Focus sur les premières recommandations de la CNIL sur le développement des IA


En ce début avril 2024, la CNIL a publié ses premières recommandations sur « le développement des systèmes d’intelligence artificielle pour un développement responsable et protecteur du droit des personnes ».

Ces recommandations s’inscrivent dans la suite du « plan IA » initié par la CNIL et à l’occasion duquel l’autorité a pu rencontrer plusieurs acteurs publics et privés afin de recueillir des informations sur le sujet et organiser une consultation publique pour comprendre la réalité des usages de l’IA[1].  

A l’issue de ce plan et après délibération du 18 janvier 2024, la CNIL présente ses recommandations sous la forme de 7 fiches et d’une synthèse des recommandations réalisées.

I. A qui sont adressées ces recommandations ?

Ces premières recommandations ont vocation à s’appliquer à tout acteur, privé comme public, susceptible de procéder au développement de systèmes d’IA.

La CNIL vise ainsi les concepteurs et développeurs français de systèmes d’intelligence artificielle et se concentre pour le moment uniquement sur la phase de développement de l’IA et non celle de son déploiement.

Cette phase de déploiement est définie comme la phase à travers laquelle le système d’IA est conçu, développé et entrainé. La constitution de la base de données et l’apprentissage réalisé est compris dans cette phase de développement, de même que l’intégration de modèles d’IA existants dans un système d’information (fine-tuning et transfer learning).

La CNIL entend par système d’IA les systèmes ci-après exposés:

  • Le machine learning, c’est à dire les systèmes fondés sur l’apprentissage automatique,
  • Le general purpose AI, c’està-dire les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général pouvant être utilisés pour nourrir différentes applications.
  • Les systèmes d’apprentissages réalisés de façon continue ou d’un coup en utilisant par exemple des données d’utilisation pour son amélioration.

Cette définition de système d’IA est alignée sur la définition du projet d’IA ACT et sera mise à jour dans l’hypothèse où la définition de l’IA ACT viendrait à changer.

Il est nécessaire de garder à l’esprit que ces recommandations sont uniquement applicables quand le système d’IA est amené à traiter de données à caractère personnel au sens du RGPD.

Ces recommandations sont donc adressées aux acteurs développant un système d’IA traitant de données à caractère personnel notamment à l’occasion de la constitution de la base de données ou de l’apprentissage de l’IA.

II. Quel est le contenu de ces recommandations

A. Un complément d'informations

La première chose à retenir est que ces premières recommandations ne se suffisent pas à elles-mêmes.

La CNIL rappelle que le RGPD et du nouveau règlement européen sur l’intelligence artificielle « IA ACT » doivent tous deux être appliqués lorsque ce système traite de données à caractère personnel et que les Fiches qu’elle publie à ce sujet visent à compléter et clarifier ces règlements au niveau de la protection des données.

A l’image de ce que la CNIL réalise déjà dans ses guides, l’autorité fait état de recommandations qui constituent parfois des « bonnes pratiques » allant au-delà du simple respect de la recommandation.

La CNIL précise que les recommandations édictées ne sont pas contraignantes et que les responsables de traitement sont libres de s’en écarter à la condition d’être en mesure de justifier de leur choix et ce sous peine d’engager leur responsabilité en cas de contrôle si la CNIL estime que la justification n’est pas bonne. 

B. Le sujet des Fiches

Les 7 fiches publiées par la CNIL ont pour objectif d’apporter des précisions notamment sur les points suivants :

  • Définir la finalité pour le système d'IA

Conformément au RGPD, tout traitement de données personnelles doit suivre une finalité précise.

La détermination d’une finalité permet d’encadrer le développement du système d’IA en limitant les données personnelles utilisées aux données personnelles les plus utiles.

La finalité doit selon la CNIL être déterminée, explicite et légitime dès le début du projet sans pouvoir objecter que l’entrainement d’IA est incompatible avec la définition de cette finalité.

La Fiche 2 dédiée à la question de la finalité poursuivie distingue entre les différents systèmes d’IA.

  • Déterminer la responsabilité des acteurs

Pour déterminer la responsabilité de chaque acteur, il convient d’identifier les rôles de chacun dans le projet et qualifier qui a le rôle de Responsable de traitement et celui de sous-traitant.

Cette qualification est importante en termes de responsabilité, mais n’est pas toujours évidente en pratique.

Pour procéder à cette qualification, la CNIL rappelle dans sa Fiche 3 les rôles exposés dans l’IA ACT.

Le projet d’IA ACT distingue entre :

  • Le fournisseur de systèmes d’IA,
  • Les importateurs, distributeurs et utilisateurs de systèmes d’IA,

Pour exemple, si un acteur est qualifié de fournisseur de système d’IA et que celui-ci constitue une base de données d’apprentissage à partir de données sélectionnées pour son propre compte, celui-ci doit être qualifié de responsable de traitement.

La CNIL précise que le degré de responsabilité est analysé au cas par cas.

  • Définir la base légale

Conformément à l’article 6 du RGPD, tout traitement de donnée personnelle doit être fondé sur une base légale. En fonction de la base légale retenue, les obligations et droits des personnes varient.

La CNIL rappelle donc en Fiche 4 les différents types de bases légales, et précise que la base légale du consentement pourrait être la plus appropriée lorsque la collecte se fait directement auprès des personnes étant libres d’accepter ou de refuser cette collecte

La CNIL se contente pour le moment de rappeler les bases en invitant chaque acteur à se fonder sur la base la plus adaptée au cas par cas et indique apporter par la suite plus de précisions.

  • S'assurer que le traitement est licite en cas de réutilisation de base de données

Dans l’hypothèse où un acteur, en tant que responsable de traitement, souhaiterait réutiliser une base de données personnelles dans le cadre du développement d’un système d’IA, celui soit doit au préalable s’assurer que cette réutilisation de la base est légale.

La légalité de la base de données dépend des modalités de collecte mises en place et de la source des données en cause.

La CNIL distingue entre plusieurs situations à savoir le cas où le fournisseur a lui-même collecté les données, le cas d’une base de données accessible en open source et celui de l’acquisition de cette base auprès d’un tiers.

Pour chaque situation correspond des vérifications différentes que vous pouvez consulter au sein de la Fiche 4.

  • Minimiser les données utilisées

La question de la minimisation des données est abordée en détail dans les fiches 6 et 7.

La CNIL précise que le recours à l’apprentissage profond ne doit pas être systématique et qu’il est nécessaire de privilégier la technique permettant d’atteindre le résultat recherché en utilisant le moins de données personnelles possibles.

Le plan d’apprentissage peut permettre de limiter l’accès aux données aux seules personnes habilitées notamment.

L’autorité ajoute que le principe de minimisation n’entre pas par nature en contradiction avec le principe d’entrainer un algorithme avec des volumes importants de données.

Il est nécessaire cependant d’avoir une réflexion en amont à cet entrainement pour recourir aux seules données personnelles utiles au développement et de mettre en œuvre les moyens techniques pour ne pas les collecter.

La CNIL recommande à titre de bonne pratique de mener une étude pilote et d’interroger un comité éthique au sujet de la validité des choix de conception.

  • Définir la durée de conservation

Dans le cadre du développement d’un système d’IA comme dans la majorité des cas, la CNIL recommande de déterminer la durée de conservation des données en fonction de l’objectif poursuivi.

Conformément à la fiche n°7, la durée de conservation doit être fixée pour la conservation des données lors de la phase de développement, mais également la conservation des données dans le cadre d’une phase de maintenance ou d’amélioration du système.

La conservation des données d’apprentissage doit être limitée aux données nécessaires et sécurisée conformément au RGPD.

  • Réaliser une analyse d'impact (AIPD)

La réalisation d’une AIPD est nécessaire quand il existe des risques importants au sens de la Fiche 5, et est fortement recommandée par la CNIL notamment quand deux des éléments suivants sont remplis :

  • Collecte de données sensibles,
  • Collecte de données personnelles à grande échelle,
  • Collecte de données de personnes vulnérables,
  • Croisement ou combinaison d’ensemble de données,
  • De nouvelles solutions technologiques ou utilisations innovantes sont réalisées.

En fonction du système d’IA mis en place, l’AIPD devra être réalisée sur l’ensemble les phases de développement et déploiement ou uniquement sur la phase de déploiement (notamment pour les systèmes d’IA à usage général).

Si vous souhaitez en savoir plus sur l’AIPD, vous pouvez consulter notre article ici. 

En définitive ces premières recommandations de la CNIL complètent, rappellent et précisent les dispositions du RGPD et du projet d’IA ACT pour orienter les acteurs procédant au développement de système d’IA au niveau de la protection des données personnelles.

Ces fiches sont le résultat de plusieurs réflexions sur le thème du développement de l’IA et reviennent sur des processus innovants tels que l’apprentissage de l’IA depuis une base de données personnelles.

Si ces premières recommandations permettent de donner la marche à suivre de la CNIL, il demeure néanmoins important de rester attentif à ce qui constituera la doctrine en la matière puisque l’autorité laisse entendre qu’il s’agit d’une première série de recommandations pour l’usage de l’IA et que d’autres publications sont à venir sur le sujet[2].

Vicky BOUCHER (Avocate Collaboratrice) 


[1] La CNIL a mis à disposition les synthèses des contributions issues de la consultation publique accessible ici.

[2] La CNIL indique d’ores et déjà lors de cette publication du 8 avril 2024 qu’elle va apporter des précisions concernant l’information des personnes, les conditions à remplir pour mobiliser la base légale de l’intérêt légitime, l’exercice du droit des personnes.


Articles similaires

Derniers articles

La « négative harmony » : prétexte à un tour d’horizon des poncifs en matière de droit d’auteur

Quand l’IA rédigera des contrats…en lieu et place des avocats

Pourquoi désigner un DPO lorsqu'on est une commune ?

L'Affaire Pavel DUROV pour les nuls

META : la fin de la pratique du « Pay or Consent » ?

Peut-on repousser ou raccourcir la tombée d'une œuvre dans le domaine public ?

Porter plainte pour diffamation ou pour injure : une mauvaise idée ?

Comment sortir valablement d'un contrat ?

Focus sur les premières recommandations de la CNIL sur le développement des IA

Contr@vis : Un avis d’Avocat sur vos contrats à un tarif forfaitaire

Agir contre une personne qui vous a diffamé sur internet : un délai court et un niveau d'exigence élevé !

Qu’apporte de nouveau le guide de sécurité des données personnelles de la CNIL dans sa version 2024 ?