Développement des systèmes d'intelligence artificielle et protection des données personnelles, des impératifs conciliables

 Marguerite Brac de La Perrière, Avocate associée du Cabinet Fieldfisher, Numérique & Santé

Dans l'ambition de clarifier cette articulation, la CNIL a publié de premières guidelines – soumises à concertation - destinées à définir les conditions de compatibilité de la constitution de bases de données d'apprentissage et de développement des systèmes d'IA, avec le RGPD[1].

Les guidelines proposent ainsi une application des "principes relatifs aux traitements de données à caractère personnel" au contexte du développement des systèmes d'IA, articulé autour de (i) la conception du système (dont identification des données nécessaires), (ii) la constitution de la base de données, (iii) l'apprentissage.

Le principe de "limitation des finalités" - consistant en une exigence de finalité déterminée, explicite et légitime - est central en ce qu'il conditionne l'application d'autres principes essentiels : (i) la transparence puisque l'information des personnes concernées suppose un objectif du traitement clairement défini, (ii) la minimisation exigeant que seules les données nécessaires à l'objectif du traitement soient traitées, (iii) le principe de limitation des durées de conservation, celles-ci devant être définies en fonction de l'objectif poursuivi. 

Or, si l'usage opérationnel du système d'IA peut n'être pas clairement défini dès la phase de développement, pour autant la finalité du traitement en phase de développement ne pourra être considérée comme déterminée, explicite et légitime qu'à condition d'être suffisamment précise, c’est-à-dire se référant cumulativement : 

• au type de système développé, par exemple un système d'IA générative d'images en veillant à proposer une présentation claire et intelligible ;
• au fonctionnalités et capacités techniquement envisageables, dont, selon les recommandations de la CNIL, les capacités prévisibles les plus à risque (par exemple traitant des données de santé), et les fonctionnalités exclues par conception, ainsi que les conditions d'utilisation.

Cette interprétation conduit à exclure toute définition trop générale de la finalité telle que "développement et amélioration de systèmes d'IA". 

S'agissant de la qualification des fournisseurs des systèmes d'IA, il y a lieu de relever que "le fait d'avoir recours à la même base de données pour différents clients, dans le cadre de prestations distinctes, est généralement un indice décisif permettant de considérer que le prestataire est responsable du traitement distinct pour la constitution de la base de données".

La licéité d'un traitement constituant une base de données d'apprentissages et l'utilisant suppose la détermination d'une base légale (souvent le consentement de la personne concernée ou l'intérêt légitime), étant précisé qu'en cas de réutilisation des données il y a lieu d'effectuer un test de compatibilité entre la finalité initiale de la collecte et celle de la réutilisation, sauf à ce que la réutilisation et sa finalité associée ait été prévue – de manière suffisamment précise – et portée à la connaissance des personnes concernées. 

Le principe de minimisation se traduit par une sélection des données (volume, catégories, typologie, source), sans toutefois exclure la possibilité de traiter un ensemble de données de manière indiscriminée à condition que ce soit nécessaire et d'en justifier. 

La mise en place d'un comité éthique est recommandée dans le cadre du développement de systèmes d'IA, en veillant à sa pluridisciplinarité, son indépendance, sa compétence, sans oublier la définition de son fonctionnement et de ses missions. 

La détermination de la durée de conservation des données doit être évaluée phase par phase, et pour les seules données strictement nécessaires à la phase justifiant leur traitement, étant précisé que la phase de développement pourrait requérir, d'après la CNIL, davantage de données que celles de maintenance du produit. 

Les conditions d'articulation de ce principe avec ceux du projet de règlement IA Act et notamment des obligations de gouvernance (dont la violation fait encourir les plus lourdes sanctions !) est précisée, grâce à la mise à disposition d'un modèle de documentation visant à garantir la traçabilité des jeux de données utilisés et destinée à permettre de démontrer notamment que les données ont été collectées de manière licite.

Les conditions de conciliation des impératifs d'innovation d'une part, et de protection des données d'autre part se précisent, avec une plus grande lisibilité et sécurité pour les industriels, et confiance pour les individus,

[1] Fiches pratiques IA de la CNIL 11-1O-2023