La CNIL publie des fiches pratiques concernant les intelligences artificielles et le respect des données personnelles à l'adresse notamment des créateurs de ces outils.
La régulation de l'intelligence artificielle est un sujet dont plusieurs institutions veulent s'emparer alors qu'une partie des entreprises du secteur considère l'IA générative comme la « next big thing » du numérique pour les années à venir.
En septembre, la présidente de la CNIL, Marie-Laure Denis, vantait l'expertise de son institution sur ces enjeux devant la commission des lois de l'Assemblée nationale. Un mois plus tard, la CNIL met en ligne des fiches pratiques pour guider l'usage de l'IA et expliquer les précautions à prendre concernant les données personnelles.
Si la publication de ces fiches s'inscrit dans une temporalité où l'IA générative est très mise en avant, elles concernent l'intelligence artificielle en général, aussi bien pour les différents systèmes reposant sur l'apprentissage (supervisé ou non, ou par renforcement) que pour tous les systèmes déterministes (programmation inductive, systèmes experts, raisonnement symbolique, moteurs d'inférence et de déduction, systèmes fondés sur les bases de connaissance). En fait, elles concernent tout système d'IA qui utilise des données comme base de connaissances, que ça soit par « apprentissage », par bases de connaissances ou par relations entre concepts (ie : les ontologies).
L'Autorité, loin de s'opposer à l'utilisation de ces outils, réaffirme « la compatibilité des recherches et développements en IA avec le RGPD, à condition de ne pas franchir certaines lignes rouges et de respecter certaines conditions ». Avec ces fiches, elle veut « accompagner » les entreprises qui veulent s'emparer de ce marché plutôt que d'être dans une position d'infliger des sanctions.
Ce choix est en partie dû au manque de moyens actuel de la CNIL pour auditer et contrôler ces acteurs, comme le laissait transparaître le discours de Marie-Laure Denis devant les députés, pour qui « il faut disposer de moyens, développer une expertise particulière et définir une méthodologie. Il nous faut un outillage permettant d’auditer les systèmes d’IA, tant a priori qu’a posteriori ».
7 fiches de réponses concrètes pour rassurer
Si la CNIL n'a pas encore le budget pour contrôler les acteurs de l'IA, ces fiches pratiques pour accompagner celles qui veulent respecter le cadre juridique sont assez complètes et leur permettent de faire un tour assez exhaustif des questions qu'ils devront se poser en ce qui concerne les données personnelles.
La CNIL explique que les échanges qu'elle a eus ces derniers mois avec les différents acteurs « ont fait remonter des inquiétudes : selon certains, les principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte résultant du RGPD freineraient voire empêcheraient certaines recherches ou applications de l’intelligence artificielle ».
Elle explique répondre, aves ces fiches, à ces objections « en confirmant la compatibilité des recherches et développements en IA avec le RGPD, à condition de ne pas franchir certaines lignes rouges et de respecter certaines conditions ».
Les fiches ont été élaborées après une série de rencontres des acteurs publics et privés. La CNIL a aussi ouvert une consultation sur ces fiches pour permettre à d'autres acteurs de proposer des améliorations. Un formulaire [ODT] peut être renvoyé au service IA de l'autorité avant le 16 novembre 2023.
L'idée de ces fiches est de prendre les acteurs par la main en leur indiquant comment « déterminer le régime juridique applicable » à leur projet, définir sa finalité, déterminer leur qualification juridique et s'assurer que le traitement est licite.
Une fiche est aussi destinée à expliquer comment réaliser une analyse d'impact sur la protection des données si elle est nécessaire. Et les deux dernières fiches donnent des conseils à prendre en compte lors de l'élaboration du système et de la collecte des données. Elles se limitent au cadre du RGPD et donc ne traitent pas de cas spécifiques comme la sûreté de l'État ou la Défense.
Des cas pratiques
Pour ne pas laisser le lecteur seul devant des concepts juridiques qui sont parfois abstraits, la CNIL illustre ses explications de cas concrets. Une bonne partie des fiches est composée de cas d'usage, d'exemples ou d'explications de ce qu'il faut faire « en pratique ».
La CNIL propose même des contre-exemples dans ces fiches, ce qui permet de mieux comprendre ce qu'il ne faut pas faire. Elle rappelle aussi les cas particuliers comme l'entrainement à des fins de recherche scientifique qui est une exception dans le RGPD.
D'autres fiches d'accompagnement en vue
L'autorité ne prévoit pas de s'arrêter sur le chemin de l'accompagnement des acteurs de l'IA. Elle prévoit de publier d'autres fiches et notamment sur la base légale de l’intérêt légitime, la gestion des droits et l’information des personnes concernées lors de la phase de développement.
Commentaires (2)
#1
J’en connais un ici qui va être content :)
#2
L9omlklklokllollkoo OK,olollopllp.oooll.ollllpplolollll