Discussion :

[Sandra Coret]

La CNIL publie ses premières fiches pratiques sur la constitution de bases de données d’apprentissage des systèmes d’intelligence artificielle, afin de concilier innovation et respect des droits des personnes

La CNIL publie ses premières fiches pratiques sur la constitution de bases de données d’apprentissage des systèmes d’intelligence artificielle. Ces fiches doivent aider les professionnels à concilier innovation et respect des droits des personnes. Elles sont soumises à consultation publique jusqu’au 16 novembre 2023.

De nombreux acteurs ont fait part à la CNIL de questionnements concernant l’application du règlement général sur la protection des données (RGPD) à l’intelligence artificielle (IA), en particulier depuis l’émergence de systèmes d’IA génératives (« Generative AI systems »).

L’analyse de ces systèmes montre que leur développement est conciliable avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes.

C’est à cette condition que les citoyens feront confiance à ces technologies. Pour cela, il est important que les acteurs disposent d’éléments clairs et pratiques d’analyse pour éclairer les décisions stratégiques de développement ou d’utilisation de l’IA que de nombreux organismes doivent prendre dans les prochains mois.

Quels sont les objectifs des fiches soumises à consultation publique ?

Les fiches pratiques de la CNIL servent à accompagner les acteurs de l’écosystème IA dans leurs démarches de mise en conformité avec la législation sur la protection des données personnelles.

Elles permettent d’apporter des réponses concrètes, illustrées d’exemples, aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA.

Elles répondent notamment aux interrogations concernant l’application des principes de finalité, de minimisation et de durée de conservation pour les bases de données d’apprentissage. Elles clarifient également les règles applicables à la recherche scientifique et la réutilisation de bases de données.

Quel est le périmètre des fiches pratiques ?

Les fiches pratiques concernent uniquement :

• la phase de développement, à l’exclusion de celle de déploiement ;
• les systèmes qui impliquent le traitement de données personnelles soumis au RGPD.

Elles se déclinent en 9 documents répartis de la manière suivante :

• L’introduction précise le périmètre des fiches pratiques ;
• La fiche 1 porte sur le régime juridique applicable aux traitements de données en phase de développement du système d’IA ;
• La fiche 2 traite de la détermination de la finalité du traitement de constitution d’une base de données d’apprentissage d’un système d’IA ;
• La fiche 3 évoque la qualification juridique des fournisseurs de systèmes d’IA ;
• La fiche 4 rappelle comment choisir la base légale du traitement et les vérifications supplémentaires à effectuer en fonction du mode de collecte ou de réutilisation des données ;
• La fiche 5 porte sur la réalisation d’une analyse d’impact sur la protection des données ;
• Les fiches 6 et 7 aident les acteurs à prendre en compte la protection des données dans les choix de conception du système d’IA ainsi que lors de la collecte et la gestion des données ;
• Un modèle de documentation-type est fourni en annexe.

Quel a été le processus d’élaboration de ces fiches ?

Pour élaborer ces fiches pratiques, la CNIL a organisé une série de rencontres avec des acteurs publics et privés pour recueillir leurs observations ou leurs interrogations sur la constitution de bases de données d’apprentissage de systèmes d’IA.

Elle a également lancé, le 27 juillet 2023, un appel à contributions pour alimenter sa réflexion dont une synthèse est publiée. La CNIL a reçu 8 réponses de la part d’entreprises privées, d’un institut de recherche, d’un syndicat professionnel de salariés et d’un particulier.

Sources : CNIL, Téléchargez les fiches pratiques IA de la CNIL

Et vous ?

Que pensez-vous de ces fiches pratiques de la CNIL ?
A votre avis, vont-elles vraiment rendre les technologies d'IA plus compréhensibles et plus sécurisées pour les utilisateurs ?

Voir aussi :

Bilan 2022 de la CNIL : des sanctions record et une vigilance accrue sur l'IA, l'IA générative, une technologie très consommatrice en données personnelles, représente un nouveau défi pour la CNIL

La CNIL publie son avis sur le contrat de Health Data Hub avec Microsoft Azure, alors que la polémique enfle sur le sujet, la Commission appelant à choisir un prestataire européen

ChatGPT bientôt interdit en France comme en Italie ? La CNIL enregistre les premières plaintes contre le logiciel d'IA d'OpenAI, la société est accusée d'avoir violé plusieurs dispositions du RGPD

[Sandra Coret]

Intelligence artificielle : la CNIL dévoile ses premières réponses pour une IA innovante et respectueuse de la vie privée

En soumettant à consultation publique ses premières fiches pratiques relatives à la constitution de bases de données d’apprentissage des systèmes d’intelligence artificielle, la CNIL répond aux acteurs du secteur et montre que le règlement général sur la protection des données (RGPD) soutient une approche innovante et responsable.

La CNIL se mobilise pour une IA innovante et respectueuse des personnes

Le développement de l’intelligence artificielle est porteur de grandes opportunités technologiques dans tous les domaines de l’économie et de la société : dans la santé, pour les services publics ou la productivité des entreprises. La CNIL souhaite accompagner les acteurs innovants et garantir la protection des libertés individuelles.

En effet, l’entraînement des algorithmes consomme beaucoup de données, notamment de données personnelles, dont l’usage est encadré pour protéger la vie privée des personnes. L’usage des algorithmes ainsi entraînés peut, dans certains cas, porter atteinte aux droits des personnes, par exemple en facilitant la création de fausses informations, en multipliant les processus de décisions entièrement automatisés ou en permettant de nouvelles formes de suivi et de surveillance des individus.

Face à ces nouveaux défis, la CNIL promeut une innovation responsable qui explore les dernières technologies d’intelligence artificielle tout en protégeant les personnes. Elle a créé en janvier 2023 un service dédié à l’intelligence artificielle, qui est maintenant opérationnel, et a lancé au printemps un plan d’action qui doit lui permettre de clarifier les règles et de soutenir l’innovation dans ce domaine. Deux programmes d’accompagnement dédiés à l’intelligence artificielle ont été lancés pour accompagner des acteurs français : un bac à sable pour trois projets utilisant l’intelligence artificielle (IA) au bénéfice des services publics et un dispositif d’accompagnement renforcé pour trois entreprises innovantes de taille intermédiaire (« scale-ups ») dont une spécialisée dans la mise à disposition de base de données et de modèles pour l’IA.

La CNIL veut apporter de la sécurité juridique aux acteurs de l’intelligence artificielle

La CNIL a rencontré les principaux acteurs français de l’intelligence artificielle, qu’il s’agisse d’entreprises, de laboratoires ou encore des pouvoirs publics. Tous ont fait remonter un fort besoin de sécurité juridique. Elle a également lancé cet été un appel à contributions sur la constitution de base de données afin d’alimenter sa réflexion.

Pour clarifier les règles applicables en la matière et après ces étapes, la CNIL, publie aujourd’hui une première série de lignes directrices pour un usage de l’IA respectueux des données personnelles. Elle sera suivie de deux autres, qui les complèteront sur d’autres questions que se pose le secteur de l’IA.

Le RGPD offre un cadre innovant et protecteur pour l’ IA

Les échanges de ces derniers mois ont fait remonter des inquiétudes : selon certains, les principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte résultant du RGPD freineraient voire empêcheraient certaines recherches ou applications de l’intelligence artificielle.

La CNIL répond à ces objections, en confirmant la compatibilité des recherches et développements en IA avec le RGPD, à condition de ne pas franchir certaines lignes rouges et de respecter certaines conditions.

Le principe de finalité s’applique aussi, de manière adaptée, aux systèmes d’IA à usage général

Le principe de finalité impose de n’utiliser des données personnelles que pour un objectif précis (finalité) défini à l’avance. En matière d’IA, la CNIL admet qu’un opérateur ne puisse pas définir au stade de l’entraînement de l’algorithme l’ensemble de ses applications futures, à condition que le type de système et les principales fonctionnalités envisageables aient été bien définies.

Le principe de minimisation n’empêche pas l’utilisation de larges bases de données

Le principe de minimisation n’empêche pas, selon la CNIL, l’entraînement d’algorithmes sur des très grands ensembles de données. Les données utilisées devront en revanche, en principe, avoir été sélectionnées pour optimiser l’entraînement de l’algorithme tout en évitant l’utilisation de données personnelles inutiles. Dans tous les cas, certaines précautions pour assurer la sécurité des données sont indispensables.

La durée de conservation des données d’entraînement peut être longue si c’est justifié

Le principe de conservation limitée n’empêchera pas la définition de durées longues pour les bases de données d’entraînement, qui requièrent un investissement scientifique et financier important et deviennent parfois des standards largement utilisés par la communauté.

La réutilisation de bases de données est possible dans de nombreux cas

La CNIL estime enfin que la réutilisation de jeux de données, notamment de données publiquement accessibles sur internet, est possible pour entraîner des IA, sous réserve de vérifier que les données n’ont pas été collectées de manière manifestement illicites et que la finalité de réutilisation est compatible avec la collecte initiale. A cet égard, la CNIL estime que les dispositions relatives à la recherche et à l’innovation dans le RGPD permettent un régime aménagé pour les acteurs innovants de l’IA qui utilisent des données de tiers.

Le développement de systèmes d’IA est conciliable avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes. C’est à cette condition que les citoyens feront confiance à ces technologies.

Source : CNIL

Et vous ?

Quel est votre avis sur ces réponses de la CNIL ?

Voir aussi :

La CNIL publie ses premières fiches pratiques sur la constitution de bases de données d'apprentissage des systèmes d'IA, afin de concilier innovation et respect des droits des personnes

Le chatbot d'IA ChatGPT d'OpenAI confronté à des problèmes de conformité au règlement européen sur la protection des données, les experts affirment qu'OpenAI aura du mal à se conformer au RGPD

La Quadrature du net demande l'interdiction de la reconnaissance faciale et du fichage de masse de la population française, dans trois plaintes contre le ministère de l'Intérieur