Le 8 avril 2024, la Cnil a dévoilé ses premières recommandations sur l’application du RGPD au développement des systèmes d’intelligence artificielle. Elle anticipe l’arrivée de l’IA Act et donne quelques pistes aux entreprises pour innover dans le respect des droits des personnes.
Développement des systèmes d’IA : les recommandations de la Cnil pour rester conforme au RGPD
“L’idée reçue selon laquelle le RGPD empêcherait l’innovation en intelligence artificielle (IA) en Europe est fausse.” C’est la Cnil qui le dit. L’autorité vient de sortir un nouveau guide pour les professionnels consommateurs d’IA et de données personnelles. Ce guide s’articule autour de sept grandes réflexions, fruit de deux mois de consultation publique à laquelle ont pris part des entreprises, des chercheurs, des universitaires, des associations, des conseils juridiques et techniques, des syndicats, des fédérations, etc. Ils étaient 43 à avoir répondu à l’appel et venaient de tout secteur : IA, finance, santé, aéronautique, opérateurs de plateformes en ligne, publicité en ligne, jeux vidéo. Et même de la société civile avec des particuliers (4) un institut de recherche, un think tank…
Objectif légitime
C’est à la fois le RGPD et l’IA Act, approuvé au sein de l’Union européenne en mars 2024, qui s’appliquent lorsque les données personnelles sont utilisées pour le développement d’un système d’IA. Pour s’entraîner, les logiciels d’IA utilisent des bases de données qui comportent parfois des données personnelles. Un risque de plus pour les droits et les libertés des personnes, et notamment pour leur droit à la vie privée. Les sept pistes de réflexion de la Cnil commencent avec la définition d’un objectif pour le système d’IA pour éviter de récolter des données inutiles. Un objectif explicite et légitime, c’est-à-dire compatible avec les missions de l’entité utilisatrice de l’IA. Parmi les exemples de l’autorité, il y a celui d’une base de données constituée pour l’entraînement d’un modèle de langage permettant d’identifier le registre de langue d’un texte. À cette tâche s’en ajoutent d’autres : la rédaction et la relecture d’articles, de courriers, de discours, l’apprentissage du français, etc. C’est le cas des systèmes d’IA qui révèlent leur potentiel en cours de route. Dits “à usage général”, ils offrent des applications variées et ne se laissent pas enfermer dans un seul objectif dès le stade de leur développement.
S’ensuivent des recommandations de bon sens : “Déterminer ses responsabilités.” Il s’agit ici pour les professionnels d’identifier leur rôle : responsables de traitement (ceux qui fixent l’objectif du système d’IA) ou sous-traitants (ceux qui traitent les données pour le compte du responsable des traitements). Ou encore de minimiser les données personnelles, définir une durée de conservation en fonction de l’objectif… Des principes déjà connus des praticiens qui manipulent des données personnelles.
Cartographie des risques
La Cnil enjoint par ailleurs les développeurs de systèmes d’IA à vérifier l’existence d’une base légale (consentement, respect d’une obligation légale, exécution d’un contrat, exécution d’une mission d’intérêt public, sauvegarde d’intérêts vitaux ou poursuite d’un intérêt légitime) qui autorise à traiter des données personnelles. Par exemple, “les acteurs publics doivent vérifier si le traitement s’inscrit dans leur mission d’intérêt public telle que prévue par un texte (par exemple une loi, un décret, etc.) et s’il y contribue de manière pertinente et appropriée”. Dans sa sixième recommandation, elle rappelle aux entités qui voudraient réutiliser une base de données de vérifier si c’est bien légal. Dernière de la liste des recommandations : la cartographie et l’étude d’impact du traitement sur la protection des données personnelles. Si elles révèlent des risques, il faudra bâtir un plan d’action pour les réduire à un niveau acceptable.
Service de l’intelligence artificielle
La Cnil s’est saisie de la question de l’IA en janvier 2023 avec la création d’un service (SIA) consacré à cette technologie. Le SIA compte cinq juristes et ingénieurs spécialisés. Il est rattaché à la direction des technologies et de l’innovation dirigée par Bertrand Pailhes, ancien coordonnateur national pour la stratégie d'intelligence artificielle au sein de la direction interministérielle du numérique et du SI de l'État (Dinsic). C’est au printemps 2023 que l’autorité a lancé son plan d’action pour clarifier les règles et de soutenir l’innovation en la matière.
AL Blouin