“Permettre aux entreprises de concilier innovation et respect des droits des personnes” : tel est l’objectif que la CNIL (Commission Nationale de l’Informatique et des Libertés) poursuit avec ses recommandations. Après avoir soumis une première série de fiches pratiques à consultation publique en 2023, à l’issue de laquelle elle a publié le 8 avril dernier ses premières recommandations sur l’application du RGPD au développement des systèmes d’IA, elle lance une nouvelle consultation publique portant sur une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’IA.
Pour la CNIL, le RGPD a vocation à s’appliquer à l’ensemble des traitements de données personnelles, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements relevant du régime spécifique aux secteurs “police-justice” ou du régime intéressant la défense nationale ou la sûreté de l’État.
Les principaux acteurs français de l’IA, qu’il s’agisse d’entreprises, de laboratoires ou encore des pouvoirs publics, rencontrés par la CNIL, ont fait remonter un fort besoin de sécurité juridique mais aussi des inquiétudes liées au RGPD : selon certains, ses principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte freineraient voire empêcheraient certaines recherches ou applications de l’intelligence artificielle. Les 7 premières fiches ont donc abordé ces problèmes et ont également clarifié certaines règles applicables à la recherche scientifique, à la réutilisation de bases de données ou à la réalisation d’analyse d’impact sur la protection des données (AIPD).
Dans la continuité de ces travaux et afin d’apporter des réponses complémentaires aux interrogations partagées par les professionnels, les 7 fiches de cette seconde consultation traitent plusieurs questions majeures d’innovation et de protection :
- L’encadrement du web scraping : le développement des systèmes d’IA nécessite souvent l’accès à des bases de données volumineuses, collectées en ligne. Le web scraping, largement utilisé pour cette collecte, doit être rigoureusement encadré pour respecter les droits des personnes dont les données sont utilisées. La CNIL propose de centraliser un registre volontaire pour améliorer l’information des personnes concernées et faciliter l’exercice de leurs droits ;
- Open source, transparence et collaboration : la publication de modèles d’IA en open source est bénéfique pour la transparence et la collaboration au sein de l’écosystème IA. Elle permet la vérification par les pairs et l’amélioration continue des modèles. Toutefois, cette pratique doit être accompagnée de garanties pour prévenir les utilisations malveillantes et assurer la sécurité des données. La CNIL insiste sur la nécessité de suivre les modèles et leurs évolutions pour permettre une information et un exercice des droits effectifs ;
- Base légale d’intérêt légitime : l’intérêt légitime est souvent mobilisé comme base légale pour le traitement des données personnelles dans le développement de l’IA. Cette base exige une évaluation rigoureuse des risques pour les personnes et la mise en œuvre de conditions spécifiques pour protéger leurs données. La CNIL fournit des éléments concrets pour aider les responsables de traitement à respecter ces exigences, notamment lors de l’utilisation de techniques de web scraping ou de la publication de modèles en open source ;
- Information et exercice du droit des personnes : la CNIL souligne l’importance de placer l’information et l’exercice des droits des individus au cœur des systèmes d’IA qui utilisent des données personnelles. Pour être en conformité, les développeurs doivent informer clairement les personnes concernées sur l’utilisation de leurs données et permettre l’exercice effectif de leurs droits, comme le droit à l’information, à la rectification et à la suppression. La CNIL fournit des directives pour aider à respecter ces obligations et précise les situations où des dérogations sont possibles. Elle aborde aussi les défis posés par les droits individuels face à la nature statistique des IA, en offrant des solutions pour le droit de rectification et de suppression.
Applicabilité du RGPD aux modèles d’IA
La question de l’application du RGPD aux modèles d’IA eux-mêmes se pose, notamment en ce qui concerne la sécurisation des modèles et la protection contre la mémorisation et l’extraction des informations issues de l’entraînement. La CNIL sollicite les avis des professionnels via un questionnaire dédié de cette consultation publique.
Pour la CNIL :
“Le développement de systèmes d’IA est conciliable avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de faire émerger des dispositifs, outils et applications éthiques respectueux des droits et libertés fondamentaux. C’est à cette condition que les citoyens feront confiance à ces technologies”.
Si vous désirez contribuer à ses travaux, la consultation publique est ouverte jusqu’au 1er septembre prochain. Vous pouvez retrouver les 7 fiches soumises à consultation ici et retrouver le formulaire de participation via ce lien.
