Alors que le Sommet pour l’action sur l’IA bat son plein (avec deux grosses journées aujourd’hui et demain), la CNIL a publié vendredi ses deux « nouvelles recommandations pour accompagner une innovation responsable ».

Elles viennent s’ajouter aux autres recommandations et proposent, selon la Commission nationale de l'informatique et des libertés, « des solutions concrètes pour informer les personnes dont les données sont utilisées et faciliter l’exercice de leurs droits ».

• Sommet pour l’action sur l’IA : quels sont les enjeux ?
• Intelligence artificielle : la CNIL veut (re)concilier « innovation et respect des droits »

Informer les personnes… dans la mesure du possible

« Lorsque des données personnelles servent à l’entraînement d’un modèle d’IA et sont potentiellement mémorisées par celui-ci, les personnes concernées doivent être informées », souligne la première recommandation.

La CNIL précise le périmètre de ce qu’elle entend par « informer », et passe rapidement d’une phrase simple à quelques exceptions. Les modalités d’information peuvent ainsi « être adaptées en fonction des risques pour les personnes et des contraintes opérationnelles ».

La CNIL rappelle que le Règlement européen permet, dans certains cas, « de se limiter à une information générale (par exemple, sur le site web de l’organisme) ». Par exemple, lorsque les modèles d’IA utilisent des sources tierces et que « le fournisseur n’est pas en capacité de contacter individuellement les personnes ».

Et si jamais le modèle utilise de nombreuses sources (c’est le cas des grands modèles), « une information globale, indiquant par exemple des catégories de sources, voire le nom de quelques sources principales, est généralement suffisante », indique la CNIL. Une page dédiée aux obligations concernant l’information aux personnes est disponible par ici.

Données personnelles : « best effort » sur les droits

La seconde recommandation sonne comme un rappel : « La règlementation européenne prévoit des droits d’accès, de rectification, d’opposition et d’effacement des données personnelles ». Précisons que ces droits sont applicables aussi bien sur les bases de données d’apprentissage que sur les modèles d’IA en eux-même, du moins s’ils ne sont pas considérés comme anonymes.

La CNIL rappelle, en effet, que « certains modèles d’IA sont anonymes : ils n’ont pas à appliquer le RGPD. Mais d’autres modèles, comme le modèle de langage (LLM), peuvent contenir des données personnelles ».

Avec la quantité phénoménale de données ingurgitée par les IA (génératives) on se rend vite compte que la gestion des droits des utilisateurs sur les données personnelle est plus facile à dire qu’à faire. Face à cette problématique, la CNIL propose de mettre en place des « solutions réalistes et proportionnées afin de garantir les droits des personnes sans empêcher l’innovation en matière d’intelligence artificielle ».

La CNIL passe ainsi en mode best effort et « demande aux acteurs de faire tous leurs efforts pour prendre en compte la protection de la vie privée dès le stade de la conception du modèle ». L’histoire récente et l’actualité tendent à montrer le contraire, au moins sur les gros modèles américains et chinois (OpenAI et DeepSeek en tête) : les modèles se goinfrent généralement du maximum de données qu’ils peuvent trouver.

Quoi qu’il en soit, la Commission demande aux acteurs de « porter une attention particulière aux données personnelles présentes dans les bases d’entraînement : en s’efforçant de rendre les modèles anonymes, lorsque cela n’est pas contraire à l’objectif poursuivi ; et en développant des solutions innovantes pour empêcher la divulgation de données personnelles confidentielles par le modèle ».

• IA et respect de la vie privée : la CNIL veut accompagner avant de contrôler

De possibles « exceptions » à l’exercice des droits

La CNIL précise d’autres limitations : « le coût, l’impossibilité ou les difficultés pratiques pourront parfois justifier un refus d’exercice des droits ; lorsque le droit doit être garanti, la CNIL prendra en compte les solutions raisonnables à la disposition du créateur du modèle et les conditions de délai pourront être aménagées ».

Elle demande aux responsables de traitement de bien vérifier auprès des personnes exerçant leurs droits le motif de leur demande (données d’entraînement et/ou modèle d’IA) et de répondre de manière détaillée. Par exemple, « cela est particulièrement important lorsque la modification de leurs données dans les jeux d’entrainement n’est pas répercutée (ou du moins pas immédiatement) dans le modèle ou système d’IA déjà développé ».

À contrario, il existe des scénarios ou la conservation des données d’identification n’est pas nécessaire. Par exemple, si des personnes ont bien été informées que « l’effacement des données mémorisées par le modèle d’IA sera impossible ».

Le mot du jour : « anonymat »

La CNIL termine par un rappel d’une bonne pratique : « les solutions techniques aujourd’hui disponibles n’étant pas satisfaisantes dans tous les cas où un modèle est soumis au RGPD, la CNIL invite en priorité les fournisseurs à anonymiser les données d’entrainement ou, à défaut de pouvoir le faire, à s’assurer que le modèle d’IA est anonyme à l’issue de son entrainement ».

Dans tous les cas, la Commission en profite pour rappeler que la recherche avance rapidement et demande donc aux acteurs de se tenir informés des évolutions afin de « protéger au mieux les droits des personnes ». Là encore, une page dédiée a été mise en ligne.