Dès janvier 2023, la CNIL s’était saisie de la question de l’IA, en créant un service de l’intelligence artificielle (SIA). Anticipant l’arrivée au niveau européen de l’IA Act, la CNIL donne des pistes aux entreprises pour innover, tout en respectant le droit des personnes. L’autorité l’assure :
« l’idée reçue selon laquelle le RGPD empêcherait l’innovation en IA en Europe est fausse ».
Un guide à la suite d’une consultation publique
La CNIL a proposé une série de 7 recommandations, destinées aux professionnels et consommateurs. Ce guide est le résultat de deux mois de consultation publique, à laquelle ont pris part des entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations. Ces recommandations, qui ne sont pas contraignantes pour les utilisateurs, ont vocation à constituer un guide de bonnes pratiques qui permettent de se mettre en accord avec le RGPD.
Ces recommandations concernent le développement des systèmes d’IA impliquant un traitement de données personnelles. En effet, pour se développer et s'entraîner, les logiciels d’IA utilisent des bases de données, qui comportent parfois des données personnelles. Sont ainsi identifiées par la CNIL comme concernés :
- Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
- Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (« general purpose AI ») ;
- Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en utilisant des données d’utilisation pour son amélioration.
Ces recommandations de la CNIL ont vocation à être appliquées lors de la phase de développement des systèmes d’IA, c’est-à-dire les étapes de conception du système, de constitution de la base de données, et d’apprentissage, en amont de la phase de déploiement de ces systèmes.
Les 7 recommandations formulées par la CNIL
En premier lieu :
La CNIL recommande la définition d’un objectif pour le système d’IA afin d’éviter la récolte de données inutiles. Cet objectif devra être explicite et légitime, c’est-à-dire compatible avec les missions de l’entité utilisatrice de l’IA.
En deuxième lieu :
La CNIL rappelle aux professionnels que, s’ils utilisent des données personnelles pour le développement des systèmes d’IA, il leur faut déterminer leur responsabilité au sens du RGPD. Ils peuvent être responsables de traitement, ou bien sous-traitants.
Dans le premier cas, les professionnels décident des objectifs et des moyens de l’utilisation des données personnelles.
Dans le second cas, les professionnels traitent des données pour le compte d’un « donneur d’ordre » qui est le responsable du traitement, ce dernier devant alors s’assurer que le sous-traitant respecte ses instructions.
Inscrivez-vous à la newsletter Livv
et recevez chaque semaine des informations exclusives en droit des affaires. En savoir plus
En troisième lieu :
Il est recommandé aux professionnels de définir la base légale qui les autorise à traiter des données personnelles. Le RGPD liste six bases légales possibles :
- le consentement,
- le respect d’une obligation légale,
- l’exécution d’un contrat,
- l’exécution d’une mission d’intérêt public,
- la sauvegarde des intérêts vitaux,
- la poursuite d’un intérêt légitime.
Les droits des personnes et les obligations des professionnels varieront selon la base légale retenue.
En quatrième lieu :
La CNIL recommande aux responsables de traitement des données personnelles d’effectuer des vérifications afin de garantir que l’utilisation de ces données est légale. Ces vérifications consistent notamment à s’assurer que la base de données ne contient pas de données d’infractions ou de données sensibles, par exemple des données de santé ou des données relatives à des opinions politiques. Le fournisseur doit également s’assurer que la constitution ou la diffusion de la base de données ne résulte pas manifestement d’un crime ou d’un délit ou a fait l’objet d’une condamnation ou d’une sanction publique de la part d’une autorité compétente qui a impliqué une suppression ou une interdiction d’exploitation.
Dans le cas où le fournisseur réutilise des données qu’il a lui-même collectées, il doit vérifier si le nouvel usage est compatible avec l’objectif initial en réalisant un test de compatibilité selon les modalités précisées par la CNIL.
Dans le cas où le fournisseur réutilise des données publiquement accessibles, la CNIL recommande de procéder à une analyse au cas par cas afin de d’assurer que la base de données n’avait pas été constituée de manière illicite.
Enfin, le fournisseur peut réutiliser des données acquises auprès d’un tiers. Deux situations sont à distinguer :
- la situation dans laquelle le tiers a collecté les données dans l’objectif de constituer une base de données pour l’apprentissage de système d’IA et
- la situation dans laquelle le tiers n’a pas initialement collecté les données pour cet objectif.
Dans le premier cas, le tiers devra s’assurer de la conformité du traitement de transmission des données au regard du RGPD. Dans le second cas, il devra en outre réaliser un test de compatibilité. Le fournisseur devra à son tour procéder à des vérifications.
En cinquième lieu :
Le guide de la CNIL pose un principe de minimisation des données. Conformément à ce principe, les professionnels ne doivent collecter et utiliser des données personnelles que dans la mesure où celles-ci sont adéquates, pertinentes et limitées à ce qui est nécessaire. La minimisation consiste ainsi dans le fait de privilégier la technique permettant d’atteindre le résultat recherché en utilisant le moins de données personnelles possible.
En sixième lieu :
Il est recommandé, pour respecter les obligations posées par le RGPD, de définir une durée de conservation des données en fonction de l’objectif ayant conduit au traitement des données. La CNIL précise que dans l’hypothèse où la conservation des données d’apprentissage peut permettre d’effectuer des audits et faciliter la mesure de certains biais, une conservation prolongée des données peut être justifiée, sauf si la conservation d’informations générales sur les données suffit.
Enfin :
La CNIL recommande la réalisation d’une analyse d’impact sur la protection des données. Une telle étude permet de cartographier et d’évaluer les risques d’un traitement sur la protection des données. La réalisation d’une analyse des risques est notamment fortement encouragée dès lors que deux des critères suivants sont remplis :
- des données sensibles sont collectées ;
- des données personnelles sont collectées à large échelle ;
- des données de personnes vulnérables (personnes mineures, en situation de handicap, etc.) sont collectées ;
- des ensembles de données sont croisés ou combinés ;
- de nouvelles solutions technologiques sont mises en œuvre ou une utilisation innovante est faite.
Quand bien même deux des critères qui précèdent ne sont pas remplis, une analyse d’impact est très fortement recommandée si des risques importants existent, tels que des risques de discrimination, de mésusage ou de violation des données.
Une fois le niveau de risque déterminé, des mesures doivent être prises pour le réduire. Ces mesures peuvent prendre la forme d’anonymisation ou de pseudoanymisation des données, ou encore des mesures facilitant l’exercice des droits ou les recours pour les personnes (par exemple techniques de désapprentissage machine, mesures d’explicabilité et de traçabilité des sorties du systèmes d’IA, etc.).
En plus de ces sept recommandations, la CNIL prévoit déjà de publier de nouvelles fiches permettant d’expliquer comment concevoir et entraîner des modèles dans le respect du RGPD, fiches qui seront également soumises à consultation publique.