Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Pour la CNIL, le développement d’IA peut « souvent » s’appuyer sur l’intérêt légitime

Circulez, y a pas grand chose à contrôler

Pour la CNIL, le développement d’IA peut « souvent » s’appuyer sur l’intérêt légitime

La CNIL a publié ce jeudi 19 juin de nouvelles recommandations sur le développement des systèmes d'intelligence artificielle. Notamment, l'autorité précise dans quelles conditions elle considère que l’intérêt légitime est une base légale possible.

Le 20 juin à 10h24

La base légale de l'« intérêt légitime », c'est un peu le graal pour une entreprise qui veut utiliser des données d'utilisateurs européens sans avoir à leur demander l'autorisation avant. Par exemple, Meta s'appuie sur celle-ci pour justifier l'utilisation des données des utilisateurs de Facebook pour entrainer ses IA.

Cet intérêt légitime est encadré depuis 2016 par l'article 6 du RGPD, comme cinq autres bases légales permettant de traiter des données, dont le consentement. Mais la mise en place massive de systèmes d'IA générative depuis le succès de ChatGPT a attisé les volontés d'aller chercher par tous les moyens le plus de données possible. En décembre dernier, le Contrôleur européen de la protection des données (CEPD, organisme qui rassemble toutes les autorités de protection des données européennes) a publié un avis précisant sa vision de l'encadrement de cette base légale.

La CNIL plutôt d'accord sur l'utilisation de l'intérêt légitime

Cependant, les pays de l'Union européenne et leurs autorités de protection des données ne sont pas complètement alignés. Ainsi, la CNIL a publié ce jeudi 19 juin, après consultation de divers acteurs, deux nouvelles recommandations qui précisent les conditions pour recourir à l’intérêt légitime, notamment en cas de moissonnage.

Dans une première fiche, la CNIL affirme sans ambages que cette base légale est « souvent adaptée pour fonder le développement, par des organismes privés, de systèmes d’IA, notamment quand la base de données utilisée ne repose pas sur le consentement des personnes (souvent complexe à collecter à grande échelle ou en cas de collecte indirecte) ».

Elle y met cependant quelques conditions, mais celles-ci sont larges et demandent l'interprétation de l'entreprise qui met en place le traitement des données.

L'intérêt légitime doit être... légitime

La première de ces conditions est une tautologie, puisque l'autorité demande à ce que : « l’intérêt poursuivi [soit] "légitime" ». Ici, elle veut rappeler que « l’intérêt poursuivi, bien qu’étroitement lié à la finalité du traitement, ne doit pas être confondu avec elle ». Pour l'autorité, « le caractère légitime de l’intérêt peut s’entendre largement », mais elle indique qu'il peut être présumé s'il est « à la fois :

  • manifestement licite au regard du droit ;
  • déterminé de façon suffisamment claire et précise ;
  • réel et présent (c’est-à-dire non-hypothétique ou avéré) pour l’organisme concerné. »

Elle y liste des cas dans lesquels les intérêts « pourraient être considérés a priori comme légitimes » :

  • mener des travaux de recherche scientifique (notamment pour les organismes qui ne peuvent pas se fonder sur la mission d’intérêt public) ;
  • faciliter l’accès du public à certaines informations ;
  • développer de nouveaux systèmes et fonctionnalités pour les utilisateurs d’un service ;
  • proposer un service d’agent conversationnel pour assister les utilisateurs ;
  • améliorer un produit ou un service pour augmenter sa performance ;
  • développer un système d’IA permettant de détecter des contenus ou comportements frauduleux.

Mais elle ajoute qu'un « intérêt commercial constitue un intérêt légitime pour autant qu’il ne soit pas contraire à la loi et que le traitement soit nécessaire et proportionné ».

Elle s'oppose par contre à l'utilisation de cette base légale « quand le système d’IA envisagé n’a aucun lien avec la mission et l’activité de l’organisme ou si celui-ci ne peut pas être déployé légalement ».

Beaucoup d'exemples, mais une position peu précise

La deuxième des conditions posées par la CNIL pour utiliser cette base légale est que le traitement doit être nécessaire. En bref, si on peut faire autrement pour arriver au même résultat, le traitement ne peut pas s'appuyer sur l'intérêt légitime.

Enfin, la troisième condition est le fait de « s’assurer que l’objectif poursuivi ne menace pas les droits et libertés des individus ». L'autorité demande aux entreprises d' « opérer une mise en balance entre les droits et intérêts en cause ». Elles doivent identifier aussi les potentielles « incidences négatives sur les personnes ».

La CNIL donne dans ce texte beaucoup d'exemples pour illustrer sa position comme celui-ci :

Exemple : un article de presse généré par un système d’IA est susceptible de présenter des informations diffamatoires sur une personne réelle, bien que la base de données ne contienne pas d’informations sur cette personne, notamment lorsque le texte a été généré à la demande d’un utilisateur qui précise l’identité de la personne concernée dans le prompt.

Si l'évocation de cas concrets permet de se faire une idée, elle laisse aux entreprises le soin d'interpréter la position de l'autorité.

Un focus sur le scraping

Une seconde fiche de l'autorité se concentre sur « les mesures à prendre en cas de collecte des données par moissonnage (web scraping) ».

Ici, l'autorité rappelle les mesures obligatoires prévues par le RGPD concernant le principe de minimisation des données : « définir, en amont, des critères précis de collecte ; exclure de la collecte certaines catégories de données lorsqu’elles ne sont pas nécessaires [...] ; veiller à supprimer les données non pertinentes qui auraient pu être collectées malgré ces critères immédiatement après leur collecte [...] ; exclure de la collecte les sites qui s’opposent clairement au moissonnage de leur contenu [...] ».

Elle y ajoute que « le responsable du traitement doit limiter l’atteinte aux droits et libertés des personnes, en tenant compte notamment de leurs attentes raisonnables ».

La CNIL considère que, aujourd'hui et « compte tenu des évolutions technologiques des dernières années (big data, nouveaux outils d’IA, etc.) », les utilisateurs « peuvent avoir conscience que les données qu’elles publient en ligne sont susceptibles d’être consultées, collectées et réutilisées par des tiers ».

L'autorité atténue cette position en expliquant que les utilisateurs ne peuvent « s’attendre à ce que de tels traitements aient lieu dans toutes les situations et pour tous les types de données accessibles en ligne les concernant ». Elle demande aux entreprises qui scrappent le web pour récolter des données de « tenir compte » du caractère publiquement accessible des données, de la nature des sites web sources, des restrictions que ces sites imposent, par exemple dans les CGU, du robots.txt ou de l'existence d'un CAPTCHA, du type de publication, ou encore de la nature de la relation entre la personne concernée et le responsable du traitement.

Commentaires (18)

votre avatar
Ils servent à quoi à la CNIL ? Sérieusement ?
votre avatar
À contrôler trois pelés et un tondu par an.

Et à s´en féliciter aussi.

C´est tout.
votre avatar
C'est quand même dommage de ne pas avoir listé nominativement les contributeurs
votre avatar
On voit très clairement la patte politique du "faut pas trop réguler l'IA sinon on sera à la traîne".
Ça va être drôle les débats au niveau européen.
votre avatar
SI j'ai bien compris, intérêt légitime dans quasi tous les cas vu le « intérêt commercial constitue un intérêt légitime pour autant qu’il ne soit pas contraire à la loi et que le traitement soit nécessaire et proportionné »

Les entreprises vont pas se gêner à aller en dehors du chemin tout tracé.
votre avatar
Ouaip.

De la même manière que pendant que des cyclistes normaux ne passaient pas les barrages de policiers armés jusqu'aux dents pendant les manifestations contre la réforme des retraites, les livreurs précaires exploités de bouffe à vélo passaient, eux.

Tant que nous ne comprendront pas que le capitalisme libéral use des mêmes procédés, de la même mécanique, et est tout à fait compatible voire fait carrément le lit d'un fonctionnement autoritaire au niveau de la société, et que nous n'avons rien à y gagner en tant que Nation, nous continuerons à laisser des exceptions au droit pour l'économie, et les ravages consécutifs aux évolutions majeures apportées au droit il y a une à deux décennies sont bien présents aujourd'hui.

Quand l'économie passe avant les considérations sociales, elle les élimine.
Les priorités étaient différentes, il n'y pourtant pas si longtemps (toutes proportions gardées).
votre avatar
La cnil baisse son froc... Les artistes/auteurs offrent le lubrifiant !
votre avatar
Je ne vois pas le rapport avec la propriété intellectuelle, ce n'est pas le périmètre de compétence de la CNIL.

Le cadre est déjà défini dans ce domaine-là. Il est certes à revoir, mais ses fondations sont là et sont déjà utilisables.
votre avatar
Même pas : "la copie ne peut se destiner à une utilisation collective" selon la loi.
Reste à savoir quel est le nombre de personnes physiques travaillant pour la personne morale pratiquant le scrapping. A partir de 2 ce ne serait pas de la contrefaçon par hasard ?

Quant aux intérêts légitimes évoqués je vois difficilement les Five Families jouir de l'exception pour représentation dans le cercle familial en jouant du putatif. On parlerait plutôt de chantage à la data qui fâche.
« le responsable du traitement doit limiter l’atteinte aux droits et libertés des personnes, en tenant compte notamment de leurs attentes raisonnables ».
GAFAM font bien 5 variations de la même Mafia et c'est tout à fait raisonnable comme constat.
Aussi, que certains admins Européens tendent vers la réussite monopolistique et l'hégémonie du clic de ces merdeux ne doit pas faire obstacle à la protection efficace des personnes au motif d'un chauvinisme ou d'un pan-marketing qui sont les causes les plus probables de ces déclarations incohérentes et de la misère réelle du numérique contemporain.
votre avatar
A supprimer
votre avatar
Ça fait la même chose quand tu n'es pas dans la fenêtre pour signaler une erreur. Ça doit être une fonctionnalité de WordPress.

Je ne vois pas le rapport avec l'abonnement, mais comme on dit : qui veut tuer son chien l'accuse de la rage.
votre avatar
A supprimer
votre avatar
té, si je ne m'abonnais qu'à des services absolument dépourvus de tout bug, je dépenserais sans doute pas grand chose...

ce bug n'avait pas été identifié à ma connaissance, on va s'efforcer de le corriger, merci.

edit : dans ce cas de figure, le sarcasme est permis bien sûr, mais nous prévenir direct pour accélérer la résolution, c'est cool aussi :santa_flock:
votre avatar
A supprimer
votre avatar
Le meilleur moyen d'accélérer la correction de bug : s'abonner pour aider à financer le développement.

C'est facile de se plaindre et donner des ordres sinon.
votre avatar
Et sinon, le contenu de ce que tu peux lire, il est bien ou pas ?

Parce qu'un site d'info, c'est surtout le contenu. Nous sommes un certain nombre à trouver que les bugs restant sont acceptables.
Il y a un moment où l'arbitrage est vite fait entre développer du code pour l'activité de Moji qui fait rentrer de l'argent et qui permet de compléter les rentrées liées aux abonnements insuffisantes de next et corriger les bugs qui ne sont pas jugés importants.
votre avatar
A supprimer
votre avatar
Ça fait tellement attention whore...

"On corrige pas les bugs que je signale, vous étonnez pas si les gens s´abonnent pas." Mais WTF???

"Tu veux me demander pourquoi je suis pas abonné?" (sic) Non. Tout le monde s´en fout. "Parce que blablabla." :roll:

Puis le laïus "je suis pauvre et humilié".

Puis "j'ai été abonné 10 ans."

Purée mais... Vous voulez pas aussi nous parler de votre zona? Qui sait, ça pourrait finir par vous attirer la sympathie de quelqu'un.

(Désolé, c´est probablement très sec. C´est tout ce que cette succession de messages m´inspire.)

Pour la CNIL, le développement d’IA peut « souvent » s’appuyer sur l’intérêt légitime

  • La CNIL plutôt d'accord sur l'utilisation de l'intérêt légitime

  • L'intérêt légitime doit être... légitime

  • Beaucoup d'exemples, mais une position peu précise

  • Un focus sur le scraping

Fermer