Sorry, this entry is only available in French.
Dans un souci de conciliation entre innovation et respect des droits des personnes, la Commission Nationale de l’Informatique et des Libertés (CNIL) propose certains aménagements à l’application des principes de protection des données énoncés par le RGPD pour les acteurs innovants de l’IA. La CNIL publie également des « fiches pratiques IA », qu’elle soumet à consultation publique jusqu’au 16 novembre 2023 (Communication de la CNIL du 11 octobre 2023 & consultation publique).
Étant donné que l’entraînement des algorithmes d’intelligence artificielle (IA) repose sur l’utilisation de vastes quantités de données, il est possible que certaines de ces données soient qualifiées de données personnelles dont le traitement fait encourir des risques aux droits des personnes concernées (entre autres, par la création de nouvelles formes de surveillance des individus, ou encore de fausses informations). D’où le jeu des dispositions protectrices du Règlement européen sur la protection des données personnelles (« RGPD »). Parallèlement, les professionnels du secteur ont fait part à la Commission Nationale de l’Informatique et des Libertés (CNIL) de leurs préoccupations concernant les enjeux de cette protection, perçus comme un frein voire un obstacle à l’IA et ses développements.
C’est donc dans un esprit de conciliation entre innovation et respect des droits des personnes, que la CNIL publie une première série de lignes directrices où elle annonce que le développement de l’IA et le cadre protecteur du règlement européen précité sont bien compatibles, à condition de ne pas franchir certaines « lignes rouges ». Par-là, elle confirme l’application des principes de protection des données énoncés par le RGPD à l’IA, en assortissant cette application de quelques aménagements pour les acteurs innovants du secteur.
D’abord, concernant le principe de finalité qui exige que les données personnelles soient traitées uniquement à des finalités spécifiques déterminées à l’avance, la CNIL admet qu’un opérateur ne puisse pas définir à l’étape de formation de l’algorithme l’ensemble de ses futures applications lorsqu’il s’agit d’un système d’IA à usage général. Toutefois, le type de système et les principales fonctionnalités envisageables doivent être définies en amont.
Ensuite, concernant le principe de minimisation des données, en vertu duquel les données traitées doivent être limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, la CNIL précise que ce principe n’interdit pas l’utilisation de grands ensembles de données aux fins d’entraînement des algorithmes. Toutefois, elle exige que les données utilisées soient sélectionnées aux fins d’optimisation de l’entraînement de l’algorithme, écartant ainsi l’utilisation de données personnelles inutiles. Des précautions et mesures de sécurité doivent également être mises en place.
Quant au principe imposant de limiter la durée de conservation des données à celle nécessaire à l’objectif du traitement, la CNIL déclare accepter des durées prolongées pour les bases de données d’entraînement, uniquement lorsque cela est justifié. Cette justification semble être directement liée à l’importance des investissements requis sur le plan scientifique et financier, sachant que ces bases « deviennent parfois des standards parfois largement utilisés par la communauté ».
Enfin, la CNIL précise que la réutilisation de bases de données est possible, notamment lorsqu’il s’agit de données accessibles publiquement. Cependant, l’autorité demande que la légalité de la collecte de données soit vérifiée et que la finalité de la réutilisation soit compatible avec la collecte initiale. Elle propose de s’inspirer des dispositions relatives à la recherche et à l’innovation du RGPD, offrant un « régime aménagé » aux acteurs de l’IA faisant utilisation des données des tiers.
L’autorité publie également des « fiches pratiques IA », qu’elle soumet à consultation publique jusqu’au 16 novembre 2023, afin d’assister les acteurs de l’écosystème IA dans la conformité de leurs bases de données d’apprentissage des systèmes d’IA, plus spécifiquement lors de la phase de développement (à l’exclusion de celle de déploiement). La publication des fiches définitives est prévue pour le début de l’année 2024.
Ce faisant, la CNIL entend poursuivre la mise en œuvre de sa stratégie de soutien à une IA innovante et respectueuse de la vie privée. Ces démarches s’inscrivent donc aux côtés de bien d’autres, telles que la création d’un service dédié à l’IA, la mise en place d’un plan d’action ou encore de programmes d’accompagnement dédiés à l’IA (tel que le bac à sable ou encore son dispositif d’accompagnement renforcé pour les scale-ups) – tous au service de l’objectif suivant énoncé par la CNIL : « faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes ».
Settings