Le 11 octobre 2023, la Commission française de protection des données (la « CNIL ») a publié un nouvel ensemble de lignes directrices traitant de la recherche et du développement de systèmes d’IA du point de vue de la protection des données (les « Lignes directrices »).
Dans les Lignes directrices, la CNIL confirme la compatibilité du Règlement général sur la protection des données (« RGPD ») de l’UE avec la recherche et le développement en IA. Les lignes directrices se concentrent sur la phase de développement des systèmes d’IA.
Les Lignes directrices sont divisées en sept « fiches pratiques IA » dans lesquelles la CNIL guide les organisations dans les démarches nécessaires à suivre pour développer des systèmes d’IA compatibles avec le RGPD. Les « fiches pratiques sur l’IA » fournissent des conseils sur : (1) la détermination du régime juridique applicable (par exemple, le RGPD ou la directive relative à l’application des lois) ; (2) définir de manière adéquate la finalité du traitement ; (3) définir le rôle (par exemple, responsable du traitement, sous-traitant ou responsable conjoint du traitement) des fournisseurs de systèmes d’IA ; (4) définir la base juridique et mettre en œuvre les garanties nécessaires pour garantir la licéité du traitement des données ; (5) rédiger une analyse d’impact sur la protection des données (« DPIA ») si nécessaire ; (6) prendre en compte de manière adéquate la protection des données dans les choix de conception du système d’IA ; et (7) mettre en œuvre le principe de protection des données dès la conception dans la collecte de données et gérer de manière adéquate les données après la collecte.
Les points à retenir des lignes directrices sont les suivants :
- Conformément au RGPD, la finalité du développement d’un système d’IA doit être spécifique, explicite et légitime. La CNIL précise que lorsque l’utilisation opérationnelle des systèmes d’IA en phase de déploiement est unique et précisément identifiée dès la phase de développement, les traitements réalisés dans les deux phases poursuivent, en principe, une seule finalité globale. Toutefois, pour certains systèmes d’IA, tels que les systèmes d’IA à usage général, l’utilisation opérationnelle peut ne pas être clairement identifiable dès la phase de développement. Dans ce cas, pour être jugée suffisamment précise, la finalité du traitement de développement doit contenir des informations sur le type de système développé (par exemplegrand modèle de langage) de manière claire et intelligible pour les personnes concernées, ainsi que les fonctionnalités et capacités techniquement réalisables (c’est à direcapacités raisonnablement prévisibles au stade du développement).
- Le consentement, les intérêts légitimes, l’exécution d’un contrat et l’intérêt public peuvent théoriquement servir de bases juridiques pour le développement de systèmes d’IA. Les responsables du traitement doivent évaluer soigneusement la base juridique la plus adaptée à leur cas spécifique.
- Les AIPD menées pour traiter le traitement des données pour le développement des systèmes d’IA doivent aborder les risques spécifiques de l’IA, tels que le risque de produire de faux contenus sur une personne réelle ou les risques associés aux attaques connues spécifiques aux systèmes d’IA (telles que les attaques par données empoisonnement, insertion d’une porte dérobée ou inversion de modèle).
- Les mesures de minimisation et de protection des données qui ont été mises en œuvre lors de la collecte de données peuvent devenir obsolètes avec le temps et doivent être continuellement surveillées et mises à jour si nécessaire.
- La réutilisation d’ensembles de données, notamment ceux accessibles au public sur Internet, est possible pour entraîner des systèmes d’IA, à condition que les données aient été collectées légalement et que la finalité de la réutilisation soit compatible avec la finalité initiale de la collecte.
La CNIL considère l’IA comme un sujet prioritaire. Elle a créé un département dédié à l’IA, lancé un plan d’action pour clarifier les règles et soutenir l’innovation dans ce domaine et mis en place deux programmes de soutien aux acteurs français de l’IA. De nouvelles lignes directrices sur divers sujets liés à l’IA devraient être publiées à l’avenir.
Lire le communiqué de presse. Lisez les directives.