IA : la CNIL publie ses premières recommandations sur le développement des systèmes d’intelligence artificielle
A l’issue d’une consultation publique, la CNIL publie ses premières recommandations sur l’évolution des systèmes de sécurité.intelligence artificielle. Ils doivent aider les professionnels à concilier innovation et respect des droits des personnes pour le développement innovant et responsable de leurs systèmes d’IA.
Concilier le développement des systèmes d’IA avec les enjeux de protection de la vie privée
De nombreux acteurs s’interrogent auprès de la CNIL sur l’application du Règlement Général sur la Protection des Données (RGPD) à l’intelligence artificielle (IA), notamment depuis l’émergence des systèmes d’IA générative (« Systèmes d’IA générative « ). En mai 2023, la CNIL publie son « plan IA » et lance d’importants travaux de clarification du cadre juridique afin de sécuriser les parties prenantes.
L’analyse de ces systèmes montre que leur développement est compatible avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra l’émergence de dispositifs, d’outils et d’applications éthique et fidèle aux valeurs européennes.
C’est à cette condition que les citoyens feront confiance à ces technologies. Pour ce faire, il est important que les acteurs disposent d’éléments clairs et pratiques pour éclairer les décisions stratégiques sur le développement ou l’utilisation de l’IA qu’ils devront prendre dans les mois à venir.
Les premières recommandations de la CNIL
Pour un usage de l’IA respectueux des données personnelles
Pour clarifier les règles applicables en la matière, la CNIL publie aujourd’hui une première série de recommandations pour une utilisation d’une IA respectueuse des données personnelles.
Ces recommandations de la CNIL servent à accompagner les acteurs de l’écosystème de l’IA dans leurs démarches de mise en conformité avec la législation sur la protection des données personnelles. Ils apportent des réponses concrètes, illustrées d’exemples, aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA. Les points abordés dans ces premières recommandations permettent notamment de :
- déterminer le régime juridique applicable ;
- définir un objectif ;
- déterminer la qualification juridique des acteurs ;
- définir un base légale ;
- effectuer des tests et des vérifications en cas de réutilisation des données ;
- réaliser une analyse d’impact si nécessaire ;
- prendre en compte la protection des données lors des choix de conception du système ;
- prendre en compte la protection des données dans la collecte et la gestion des données.
Afficher les recommandations
7 fiches de recommandations officielles
La CNIL propose également un résumé de ses recommandations afin de rappeler les grands principes et de permettre à toutes les parties prenantes pour l’appliquer à leurs projets.
Consulter le résumé des recommandations
Un document pour tout comprendre
Recommandations élaborées en consultation avec les parties prenantes de l’IA
Ces recommandations ont été élaborées après une série de réunions avec des acteurs publics et privés pour recueillir leurs questions sur le sujet ainsi qu’une consultation publique de deux mois. Les parties prenantes (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.) ont ainsi pu s’exprimer et permettre à la CNIL de proposer des recommandations au plus près de leurs interrogations et de la réalité des usages de l’IA.
Lors de la consultation publique, 43 contributions ont été reçues par la CNIL, auprès de différents acteurs de l’écosystème de l’IA :
- 29 organismes à but lucratif dans des secteurs variés (IA, finance, santé, aéronautique, opérateurs de plateformes en ligne, publicité en ligne, jeux vidéo, etc.) ;
- 7 organisations à but non lucratif (association représentative de la société civile, institut de recherche, groupe de réflexionetc.) ;
- 4 personnes ;
- 3 établissements publics.
Les contributions reçues par la CNIL ont permis d’enrichir et de consolider les recommandations, publiées dans leur version finalisée. Plusieurs précisions et modifications ont donc été apportées, par exemple sur la portée des recommandations et leur articulation avec le projet de règlement IA, l’utilisation d’outils de récolte (scraping Web)réaliser une analyse d’impact sur la protection des données (DPIA), etc.
Ils ont également soulevé des questions structurantes (information des personnes, conditions à remplir pour mobiliser la base juridique de l’intérêt légitime, exercice des droits des personnes, etc.) que la CNIL abordera dans ses prochaines publications.
La CNIL fournit une synthèse des contributions ainsi que des éléments de réponse aux questions posées par les contributeurs.
Lire la synthèse des contributions
Les prochaines étapes
Dans les mois à venir, la CNIL complétera ces premières recommandations par d’autres fiches portant notamment sur le fondement juridique de l’intérêt légitime, la gestion des droits, l’information des personnes concernées, l’annotation et la sécurité lors de la phase de développement. Ces travaux feront également l’objet d’une consultation publique.
Visualiser au format PDF