RGPD et IA : les recommandations de la CNIL

La CNIL (Commission nationale de l’informatique et des libertés) a publié le 8 avril dernier, une série de recommandations destinées à guider les professionnels dans le développement de systèmes d’intelligence artificielle (IA) tout en respectant les régulations en vigueur.

Ces directives visent à concilier innovation et protection des données personnelles, répondant ainsi aux préoccupations croissantes des développeurs quant à l’application du RGPD (Règlement général sur la protection des données).

Les recommandations de la CNIL poursuivent plusieurs objectifs clés :

Ces recommandations ont été formulées après une consultation publique impliquant divers acteurs de l’IA, incluant des entreprises, des organismes à but non lucratif, des particuliers et des établissements publics.

Le panel des contributions étaient contribués de 29 organismes à but lucratif, 7 organismes à but non lucratif, 4 particuliers et 3 établissements publics.

Cette collaboration a permis notamment de :

• Affiner le périmètre des recommandations pour qu’elles soient réellement applicables et utiles.
• Préciser les modalités d’utilisation d’outils de moissonnage (web scraping).
• Établir des règles claires pour la réalisation d’analyses d’impact sur la protection des données (AIPD).

En plus du RGPD, l’élaboration de ces recommandations a également pris en compte les directives de l’AI Act. Pour rappel, l’AI Act, ou loi du l’IA est une proposition législative de l’Union Européenne visant à réguler l’utilisation de l’intelligence artificielle afin de garantir qu’elle soit sûre et respectueuse des droits fondamentaux. Approuvée le 13 février 2024, le texte propose une classification des systèmes d’IA en fonction de leur niveau de risque (inacceptable, élevé, limité, et minimal) et impose des exigences strictes pour les IA considérées comme à haut risque. La CNIL s’est assurée que ses recommandations soient alignées avec ce futur règlement offrant ainsi aux développeurs une base solide pour anticiper et se conformer aux prochaines obligations légales.

Les recommandations s’appliquent spécifiquement aux systèmes d’intelligence artificielle traitant des données à caractère personnel, englobant :

• Les systèmes basés sur l’apprentissage automatique (machine learning).
• Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (« general purpose AI »)
• Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en utilisant des données d’utilisation pour son amélioration

Actuellement, sept fiches pratiques (voir plus loin) couvrent la phase de développement des systèmes d’IA, avec des extensions prévues pour les phases de déploiement ultérieures.

Ces recommandations se concentrent spécifiquement sur la phase de développement des systèmes d’IA, sans aborder la phase de déploiement.

La phase de développement englobe toutes les étapes préparatoires avant le déploiement du système d’IA. Cela inclut la conception du système, la constitution de la base de données et la phase d’apprentissage.

(source : Fiche de traitement d’IA, CNIL)

Les recommandations de la CNIL reposent sur les principes suivants qui par ailleurs font l’objet d’une fiche pratique.

Identifier la réglementation de protection des données pertinente (régime général : RGPD / régime spécial : régime « police-justice », de défense nationale, etc.).

La réalisation d’un traitement (exemple : constitution d’une DB) de données personnelles doit nécessairement poursuivre une finalité déterminée, explicite et légitime.

Identifier les acteurs réalisant le traitement et qualifier juridiquement le rôle de chacun.

Déterminer la base légale sur laquelle repose la réalisation du traitement, ainsi que les obligations des acteurs en fonction de leur qualification juridique

Précision sur les obligations des acteurs concernant les traitements réalisés à l’aide de données réutilisées

Recommandations sur l’évaluation de la nécessité de réaliser une AIPD, et sur les risques et mesures à prendre en compte

Comment mettre en œuvre un développement respectant la notion de Privacy by Design pour les systèmes d’IA. Analyse de :

• L’objectif du système
• Les méthodes de mise en place
• Les sources de données
• La minimisation des données
• La validité des choix (étude pilote, comité éthique, etc.)

Comment assurer la conformité aux normes de protection des données dans le cadre de l’entrainement d’une IA. Analyse des méthodes de :

• Collecte des données
• Nettoyage et identification des données pertinentes
• Suivi, mise à jour et conservation des données
• Sécurisation
• Documentation des procédures et process

Pour aider les professionnels à mettre en œuvre ces principes de manière concrète et efficiente, la CNIL a émis les fiches pratiques évoquées antérieurement. Ces fiches se concentrent spécifiquement sur la phase de développement des systèmes d’IA impliquant le traitement de données à caractère personnel et soumis au RGPD. Elles ne couvrent pas pour le moment la phase de déploiement.

Les objectifs de ces fiches sont multiples :

• Accompagnement des professionnels : Elles sont conçues pour assister les professionnels ayant des profils variés, qu’ils soient délégués à la protection des données, juristes, ou techniciens spécialisés ou non en IA.
• Cadre de conformité : Adoptées après une consultation publique, ces fiches rappellent les obligations imposées par la réglementation et formulent des recommandations pour s’y conformer. Elles constituent un cadre de référence pour aider les organismes dans leur mise en conformité.
• Flexibilité et bonnes pratiques : Ces recommandations ne sont pas contraignantes, elles permettent aux responsables de traitement de s’en écarter, à condition de pouvoir justifier leur choix sous leur responsabilité. Certaines recommandations sont également présentées comme de bonnes pratiques permettant d’aller au-delà des exigences réglementaires.

En émettant ces fiches, la CNIL vise à simplifier l’application des bonnes pratiques de protection des données dès la conception des systèmes d’IA (Privacy by Design). Elles offrent des ressources claires et opérationnelles pour les développeurs et les entreprises, facilitant ainsi la conformité tout en permettant l’innovation responsable.

Et ce n’est pas fini ! La CNIL travaille d’ores et déjà sur de nouvelles fiches concernant les phases de conception et entrainement des modèles dans le respect du RGPD : récupération de données sur internet ; comment mobiliser l’intérêt légitime comme base légale, exercice des droits d’accès, de rectification et d’effacement ; recours ou non à des licences ouvertes…

Accès au dossier complet de la CNIL : https://www.cnil.fr/fr/ia-la-cnil-publie-ses-premieres-recommandations-sur-le-developpement-des-systemes-dintelligence

Pour toute question ou pour en savoir plus sur la mise en œuvre de ces recommandations, n’hésitez pas à contacter les experts de Cinalia.