À l’issue d’une consultation publique, la CNIL publie ses premières recommandations sur le développement des systèmes d’intelligence artificielle. Elles doivent aider les professionnels à concilier innovation et respect des droits des personnes pour le développement innovant et responsable de leurs systèmes d’IA.
Concilier le développement de systèmes d’IA avec les enjeux de protection de la vie privée
De nombreux acteurs ont fait part à la CNIL de questionnements concernant l’application du règlement général sur la protection des données (RGPD) à l’intelligence artificielle (IA), en particulier depuis l’émergence de systèmes d’IA génératives (« Generative AI systems »). En mai 2023, la CNIL a publié son « plan IA » et a lancé un important travail de clarification du cadre juridique afin de sécuriser les acteurs.
L’analyse de ces systèmes montre que leur développement est conciliable avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes.
C’est à cette condition que les citoyens feront confiance à ces technologies. Pour cela, il est important que les acteurs disposent d’éléments clairs et pratiques pour éclairer leurs décisions stratégiques de développement ou d’utilisation de l’IA qu’ils devront prendre dans les prochains mois.
Les premières recommandations de la CNIL
Pour un usage de l’IA respectueux des données personnelles
Pour clarifier les règles applicables en la matière, la CNIL publie aujourd’hui une première série de recommandations pour un usage de l’IA respectueux des données personnelles.
Ces recommandations de la CNIL servent à accompagner les acteurs de l’écosystème IA dans leurs démarches de mise en conformité avec la législation sur la protection des données personnelles. Elles permettent d’apporter des réponses concrètes, illustrées d’exemples, aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA. Les points abordés dans ces premières recommandations permettent en particulier de :
- déterminer le régime juridique applicable ;
- définir une finalité ;
- déterminer la qualification juridique des acteurs ;
- définir une base légale ;
- effectuer des tests et vérifications en cas de réutilisation des données ;
- réaliser une analyse d’impact si nécessaire ;
- tenir compte de la protection des données dès les choix de conception du système ;
- tenir compte de la protection des données dans la collecte et la gestion des données.
La CNIL propose également une synthèse de ses recommandations afin d’en rappeler les grands principes et de permettre à tous les acteurs de l’appliquer à leurs projets.
Des recommandations élaborées en concertation avec les acteurs de l’IA
Ces recommandations ont été élaborées après une série de rencontres avec des acteurs publics et privés pour recueillir leurs interrogations sur le sujet ainsi qu’une consultation publique de deux mois. Les parties prenantes (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.) ont ainsi pu s’exprimer et permettre à la CNIL de proposer des recommandations au plus proche de leurs questionnements et de la réalité des usages de l’IA.
Lors la consultation publique, 43 contributions ont été reçues par la CNIL, émanant d’acteurs variés de l’écosystème de l’IA :
- 29 organismes à but lucratif dans des secteurs divers (IA, finance, santé, aéronautique, opérateurs de plateformes en ligne, publicité en ligne, jeux vidéo, etc.) ;
- 7 organismes à but non lucratif (association représentative de la société civile, institut de recherche, think tank, etc.) ;
- 4 particuliers ;
- 3 établissements public.
Les contributions reçues par la CNIL ont permis d’enrichir et de consolider les recommandations, publiées dans leur version finalisée. Plusieurs précisions et modifications ont donc été apportées, par exemple sur le périmètre des recommandations et leur articulation avec le projet de règlement IA, l’utilisation d’outils de moissonnage (web scraping), la réalisation d’une analyse d’impact sur la protection des données (AIPD), etc.
Elles ont également soulevé des points d’interrogation structurants (information des personnes, conditions à remplir pour mobiliser la base légale l’intérêt légitime, exercice des droits des personnes, etc.) que la CNIL traitera dans de prochaines publications.
La CNIL met à disposition une synthèse des contributions ainsi que des éléments de réponse aux interrogations formulées par les contributeurs.
Les prochaines étapes
Dans les mois à venir, la CNIL complètera ces premières recommandations par d’autres fiches portant notamment sur la base légale de l’intérêt légitime, la gestion des droits, l’information des personnes concernées, l’annotation et la sécurité lors de la phase de développement. Ces travaux seront également soumis à consultation publique.
Lire : sur le site de la CNIL, publié le 8 avril
Consulter : les recommandations (7 fiches des recommandations officielles)
Consulter : la synthèse des recommandations (Un document pour tout comprendre)
Lire : la synthèse des contributions