse d‘impact. Il contient des précisions d’usages, techniques et de sensibilisation juridiques.

RGPD etéthique chez XXII.

Le RGPD

Le Règlement sur la Protection des Données Personnelles (RGPD) encadre les traitements de données personnelles réalisées sur les personnes physiques. Il permet d’encadrer les évolutions technologiques tout en respectant les données à caractère personnel des personnes concernées.

Pour cela, le RGPD donne un cadre aux entreprises responsables de traitement et/ou à ses sous-traitants. Certaines obligations permettent une transparence complète des traitements.

Découvrir le texte

Le CSI

le Code de la sécurité intérieure (CSI) est, en droit français, un code juridique créé en 2012 pour regrouper l’ensemble des dispositions législatives et réglementaires ayant trait à la sécurité intérieure.

Découvrir le texte

Europe

Des textes européens tels que le projet de réglementation “IA Act” ou encore des avis du CEPD.

Découvrir le texte

La DPJ

La Directive Police Justice ou DPJ encadre les traitements mis en œuvre par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris les menaces pour la sécurité publique et la prévention de ces menaces.

Découvrir le texte

RGPD
& autres textes.

Afin d’encadrer nos activités et le traitement des données à caractère personnel, nous nous appuyons sur le RGPD mais également sur de nombreux textes complémentaires.

CNIL

Des décisions, recommandations et avis.

Découvrir le texte

Aide à la décision.

La vision par ordinateur traite des flux vidéos contenant des données à caractère personnel, il est donc primordial pour nous d'être respectueux du RGPD et des textes complémentaires. Nous réaffirmons également notre positionnement d’outil d’aide à la prise de décision. En aucun cas nous ne remplacerons l'œil humain, notre solution le complète. En effet, notre plateforme est un outil d’aide à la décision pour les opérateurs. Il n’entraîne, par exemple, aucune procédure automatisée à la suite d’une infraction commise ou présumée et facilite simplement l’accès à des informations déjà présentes au sein d’un centre de sécurité, ainsi, l’usage de notre solution reste toujours encadré par l’intervention humaine. Notre plateforme respecte les valeurs portées par la CNIL et constatées tout au long de sa position :

La nécessité de notre produit réside dans l’utilité du dispositif au regard de l’objectif poursuivi qui doit être clairement identifié.

La proportionnalité réside dans la présence déjà existante de la vidéoprotection. Notre produit n’impacte en aucun cas les personnes concernées d’une autre manière que celle prévue par la vidéoprotection ou vidéosurveillance.

La minimisation des données s’opère notamment à travers l’absence de stockage des données personnelles par XXII. En effet, notre logiciel ne stocke, à date, aucun flux vidéo et fonctionne en temps réel.

La non-identification, nos algorithmes considèrent une personne comme étant une silhouette, s’affranchissant ainsi de toute donnée à caractère personnel, c’est donc la position dans l’espace de cette silhouette qui est analysée. Enfin, l’analyse est réalisée sur un ensemble de personnes et non arbitrairement. Il n’y a donc pas d’analyse ciblée d’un individu.

Pour aller plus loin.
Guide IA : www.cnil.fr – Avis sur la loi sécurité globale : www.cnil.fr – Commande publique et RGPD : www.cnil.fr
Lignes directrices EDPB : www.edpb.europa.eu – Informations relatives au CSI : www.cnil.fr

La notion d’éthique est fondamentale dans la mise en place de traitement de données à caractère personnel et fait donc partie des enjeux majeurs propres au domaine de l’intelligence artificielle. Ainsi, nous attachons une importance essentielle à une utilisation éthique de nos produits.

L’émergence de telles technologies demande une attention toute particulière concernant cet enjeu éthique. C’est pourquoi nous incitons nos clients à suivre nos principes adoptés dans notre charte éthique.

Consulter notre charte éthique

XXIIs'engage.

Pour une réflexion conjointe entrele produit et le juridique.

Privacy by default & by design

Toute réflexion sur l’adoption de nouvelles fonctionnalités est discutée entre nos équipes produit et notre équipe RGPD pour étudier la faisabilité juridique et les bonnes pratiques à mettre en place. Afin d’encadrer les usages de nos technologies et de nos produits, nous consultons également notre comité éthique et nos collaborateurs. De plus, nous suivons les principes du privacy by default et du privacy by design qui ont pour objectif d’intégrer la protection de la vie privée tout au long du cycle de vie des diverses technologies et applications qui traitent des données personnelles :

Le privacy by design ou principe de protection des données dès la conception, exige du produit ou du système amené à collecter, traiter ou utiliser des données personnelles que soient mises en œuvre, des mesures techniques et structurelles appropriées pour garantir que les exigences du RGPD soient respectées. Et qu’ainsi, soit prévu une minimisation des données et que leur traitement soit limité à ce qui est nécessaire au bon fonctionnement du produit.

Le privacy by default est le principe selon lequel une organisation veille à ce que seules les données strictement nécessaires pour chaque objectif spécifique du traitement soient traitées par défaut sans besoin d’une intervention de l’utilisateur. Ainsi, il est assuré aux personnes concernées, par défaut, le plus haut niveau de protection, ce qui implique que des mesures de sécurité et de protection soient prises de façon systématique en cas de traitement portant sur des données à caractère personnel.

Pour une traçabilitéde la chaîne de la donnée.

Outils

Afin de gérer les données à caractère personnel, un outil de suivi, de journalisation des actions propres aux données que nous traitons a été développé. Grâce à ce dernier, nous maîtrisons la chaîne de traitement de nos données.

Pour la mise en placede la pseudonymisation.

Outils

En travaillant à flouter et à masquer nos données et en pseudonymisant sans que cela n’impacte les performances algorithmiques (face swap, gan, anonymisation des plaques d’immatriculation…). L’objectif est de traiter le moins de données à caractère personnel possible (dans nos produits, lors des transferts et pour le stockage).

Pour unesécurité informatique optimale.

Sécurité

Notre équipe IT met en place des mesures et outils de sécurité informatique qui permettent à notre infrastructure d’être la plus sécurisée possible. En parallèle, chaque nouveau collaborateur est formé aux mesures de sécurité.

Pour la sensibilisationet la formation interne et externe.

Sensibilisation

Pour que tous nos collaborateurs se sentent concernés par les enjeux RGPD, les nouveaux arrivants suivent une formation de sensibilisation au RGPD menée par notre DPO et notre juriste sur les principaux concepts et leurs applications au sein de l’entreprise.

Pour une sensibilitééthique.

Sensibilisation

Via notre comité éthique créé en 2021 dans le but de concrétiser et d’appliquer la charte élaborée. Composé de membres internes et externes, le comité émet des recommandations sur tous les sujets éthiques abordés et débattus lors des séances. Les membres administrateurs remontent anonymement les questionnements éthiques des salariés, le positionnement de XXII face à ces sujets majeurs et abordent divers sujets (d’actualité ou particuliers). Les sujets abordés proviennent du marché de l’IA, des préoccupations des collaborateurs, des évolutions technologiques à venir…

Nos principes éthiques

Pour faire de demainun monde plus sûr.

Conviction

Nous avons pour objectif de développer des fonctionnalités qui visent à faire de demain un monde plus sûr. Notre dernière opération a été menée en partenariat avec le Service Départemental d’Incendie et de Secours de la Meuse. Nous avons filmé des entraînements lors desquels des incendies de voitures ont été simulés. Ces captations vont nous permettre d’entraîner nos algorithmes à reconnaître et à catégoriser les départs de feux.