Comment réaliser une analyse d'impact relative à la protection des données (AIPD) pour l'IA dans le suivi et l'évaluation (S&E)
Les AIPD deviennent la norme pour l'utilisation de l'IA dans l'évaluation et le suivi. Ce processus en 4 étapes vous aide à évaluer les risques avant de télécharger des données vers un outil d'IA, et non après qu'un problème survienne.
Une AIPD n'est pas une charge administrative superflue. C'est le processus qui vous permet d'expliquer à un donateur, une personne concernée ou un comité d'examen pourquoi l'utilisation de l'IA avec ces données, à cette fin et avec ces garanties, est proportionnée et sûre. Pour les équipes de S&E qui traitent des données de participants, des dossiers de bénéficiaires ou des résultats d'évaluation sensibles, c'est de plus en plus une attente fondamentale.
Le processus EIPD en 4 étapes
Basé sur les exigences du RGPD britannique et adapté aux cas d'utilisation de l'IA en S&E. Chaque étape s'appuie sur la précédente. Ne pas passer à l'atténuation sans avoir terminé l'évaluation.
Décrire le Traitement
Documentez précisément l'outil d'IA que vous utilisez, quelles données il traitera, où les données sont transférées (y compris les transferts transfrontaliers vers des serveurs cloud), quel est l'objectif et qui a accès aux résultats. Pour le S&E : « Nous utiliserons [outil] pour [tâche] en utilisant [type de données] de [source]. Les données seront traitées sur [serveurs dans pays/région]. »
Évaluer la Nécessité et la Proportionnalité
L'IA est-elle le moyen le moins invasif d'atteindre cet objectif de S&E ? Pourriez-vous obtenir le même résultat avec moins de données, un outil local (sans transfert cloud) ou une approche non-IA ? Si vous téléchargez des données de participants identifiables vers un outil d'IA commercial pour économiser 3 heures de codage manuel, le calcul risque-bénéfice pourrait ne pas être en faveur de l'IA.
Identifier et Évaluer les Risques
Cartographiez les risques pour les personnes concernées (ré-identification, violation de données, biais dans les résultats de l'IA affectant les décisions du programme), pour l'intégrité de l'évaluation (résultats hallucinés, analyse non reproductible) et pour les communautés (préjudices au niveau du groupe issus de modèles générés par l'IA). Évaluez chaque risque en fonction de sa probabilité et de sa gravité.
Atténuer et Documenter
Pour chaque risque identifié, définissez des mesures techniques (anonymisation, chiffrement, traitement local, accords de suppression de données) et des mesures organisationnelles (contrôles d'accès, flux de travail de validation, formation, réponse aux incidents). Documentez les risques résiduels et les décisions d'acceptation. Examinez l'EIPD à chaque phase du projet.
Quand les EIPD Préviennent de Vrais Problèmes
Ces scénarios montrent ce qui se passe avec et sans EIPD pour des cas d'utilisation courants de l'IA en S&E.
Analyse d'enquêtes assistée par l'IA
"Nous avons téléchargé notre ensemble de données d'enquête auprès des ménages sur ChatGPT pour analyse." L'ensemble de données contient des coordonnées GPS, des identifiants de ménage et des données de revenus. Les conditions d'utilisation de l'outil d'IA autorisent l'utilisation des entrées pour l'entraînement du modèle. Vous n'avez pas d'accord de traitement des données. Si le bailleur de fonds audite votre gestion des données, vous ne pouvez pas prouver votre conformité.
Analyse d'enquêtes assistée par l'IA
"Avant le téléchargement, notre EIPD a identifié : l'ensemble de données contient des données indirectement identifiables (GPS + taille du ménage pourraient permettre une ré-identification). Nous avons supprimé les coordonnées GPS, remplacé les identifiants de ménage par des codes aléatoires, et utilisé un outil d'IA d'entreprise avec un accord de traitement des données qui interdit l'entraînement sur nos données. EIPD documentée et archivée."
Transfert de données transfrontalier
"Notre équipe de terrain en [pays] a recueilli des transcriptions d'entretiens. Nous avons utilisé un outil d'IA basé aux États-Unis pour les coder." Les transcriptions contiennent des informations sensibles sur les populations affectées par les conflits. Les données ont quitté le pays de collecte, ont transité par des serveurs sans évaluation d'adéquation, et la politique de rétention des données du fournisseur d'IA n'est pas claire.
Transfert de données transfrontalier
"Notre EIPD a identifié le transfert transfrontalier comme risque principal. Nous avons évalué : l'outil d'IA traite les données dans l'UE (juridiction adéquate). Nous avons un accord de traitement des données avec des clauses contractuelles types. Les transcriptions ont été pseudonymisées avant le téléchargement. Nous avons choisi cet outil spécifiquement pour ses options de résidence des données."
Données de populations sensibles
"Nous avons utilisé l'IA pour analyser les retours des survivantes de VBG pour notre évaluation de protection." Des données profondément sensibles sont entrées dans un système d'IA commercial. Aucun consentement n'a été obtenu pour le traitement par l'IA (seulement pour la collecte). Aucune évaluation n'a été faite pour savoir si le traitement par l'IA crée un risque de ré-identification.
Données de populations sensibles
"Notre EIPD a déterminé que ces données sont trop sensibles pour un traitement IA basé sur le cloud. Nous avons utilisé un modèle d'IA local (aucune donnée ne quitte notre infrastructure). Nous avons évalué les risques au niveau communautaire des modèles générés par l'IA. Nous avons obtenu un consentement spécifique pour l'analyse assistée par l'IA. La section méthodologie divulgue l'approche et les garanties."
5 règles de l'EIPD pour les équipes de S&E
Réalisez l'EIPD tôt, pas après le déploiement
Le guide britannique sur l'IA (UK AI Playbook) met l'accent sur la protection de la vie privée dès la conception (privacy-by-design) tout au long du cycle de vie de l'IA : conception, formation/test, déploiement et suivi. Commencez votre EIPD lorsque vous évaluez l'opportunité d'utiliser l'IA pour une tâche, et non après avoir déjà téléchargé des données.
Évaluez toujours les risques de transfert transfrontalier
La plupart des outils d'IA commerciaux traitent les données sur des serveurs situés en dehors du pays de collecte. Le RGPD britannique et les cadres de l'UE exigent que vous évaluiez si la juridiction de destination offre une protection adéquate des données. Pour les équipes de S&E qui collectent des données dans les PRITI (Pays à Revenu Intermédiaire et à Faible Revenu) et utilisent des outils d'IA basés aux États-Unis ou dans l'UE, cela est presque toujours pertinent.
Incluez les risques au niveau communautaire, pas seulement individuels
Les EIPD standard se concentrent sur les personnes concernées individuelles. Les EIPD de S&E devraient également considérer : les modèles générés par l'IA à partir de données agrégées pourraient-ils stigmatiser une communauté ? Les recommandations de ciblage assistées par l'IA pourraient-elles créer des préjudices au niveau du groupe ? Le principe de « Ne pas nuire » s'étend à l'analyse assistée par l'IA.
Révision à chaque étape du cycle de vie
Une EIPD n'est pas un document unique. Réexaminez-la lorsque vous changez d'outils d'IA, modifiez le type de données traitées, passez d'un projet pilote à une mise en œuvre complète, ou lorsque le fournisseur de l'outil d'IA modifie ses conditions de service. Le cadre politique modèle des Nations Unies préconise une gouvernance du cycle de vie incluant une réévaluation.
Restez proportionné
Une EIPD pour « l'utilisation de l'IA pour formater un modèle de rapport sans données personnelles » devrait être une note d'une page. Une EIPD pour « l'utilisation de l'IA pour analyser 500 transcriptions d'entretiens de populations affectées par un conflit » devrait être approfondie. Adaptez la profondeur au risque réel, et non à un modèle générique.
Invite de démarrage AIPD
Utilisez cette invite pour générer un brouillon d'AIPD pour un cas d'utilisation spécifique de l'IA. Ensuite, examinez et affinez-le avec votre délégué à la protection des données ou équivalent.
Aidez-moi à rédiger une analyse d'impact relative à la protection des données (AIPD) pour un cas d'utilisation de l'IA dans notre travail de S&E. Cas d'utilisation : [DÉCRIRE : ex., "Utilisation de Claude pour aider au codage thématique de 80 transcriptions d'entretiens avec des informateurs clés issues d'une évaluation de la sécurité alimentaire au Soudan du Sud"] Détails des données : - Type de données : [transcriptions d'entretiens / réponses à des enquêtes / dossiers de bénéficiaires / données de suivi / autre] - Contient des données personnelles : [oui - identifiables / oui - pseudonymisées / non] - Catégories sensibles : [santé / conflit / VBG / enfants / identité ethnique / aucune] - Personnes concernées : [participants au programme / bénéficiaires / personnel / membres de la communauté] - Pays de collecte : [pays] Détails de l'outil d'IA : - Outil : [ChatGPT / Claude / Gemini / modèle local / autre] - Lieu de traitement : [États-Unis / UE / local / inconnu] - Accord de traitement des données : [oui / non / inconnu] - Politique de conservation des données : [non utilisé pour l'entraînement / utilisé pour l'entraînement / inconnu] Veuillez générer une AIPD structurée avec les sections suivantes : 1. Description du traitement (quoi, pourquoi, qui, où) 2. Évaluation de la nécessité et de la proportionnalité 3. Registre des risques (risque | probabilité | gravité | niveau de risque) pour au moins 6 risques 4. Mesures d'atténuation (techniques et organisationnelles) 5. Évaluation du risque résiduel 6. Calendrier de révision Signalez toute zone où le niveau de risque suggère que je devrais reconsidérer l'utilisation de l'IA pour cette tâche.
Protégez vos données, utilisez l'IA en toute confiance
Une EIPD (étude d'impact sur la protection des données) finalisée est le fondement d'une utilisation responsable de l'IA. Associez-la à des directives de gouvernance et lancez vos projets pilotes d'IA en toute confiance.
Related Quick Guides
How to Build AI Governance for M&E
The 6-point governance framework every M&E team needs before scaling AI use.
Read guideHow to Protect Data Privacy When Using AI
What's safe to share and what to remove before using any AI tool.
Read guideHow to Assess Your M&E Team's AI Readiness
A 5-level self-assessment across data, governance, skills, tools, and value.
Read guide