De nombreux acteurs ont fait part à la CNIL de questionnements concernant l’application du règlement général sur la protection des données (RGPD) à l’intelligence artificielle (IA), en particulier depuis l’émergence de systèmes d’IA génératives (« Generative AI systems »).
L’analyse de ces systèmes montre que leur développement est conciliable avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes.
C’est à cette condition que les citoyens feront confiance à ces technologies. Pour cela, il est important que les acteurs disposent d’éléments clairs et pratiques d’analyse pour éclairer les décisions stratégiques de développement ou d’utilisation de l’IA que de nombreux organismes doivent prendre dans les prochains mois.
Quels sont les objectifs des fiches soumises à consultation publique ?
Les fiches pratiques de la CNIL servent à accompagner les acteurs de l’écosystème IA dans leurs démarches de mise en conformité avec la législation sur la protection des données personnelles.
Elles permettent d’apporter des réponses concrètes, illustrées d’exemples, aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA.
Elles répondent notamment aux interrogations concernant l’application des principes de finalité, de minimisation et de durée de conservation pour les bases de données d’apprentissage. Elles clarifient également les règles applicables à la recherche scientifique et la réutilisation de bases de données.
Quel est le périmètre des fiches pratiques ?
Les fiches pratiques concernent uniquement :
- la phase de développement, à l’exclusion de celle de déploiement ;
- les systèmes qui impliquent le traitement de données personnelles soumis au RGPD.
Elles se déclinent en 9 documents répartis de la manière suivante :
- L’introduction précise le périmètre des fiches pratiques ;
- La fiche 1 porte sur le régime juridique applicable aux traitements de données en phase de développement du système d’IA ;
- La fiche 2 traite de la détermination de la finalité du traitement de constitution d’une base de données d’apprentissage d’un système d’IA ;
- La fiche 3 évoque la qualification juridique des fournisseurs de systèmes d’IA ;
- La fiche 4 rappelle comment choisir la base légale du traitement et les vérifications supplémentaires à effectuer en fonction du mode de collecte ou de réutilisation des données ;
- La fiche 5 porte sur la réalisation d’une analyse d’impact sur la protection des données ;
- Les fiches 6 et 7 aident les acteurs à prendre en compte la protection des données dans les choix de conception du système d’IA ainsi que lors de la collecte et la gestion des données ;
- Un modèle de documentation-type est fourni en annexe.
Quel a été le processus d’élaboration de ces fiches ?
Pour élaborer ces fiches pratiques, la CNIL a organisé une série de rencontres avec des acteurs publics et privés pour recueillir leurs observations ou leurs interrogations sur la constitution de bases de données d’apprentissage de systèmes d’IA.
Elle a également lancé, le 27 juillet 2023, un appel à contributions pour alimenter sa réflexion dont une synthèse est publiée. La CNIL a reçu 8 réponses de la part d’entreprises privées, d’un institut de recherche, d’un syndicat professionnel de salariés et d’un particulier.
Sources : CNIL, Téléchargez les fiches pratiques IA de la CNIL
Et vous ?
Que pensez-vous de ces fiches pratiques de la CNIL ?
A votre avis, vont-elles vraiment rendre les technologies d'IA plus compréhensibles et plus sécurisées pour les utilisateurs ?
Voir aussi :
Bilan 2022 de la CNIL : des sanctions record et une vigilance accrue sur l'IA, l'IA générative, une technologie très consommatrice en données personnelles, représente un nouveau défi pour la CNIL
La CNIL publie son avis sur le contrat de Health Data Hub avec Microsoft Azure, alors que la polémique enfle sur le sujet, la Commission appelant à choisir un prestataire européen
ChatGPT bientôt interdit en France comme en Italie ? La CNIL enregistre les premières plaintes contre le logiciel d'IA d'OpenAI, la société est accusée d'avoir violé plusieurs dispositions du RGPD