Les premières recommandations de la CNIL sur l’IA ont été publié. Elles sont à destination des professionnels. Ces recommandations visent à les aider à concilier innovation et respect des droits des personnes lors du développement de systèmes d’intelligence artificielle (IA). L’objectif est de permettre l’émergence de dispositifs, outils et applications éthiques, fidèles aux valeurs européennes et suscitant la confiance des citoyens.
Ces recommandations ont été élaborées après une large consultation publique auprès de divers acteurs de l’écosystème IA : entreprises, chercheurs, associations, conseils juridiques et techniques, etc. Elles apportent des réponses concrètes aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA.
Périmètre des recommandations de la CNIL
Les recommandations concernent le développement de systèmes d’IA impliquant un traitement de données personnelles. Cela concerne les systèmes fondés sur l’apprentissage automatique (machine learning), les systèmes à usage défini ou général, ou encore les systèmes dont l’apprentissage est réalisé de façon ponctuelle ou continue.
Elles portent sur la phase de développement. Celle-ci comprend la conception du système, la constitution de la base de données et l’apprentissage. De plus, elles prennent en compte le nouveau règlement européen sur l’IA et visent à le compléter de manière cohérente sur le volet protection des données.
Les 7 étapes clés pour développer une IA conforme au RGPD selon les recommandations de la CNIL
1. Définir un objectif clair pour le système d’IA
Tout d’abord, un système d’IA utilisant des données personnelles doit avoir un objectif déterminé, explicite et légitime. Cet objectif peut être l’usage opérationnel prévu, le type de système développé et ses fonctionnalités, ou encore un but de recherche scientifique. L’exigence de définition d’une finalité doit être adaptée au contexte de l’IA.
2. Déterminer les responsabilités
Deuxièmement, il faut définir si vous êtes responsable de traitement (vous décidez du “pourquoi” et du “comment”) ou sous-traitant (vous traitez les données pour un responsable). Votre degré de responsabilité dépend d’une analyse au cas par cas. Si vous êtes sous-traitant, vous devez notamment respecter les instructions du responsable et assurer la sécurité des données.
3. Choisir la base légale appropriée
Troisièmement, le développement d’une IA avec des données personnelles nécessite une base légale parmi les 6 prévues par le RGPD : consentement, contrat, obligation légale, intérêt vital, mission d’intérêt public ou intérêt légitime. Le choix dépend du contexte. Le consentement est souvent difficile à obtenir en pratique. Les acteurs privés peuvent souvent invoquer l’intérêt légitime s’ils respectent certaines conditions. Les acteurs publics doivent vérifier que le traitement s’inscrit dans leur mission d’intérêt public.
4. Vérifier la licéité de la réutilisation de données
Ensuite, si vous réutilisez vos propres données, une base open source ou des données acquises auprès d’un tiers, vous devez effectuer diverses vérifications. Cela pour vous assurer que c’est légal et compatible avec l’objectif initial de collecte. Il faut notamment vérifier que la base n’est pas manifestement illicite. Un accord entre le fournisseur et le réutilisateur est recommandé.
5. Minimiser les données personnelles utilisées
Aussi, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire pour atteindre l’objectif doivent être utilisées. Il faut privilégier les techniques les moins gourmandes en données. La CNIL conseille également de nettoyer et sélectionner les données pertinentes, mettre en œuvre des mesures de protection dès la conception (pseudonymisation, anonymisation…). Il est en outre recommandé de suivre l’évolution de la base dans le temps. La documentation des données utilisées est importante.
6. Définir une durée de conservation des données
De plus, vous ne pouvez pas conserver les données indéfiniment. Vous devez fixer une durée en fonction de l’objectif, pour la phase de développement et éventuellement pour la maintenance. Au-delà, vous devez supprimer ou archiver les données de manière sécurisée. Vous pouvez justifier une conservation prolongée pour permettre des audits, avec des garanties.
7. Réaliser une analyse d’impact (AIPD)
Enfin, une analyse d’impact sur la protection des données permet d’évaluer les risques du traitement et de prévoir des mesures pour les réduire. Elle est fortement recommandée pour le développement d’IA, surtout en cas de données sensibles ou à large échelle. L’AIPD doit couvrir les risques spécifiques à l’IA (ré-identification, biais, mésusage des données, perte de contrôle…). Cette analyse doit aussi prévoir des mesures adaptées (sécurité, minimisation, anonymisation, explicabilité…).
Conclusion sur les recommandations de la CNIL
La CNIL poursuit ses travaux pour accompagner les acteurs de l’IA. Elle publiera prochainement de nouvelles fiches pratiques . Les sujets abordés concerneront la collecte de données en ligne, le recours à l’intérêt légitime, l’exercice des droits des personnes, etc. L’objectif est de permettre le développement éthique et responsable de l’IA dans le respect du RGPD et des droits des personnes.