Gouvernance
La CNIL publie 7 nouvelles fiches pour rendre l’IA conforme RGPD
Par Thierry Derouet, publié le 11 avril 2024
C’est au terme d’un travail avec des contributeurs externes que la CNIL vient de publier ses fiches pratiques pour aligner la RGPD avec l’IA. Instructif.
La CNIL vient de publier une série de fiches pratiques pour faciliter l’intégration du RGPD dans le développement de l’IA. Ces directives, destinées à favoriser une innovation responsable dans l’espace numérique européen, permettent de mieux appréhender la complexité de la conformité réglementaire et d’aborder sereinement les défis liés à la protection des données.
Des fiches répondant à une consultation publique
Afin de clarifier l’application du Règlement Général sur la Protection des Données (RGPD) à l’intelligence artificielle (IA), la CNIL a lancé son « plan IA » en mai 2023. Cette initiative vise à répondre aux inquiétudes des acteurs du domaine de l’IA générative, qui considèrent parfois le RGPD comme un frein à l’innovation. Cependant, la CNIL rappelle que « les jeux de données utilisés pour l’entraînement des modèles d’IA contiennent fréquemment des données personnelles », ce qui impose une vigilance accrue pour préserver les droits des individus. Grâce à une consultation publique ayant recueilli 42 contributions variées, la CNIL a affiné ses fiches pratiques pour proposer des recommandations concrètes et adaptées, répondant ainsi aux préoccupations des développeurs et des utilisateurs d’IA.
Les contributions ont notamment porté sur des questions comme la portée juridique des fiches, leur relation avec le futur règlement européen sur l’IA, et des clarifications sur des aspects techniques tels que la distinction entre “modèle d’IA” et “système d’IA”, ou encore l’inclusion du processus d’ajustement (fine tuning) dans le champ d’application des recommandations.
D’autres voies possibles si elles sont justifiables
Ces fiches ont pour but de rappeler les obligations légales en matière de protection des données et de proposer des recommandations pour les respecter. Elles soulignent que les responsables de traitement sont libres de suivre ces orientations ou de choisir une autre voie, à condition de pouvoir justifier leurs décisions.
Un alignement avec l’UE
Un point notable est l’effort de la CNIL pour aligner ses fiches avec la proposition de règlement européen sur l’IA, tout en rappelant que le Règlement Général sur la Protection des Données (RGPD) demeure applicable et indépendant de toute future législation spécifique à l’IA. La distinction des phases de développement et de déploiement dans le cycle de vie des systèmes d’IA permet d’identifier plus clairement les différentes obligations légales correspondant à chaque étape.
La CNIL souligne l’inclusion du fine tuning dans le périmètre de ses recommandations. Cette clarification est d’autant plus pertinente que le processus d’ajustement fin est assimilable à des traitements en phase de développement.
La CNIL aborde également les défis posés par la collecte incidente de données sensibles lors de l’emploi de techniques comme le web scraping pour la création de bases de données d’IA, précisant les règles applicables dans de telles situations.
Avec ces fiches pratiques, la CNIL fournit aux acteurs de l’IA des outils essentiels pour naviguer dans le paysage complexe de la protection des données, facilitant ainsi le développement d’une technologie responsable et respectueuse des droits individuels. Cette démarche souligne l’engagement de la CNIL à promouvoir une innovation technologique équilibrée, qui tient compte tant du potentiel de l’IA que de l’importance cruciale de la vie privée.
À LIRE AUSSI :
(7 + 1) fiches qui répondent au besoin d’alignement entre l’IA et le RGPD
Les fiches pratiques publiées par la CNIL ont pour objet d’accompagner les professionnels dans la création de bases de données destinées à l’entraînement des systèmes d’intelligence artificielle (IA), tout en veillant à la conformité avec la législation sur la protection des données personnelles. Elles répondent toutes aux questions des contributeurs.
Fiche introductive — Le périmètre des fiches pratiques sur l’IA
La CNIL a clarifié son périmètre en utilisant la définition de l’IA du Parlement européen dans la proposition de règlement IA. Elle a également inclus l’ajustement (fine-tuning) et l’apprentissage par transfert dans son périmètre, considéré comme des traitements en phase de développement. Les risques de présence de données personnelles dans un jeu de données ont été abordés, et la CNIL a reconnu la difficulté d’être certain qu’aucune donnée personnelle ne figure dans un jeu de données. Enfin, la distinction entre “modèle d’IA” et “système d’IA” a été abordée, mais la CNIL considère que cette distinction n’est pas structurante pour la conformité au RGPD des traitements de données personnelles en phase de développement.
Fiche 1 — Déterminer le régime juridique applicable
Pour donner suite aux contributions reçues, la CNIL a constaté une incompréhension de l’objectif et du périmètre de la fiche, en raison de l’absence de définition de “régime juridique”, de l’absence d’indications sur l’applicabilité du RGPD ou de la directive “police-justice”, et d’une confusion entre les différents cas présentés. En réponse, la CNIL a clarifié la notion de “régime juridique” et ajouté des illustrations supplémentaires pour les systèmes d’IA à usage général. L’objectif de la fiche est d’aider le responsable du traitement à déterminer la réglementation applicable en matière de protection des données lors du développement de systèmes d’IA.
Fiche 2 — Définir une finalité
Les contributeurs ont soulevé des préoccupations concernant les critères de définition de la finalité pour les systèmes d’IA à usage général, certain les trouvant trop flexibles et d’autres trop prescriptifs. La CNIL a reconnu les difficultés et a clarifié les critères dans la version définitive de la fiche 2, tout en précisant la distinction entre les préconisations relevant ou non de l’ordre de la bonne pratique. En ce qui concerne la réutilisation des données de recherche scientifique à d’autres fins, la CNIL a souligné que la réutilisation de données anonymisées ou de modèles sans données personnelles ne pose pas de problème, mais que la réutilisation de données personnelles initialement traitées à des fins de recherche pour des finalités hors recherche n’est légale que pour des finalités compatibles et doit se conformer aux principes du RGPD.
Fiche 3 — Déterminer la qualification juridique des fournisseurs de systèmes d’IA
Plusieurs contributeurs ont demandé une clarification des rôles et qualifications au sens du RGPD en articulation avec la proposition de règlement sur l’IA. La CNIL a ajouté des développements pour clarifier les qualifications d’un “fournisseur de système d’IA” au sens du RGPD et a donné un exemple pour illustrer le cas particulier de l’ajustement d’un modèle (fine-tuning) ayant mémorisé des données personnelles. Certains contributeurs ont estimé que les critères et les exemples de qualification étaient trop prescriptifs. La CNIL a répondu que la qualification juridique des fournisseurs de systèmes d’IA doit se faire au cas par cas et que cette fiche vise à éclairer les indices permettant de mener cette analyse, déjà évoqués dans les lignes directrices 07/2020 du Comité européen de protection des données.
Fiche 4 — Assurer que le traitement est licite
La CNIL précise : “l’usage de l’obligation légale comme base pour l’IA” est conditionné ; “les systèmes d’IA existants peuvent être utilisés pour des obligations légales” si certaines conditions sont remplies. En cas de “traitement incident de données sensibles”, notamment par le web scraping, il est impératif de “minimiser leur collecte et les supprimer rapidement” en cas de collecte accidentelle. Concernant “la réutilisation de bases de données publiques”, la CNIL insiste sur l’évaluation “au cas par cas de la légalité de leur usage”, responsabilisant le “responsable du traitement de vérifier cette licéité”.
Fiche 5 — Réaliser une analyse d’impact si nécessaire
Les contributeurs ont demandé des clarifications sur l’obligation de réaliser une AIPD (Analyse d’Impact relative à la Protection des Données) pour les systèmes à haut risque selon la proposition du règlement sur l’intelligence artificielle (RIA) et sur les modèles provenant de tiers. La CNIL a confirmé qu’une AIPD serait obligatoire pour les systèmes classés à haut risque et a recommandé aux concepteurs de modèles de réaliser une AIPD pour la transmettre aux réutilisateurs. Des précisions ont également été apportées sur les critères nécessitant la réalisation d’une AIPD, telles que les “usages innovants” et les “traitements à grande échelle”, mais sans fournir de seuils exacts.
Fiche 6 — Tenir compte de la protection des données dans la conception du système
Les contributeurs ont soulevé des difficultés à appliquer le principe de minimisation dans le développement d’un système d’IA, notamment en ce qui concerne l’anticipation de l’architecture adéquate avant les tests sur des données. La CNIL a clarifié que le principe de minimisation ne fixe pas de seuil explicite et n’interdit pas la collecte de grands ensembles de données, mais qu’il est important d’anticiper au mieux la collecte de données et de n’utiliser que ce qui est strictement nécessaire. Les méthodes d’apprentissage profond doivent être justifiées et réservées aux cas où aucune possibilité plus économe n’existe. En ce qui concerne le rôle d’un comité éthique, la CNIL considère que sa constitution et sa consultation sont une bonne pratique, mais ne doivent pas se substituer aux autorités compétentes. Une alternative peut être de consulter ou de mobiliser un “référent IA”.
Fiche 7 — Tenir compte de la protection des données dans la collecte et la gestion des données
Les contributeurs ont exprimé leurs inquiétudes concernant la limitation de la durée de conservation des données d’apprentissage, qui pourrait entraver la réalisation d’audits du système d’IA et la mesure des biais. La CNIL a répondu que ces analyses sont importantes pour la sécurité des systèmes en phase de déploiement et a clarifié sa position en modifiant la fiche pour préciser qu’il est possible de conserver les données d’apprentissage à des fins d’audit après une phase de tri, sous réserve de la mise en œuvre de garanties de sécurité appropriées. Toutefois, la conservation des données ne peut être justifiée par anticipation d’un éventuel contentieux nécessitant l’accès aux données.
