La CNIL a publié ses premières recommandations sur l’application du RGPD dans le cadre du développement des systèmes d’intelligence artificielle (IA) à destination des professionnels.
Adoption de l’IA Act
L’Europe a franchi une étape importante dans la régulation de l’intelligence artificielle avec l’IA Act[1]. En attendant l’adoption définitive et la publication officielle de ce texte, les principales règles posées ont déjà fait l’objet d’une large diffusion[2]. Elles visent à établir un cadre juridique harmonisé pour le développement et l’utilisation de l’IA, tout en assurant la protection des droits fondamentaux et la sécurité des utilisateurs. Ainsi, l’IA Act impose essentiellement des exigences strictes pour les systèmes d’IA à haut risque, encourage la transparence des systèmes d’IA peu risqués, et interdit certaines pratiques considérées comme inacceptables, telles que la manipulation comportementale ou la surveillance de masse.
Le traitement de données à caractère personnel au cœur des systèmes d’intelligence artificielle
Le nouveau règlement devra s’articuler avec la réglementation sur la protection des données, et notamment le RGPD[3]. Ce sujet revêt une importance particulière, la donnée étant au cœur des systèmes d’IA, tant au stade de leur élaboration que de leur utilisation.
La CNIL, qui sera également l’autorité compétente en matière de régulation au titre de l’IA Act, est particulièrement active sur le sujet de l’intelligence artificielle. Elle a ainsi créé dès janvier 2023 un service dédié pour renforcer son expertise sur ces systèmes et sa compréhension de leurs risques pour la vie privée [4].
C’est dans le cadre de cette mission que la CNIL a publié le 8 avril 2024, sous forme de fiches pratiques, ses premières recommandations sur l'application du RGPD au développement des systèmes d'intelligence artificielle[5] .
Les recommandations de la CNIL pour respecter le RGPD
Ces recommandations concernent la phase de développement des systèmes d'IA impliquant un traitement de données personnelles, et non leur usage ou leur déploiement au sein des entreprises. Elles s'appliquent aux systèmes fondés sur l'apprentissage automatique (machine learning), qu'ils soient à usage spécifique ou général, et qu'ils soient entraînés une fois pour toutes ou de façon continue, par exemple en utilisant des données d’utilisation pour leur amélioration.
Les recommandations de la CNIL s’articulent autour de sept étapes que les développeurs de système d’IA devraient respecter pour être en conformité avec le RGPD :
- (i) Définir une finalité ou un objectif pour le système d'IA : un système d'IA reposant sur l'exploitation de données personnelles doit être développé avec une finalité, c'est-à-dire un objectif bien défini, déterminé, explicite et légitime. Cela permet de délimiter les données personnelles que l'on va pouvoir utiliser pour l'entraînement, afin de ne pas stocker et traiter des données inutiles.
- (ii) Déterminer ses responsabilités : si des données personnelles sont utilisées pour le développement de systèmes d'IA, le développeur doit déterminer s’il est responsable de traitement, sous-traitant (s’il traite les données pour le compte d’un tiers) ou responsable conjoint du traitement (s’il détermine les finalités et moyens de traitement avec d’autres organismes). La CNIL note à cet égard que le règlement européen sur l'IA définit également d'autres rôles, comme le fournisseur, l'importateur, le distributeur et l'utilisateur du système d'IA sur lesquels la CNIL devrait donner ultérieurement son éclairage.
- (iii) Définir la base légale du traitement des données par l’IA : le RGPD liste six bases légales possibles, induisant des droits et obligations variables : le consentement, le respect d'une obligation légale, l'exécution d'un contrat, l'exécution d'une mission d'intérêt public, la sauvegarde des intérêts vitaux, la poursuite d'un intérêt légitime. Sur ce sujet, bien que le CNIL indique que le consentement soit le plus souvent la base légale la plus appropriée, elle reconnaît les difficultés inhérentes à l’utilisation de cette base légale et envisage clairement la possibilité de recourir à l’intérêt légitime.
- (iv) En cas de réutilisation des données, effectuer les tests et vérifications nécessaires : si le développement du système d’IA implique la réutilisation d’une base de données à caractère personnel, ce qui sera souvent le cas en pratique, cette réutilisation doit être licite au regard de l’article 6.4 du RGPD. Le responsable de traitement doit ainsi déterminer si ce traitement ultérieur est compatible avec la finalité pour laquelle les données ont été initialement collectées. L’obligation d’effectuer ce « test de compatibilité » s’applique aux traitements ultérieurs de données, au sens de l'article 6.4 du RGPD[6].
- (v) Minimiser les données personnelles : la CNIL reconnaît que le principe de minimisation n’interdit pas d’entraîner un algorithme avec des volumes très importants de données. Cependant les données personnelles collectées et utilisées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de l'objectif défini. Ce principe de minimisation doit être appliqué de manière rigoureuse lorsque les données traitées sont sensibles. Il convient ainsi de privilégier la technique permettant d'atteindre le résultat recherché en utilisant le moins de données personnelles possible, sélectionner les données strictement nécessaires, valider les choix de conception, organiser la collecte et documenter les données utilisées.
- (vi) Définir une durée de conservation : le RGPD impose de définir une durée au bout de laquelle les données doivent être supprimées ou, dans certains cas, archivées. Cette durée doit être déterminée en fonction de l'objectif ayant conduit au traitement de ces données. La CNIL précise notamment que la conservation des données d’apprentissage peut permettre d’effectuer des audits et faciliter la mesure de certains biais. Dans ces cas, la conservation prolongée des données peut être justifiée, sauf si la conservation d’informations générales sur les données suffit.
Réaliser une analyse d'impact sur la protection des données : l'analyse d'impact sur la protection des données (AIPD) est une démarche qui permet de cartographier et d'évaluer les risques d'un traitement sur la protection des données personnelles et d'établir un plan d'action pour les réduire à un niveau acceptable. Elle va notamment conduire à définir les mesures de sécurité pour protéger les données. Il est fortement recommandé de réaliser une AIPD pour le développement de systèmes d'IA, notamment lorsque deux des critères suivants sont remplis :
- des données sensibles sont collectées ;
- des données personnelles sont collectées à large échelle ;
- des données de personnes vulnérables sont collectées ;
- des ensembles de données sont croisés ou combinés ;
- de nouvelles solutions technologiques sont mises en œuvre ou une utilisation innovante est faite.
La position de la CNIL sur le développement des systèmes d’IA est bienvenue bien qu’elle soit loin de répondre à toutes les questions, comme celles de la réutilisation de données publiques, de l’exercice des droits de personnes concernées ou de la qualification juridique des « hallucinations » générées par l’IA générative.
Points clés :
- En parallèle de la publication du règlement sur l’IA, la CNIL a récemment publié ses recommandations sur la protection des données dans le développement des systèmes d’IA.
- Elle apporte de nombreuses précisions bienvenues, même si elle n’aborde pas l’usage de l’IA et son déploiement en entreprise.
- D’autres travaux suivront, pour éclaircir les problématiques en suspens.
Article paru dans Option Finance Innovation le 07/05/2024
[1] Le texte est actuellement en phase finale d’adoption. Il a fait l’objet d’un accord interinstitutionnel. La version de compromis a ensuite été votée par le Parlement européen le 13 mars 2024. Le Conseil de l’Union européenne doit à présent le valider à son tour pour qu’il puisse être publié au JOUE.
[2] Voir sur ce point notre article « Proposition de règlement européen sur l’intelligence artificielle. Comment bien se préparer », Option finance du 11 avril 2023.
[3] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
[4] https://www.cnil.fr/fr/creation-dun-service-de-lintelligence-artificielle-la-cnil-et-lancement-des-travaux-sur-les-bases-de
[5] Délibération n° 2024-011 du 18 janvier 2024 portant adoption d'une recommandation sur l'application du règlement général sur la protection des données au développement des systèmes d'intelligence artificielle
[6]Les traitements ultérieurs sont définis par cet article comme ceux (i) qui n’ont pas été prévus ni portés à la connaissance des personnes concernées lors de la collecte des données, (ii) qui sont effectués par un même responsable de traitement qui décide de réutiliser des données pour une finalité distincte de celle pour laquelle elles ont été collectées, y compris quand il s’agit de les publier sur Internet ou de les partager avec des tiers à des fins de réutilisation pour une autre finalité.
En savoir plus sur notre cabinet d'avocats
CMS Francis Lefebvre est le premier cabinet d’avocats d’affaires français pluridisciplinaire et international.
Véritable institution du monde du droit et des affaires, nous disposons d’une force de frappe internationale de premier plan avec en France 450 avocats dont 110 associés, et dans le monde plus de 5 000 avocats répartis dans plus de 45 pays et de 75 villes.
Partenaire de confiance de nos clients, nous les aidons à relever leurs défis en intervenant à leur côté en conseil, en transactionnel et en contentieux.
Ainsi, nous accompagnons leurs projets, sécurisons leurs transactions et assurons leur défense.
|
|
|
