"Pour un usage de l’IA respectueux des données personnelles", c’est ainsi que la Commission nationale de l'informatique et des libertés (CNIL) intitule une première série de sept recommandations pratiques à destination des acteurs de l’IA, en date du 8 avril 2024.
"Ces recommandations concernent la phase de développement de systèmes d'IA et non celle de déploiement" précise la Commission et "se limitent aux traitements de données soumis au règlement général sur la protection des données (RGPD)".
Quelles recommandations ?
Les sept fiches, présentées dans un premier volet sous une forme succincte, abordent différents aspects sensibles en matière de protection des données personnelles, tant d'un point de vue technique que juridique. Elles doivent permettre aux acteurs de l'IA de s'assurer que les systèmes IA, dans leur phase de conception et de développement, soient en conformité avec les points d'attention du RGPD :
- le régime juridique applicable : RGPD, régime spécifique aux secteurs "police-justice", régime concernant la Défense nationale ou la sûreté de l’État ;
- la finalité : s’assurer que, dès le stade du projet, l’objectif du programme soit clairement défini, explicite et compatible avec les missions de l’organisme et qu’il justifie le recours à des données personnelles ;
- la qualification juridique des fournisseurs de système d’IA (responsable de traitement, responsable conjoint, sous-traitant) ;
- la légalité des procédures de traitement des données personnelles, qu’il s’agisse de données provenant directement de personnes ou de données collectées à partir de sources ouvertes sur internet ;
- la réalisation d’une étude d’impact des risques pour les droits et libertés des personnes ;
- la bonne conception du système en matière de protection des données ;
- la protection des données dans la collecte et la gestion des données (par exemple, toutes les données collectées sont-elles pertinentes par rapport aux objectifs poursuivis ?).
Dans une prochaine étape, une autre série de fiches devrait porter sur la notion d'intérêt légitime, la gestion des droits, l'information des personnes.
Un guide des bonnes pratiques à l'étape de la conception des projets d'IA
La CNIL attire notamment l'attention sur les techniques employées en amont dans la phase de développement d'un système d'IA générative, comme l’apprentissage automatique ("apprentissage continu").
Deux situations d'utilisation de données personnelles sont envisagées :
- lorsque la base de données IA comporte des données personnelles (vidéos, enregistrements de voix, données personnelles structurées…) ;
- lorsque ces données figurent possiblement dans la base (présence résiduelle de personnes, plaques d’immatriculation, images, citation de prénoms, adresses...) et qu'elles n’ont pas été préventivement anonymisées.
Ces recommandations ne sont pas contraignantes pour les utilisateurs. Il s'agit davantage de bonnes pratiques qui permettent de se mettre en accord avec le RGPD.
