Blog Données personnelles
IA : la CNIL publie une première série de recommandations pour une IA respectueuse du droit à la protection des données personnelles
Après une année de travail, marquée par une phase de consultation publique de deux mois, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié ce lundi 8 avril ses très attendues premières recommandations sur l’application du Règlement Général sur la Protection des Données (RGPD) au développement des systèmes d’intelligence artificielle (IA). Elles ont pour but de concilier innovation et protection de la vie privée, en accompagnant les acteurs vers un développement de l’intelligence artificielle responsable et respectueux du droit au respect de la vie privée.
Le développement de l’IA, et notamment de l’IA générative, suscite de nombreuses interrogations quant à l’application des règles en matière de protection des données à caractère personnel au développement et aux usages de cette nouvelle technologie. Face à ces interrogations, la CNIL a lancé en mai 2023 son plan IA et a engagé un important travail de clarification du cadre juridique afin de sécuriser les acteurs. A l’issue de presqu’une année de travail, marquée par une phase de concertation des acteurs de l’écosystème (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.), elle publie aujourd’hui une première série de recommandations sur l’application du RGPD au développement des systèmes d’IA, pour une IA respectueuse du droit à la protection des données personnelles.
Les systèmes d’IA concernés par ces recommandations
Ces recommandations concernent le développement de systèmes d’IA dont l’entrainement implique le traitement de grands volumes de données à caractère personnel, notamment
- les systèmes fondés sur l’apprentissage automatique (les systèmes dits de « machine learning »),
- les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (les systèmes d’IA « à usage général »),
- les systèmes dont l’apprentissage est réalisé « une fois pour toute » ou de façon continue, par exemple en exploitant des données d’utilisation pour leur amélioration.
Dans une démarche de privacy by design, ces recommandations ont pour but d’encadrer la phase de développement des systèmes d’IA, qui comprend les étapes préalables au déploiement du système, notamment la conception du système, la constitution de la base de données et l’apprentissage. Elles proposent ainsi aux développeurs une méthodologie leur permettant d’assurer la conformité de leurs systèmes d’IA aux règles de protection des données personnelles dès la phase de conception.
Le contenu des recommandations
Au travers de sept fiches pratiques, la CNIL apporte des précisions sur la manière dont s’applique la Réglementation en matière de protection des données personnelles au développement de l’IA. Ces fiches proposent un protocole suivant les différentes phases de développement des systèmes d’IA et apportent des réponses concrètes, illustrées d’exemples, aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA.
Les sept étapes de ce protocole sont les suivantes :
- Etape 1 : définir une finalité pour le système d’IA ;
- Etape 2 : déterminer les responsabilités des acteurs ;
- Etape 3 : définir la base légale qui autorise le traitement de données personnelles ;
- Etape 4 : vérifier la possibilité de réutiliser certaines données personnelles ;
- Etape 5 : minimiser les données personnelles utilisées ;
- Etape 6 : définir une durée de conservation ;
- Etape 7 : réaliser une analyse d’impact sur la protection des données.
L’articulation de ces recommandations avec le Règlement européen sur l’IA
Les recommandations de la CNIL prennent en considération les nouvelles règles édictées par le Règlement européen sur l’IA, très prochainement adopté. En effet, puisque le RGPD et le Règlement sur l’IA auront vocation à s’appliquer dès lors que des données personnelles seront utilisées pour entrainer un système d’IA, ces recommandations visent à compléter les règles de ces deux règlements de manière cohérente sur le volet de la protection des données personnelles, tout en assurant une bonne articulation de leurs règles respectives.
L’objectif est de développer les systèmes d’IA de manière à ce que leur conception soit compatible avec les enjeux de protection de la vie privée, afin d’encourager l’émergence de dispositifs, outils et applications éthiques et respectueux qui renforceront la confiance des citoyens dans ces technologies.
Ces recommandations visent alors à doter les acteurs d’éléments clairs et pratiques pour adopter les décisions stratégiques nécessaires au développement ou à l’utilisation responsable de l’IA.
Enfin, par ce travail important de pédagogie, la CNIL semble bien déterminée à démontrer sa capacité à prendre part à la régulation de l’IA en France ; dans un contexte où la prochaine application du Règlement européen sur l’IA nécessitera de désigner l’autorité de régulation qui assurera la bonne application de ce Règlement en France. A noter que la CNIL annonce continuer ses travaux et publiera prochainement des recommandations supplémentaires sur l’entrainement des modèles d’IA dans le respect des règles du RGPD.
Jeanne BOSSI MALAFOSSE, associée, et Grégoire PETYT, stagiaire