Intelligence artificielle : la CNIL encadre son développement et les bases de données d’apprentissage
L’intelligence artificielle (IA), sujet majeur de l’actualité numérique 2023, n’échappe pas au RGPD. Le développement des algorithmes étant basé sur la consommation d’importantes quantités de données brutes, il est possible que certaines de ces données soient à caractère personnel ; dès lors, les principes de la protection des données posés par le règlement européen doivent être respectés.
Dans un article du 11 octobre 2023, la Commission Nationale Informatique et Libertés (CNIL) proposait déjà de premiers éléments de réponse quant à cette difficile conjugaison.
Cette publication constitue une première réponse concrète aux inquiétudes exprimées par les professionnels du secteur, qui tous ont fait remonter à la CNIL un besoin de sécurité juridique. Pour certains d’entre eux, « les principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte résultant du RGPD freineraient voire empêcheraient certaines recherches ou applications de l’intelligence artificielle. »
Toutefois, la CNIL confirme que le RGPD et le développement de l’IA sont bien compatibles, à condition de ne pas franchir « certaines lignes rouges ».
Concernant le principe de finalité, ce dernier est prévu à l’article 6 du Règlement et impose que les données personnelles ne soient traitées que dans un objectif précis défini à l’avance. La CNIL admet une certaine souplesse dans son application à l’IA – il est impossible, au stade de l’entraînement de l’algorithme, de définir l’ensemble de ses applications futures. Toutefois, le type de système et les principales fonctionnalités doivent bien avoir été définis en amont.
En matière de minimisation, c’est également le pragmatisme qui prime : ce principe n’impose en effet pas de n’utiliser que des petites quantités de données, mais bien la quantité nécessaire à la finalité choisie. Dès lors, il n’empêche pas lorsque cela est nécessaire à l’entraînement d’un algorithme, de recourir à de grands ensembles de données. L’usage de données personnelles inutiles restera proscrit, et la CNIL rappelle la nécessité d’assurer la sécurité des données utilisées.
De la même manière, le principe de conservation limitée ne fait également pas obstacle à la définition de longues durées pour les bases d’entraînement, lorsque cela est justifié – la CNIL précisant que ces bases « requièrent un investissement scientifique et financier important et deviennent parfois des standards largement utilisés par la communauté. »
Enfin, la CNIL précise que la réutilisation de jeux de données, notamment publiquement accessibles, n’est pas en principe interdite, sous réserve qu’elles n’aient pas été collectées de manière illicite.
C’est dans cette optique et aux fins d’assister les professionnels que la également publié un ensemble de fiches pratiques IA pour un développement conforme de ces outils. Ces dernières contiennent de nombreux conseils quant à l’application de l’ensemble des principes du RGPD :
- L’introduction précise le périmètre des fiches pratiques ;
- La fiche 1 porte sur le régime juridique applicable aux traitements de données en phase de développement du système d’IA ;
- La fiche 2 traite de la détermination de la finalité du traitement de constitution d’une base de données d’apprentissage d’un système d’IA ;
- La fiche 3 évoque la qualification juridique des fournisseurs de systèmes d’IA ;
- La fiche 4 rappelle comment choisir la base légale du traitement et les vérifications supplémentaires à effectuer en fonction du mode de collecte ou de réutilisation des données ;
- La fiche 5 porte sur la réalisation d’une analyse d’impact sur la protection des données ;
- Les fiches 6 et 7 aident les acteurs à prendre en compte la protection des données dans les choix de conception du système d’IA ainsi que lors de la collecte et la gestion des données ;
- Un modèle de documentation-type est fourni en annexe.
Ces fiches sont soumises à consultation publique jusqu’au 16 novembre 2023, permettant aux professionnels du secteur d’émettre leur avis. Elles seront complétées d’ici la fin de l’année par d’autres fiches relatives à la base légale de l’intérêt légitime, la gestion des droits et l’information des personnes concernées.
Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion de vos projets innovants et leur conformité avec la réglementation applicable.
Pour toute question, n’hésitez pas à nous contacter.