Publicité en cours de chargement...
Développement des systèmes d'intelligence artificielle et protection des données personnelles, des impératifs conciliables
Marguerite Brac de La Perrière, Avocate associée du Cabinet Fieldfisher, Numérique & Santé
Dans l'ambition de clarifier cette articulation, la CNIL a publié de premières guidelines – soumises à concertation - destinées à définir les conditions de compatibilité de la constitution de bases de données d'apprentissage et de développement des systèmes d'IA, avec le RGPD[1].
Les guidelines proposent ainsi une application des "principes relatifs aux traitements de données à caractère personnel" au contexte du développement des systèmes d'IA, articulé autour de (i) la conception du système (dont identification des données nécessaires), (ii) la constitution de la base de données, (iii) l'apprentissage.
Le principe de "limitation des finalités" - consistant en une exigence de finalité déterminée, explicite et légitime - est central en ce qu'il conditionne l'application d'autres principes essentiels : (i) la transparence puisque l'information des personnes concernées suppose un objectif du traitement clairement défini, (ii) la minimisation exigeant que seules les données nécessaires à l'objectif du traitement soient traitées, (iii) le principe de limitation des durées de conservation, celles-ci devant être définies en fonction de l'objectif poursuivi.
Or, si l'usage opérationnel du système d'IA peut n'être pas clairement défini dès la phase de développement, pour autant la finalité du traitement en phase de développement ne pourra être considérée comme déterminée, explicite et légitime qu'à condition d'être suffisamment précise, c’est-à-dire se référant cumulativement :
- au type de système développé, par exemple un système d'IA générative d'images en veillant à proposer une présentation claire et intelligible ;
- au fonctionnalités et capacités techniquement envisageables, dont, selon les recommandations de la CNIL, les capacités prévisibles les plus à risque (par exemple traitant des données de santé), et les fonctionnalités exclues par conception, ainsi que les conditions d'utilisation.
Cette interprétation conduit à exclure toute définition trop générale de la finalité telle que "développement et amélioration de systèmes d'IA".
S'agissant de la qualification des fournisseurs des systèmes d'IA, il y a lieu de relever que "le fait d'avoir recours à la même base de données pour différents clients, dans le cadre de prestations distinctes, est généralement un indice décisif permettant de considérer que le prestataire est responsable du traitement distinct pour la constitution de la base de données".
La licéité d'un traitement constituant une base de données d'apprentissages et l'utilisant suppose la détermination d'une base légale (souvent le consentement de la personne concernée ou l'intérêt légitime), étant précisé qu'en cas de réutilisation des données il y a lieu d'effectuer un test de compatibilité entre la finalité initiale de la collecte et celle de la réutilisation, sauf à ce que la réutilisation et sa finalité associée ait été prévue – de manière suffisamment précise – et portée à la connaissance des personnes concernées.
Le principe de minimisation se traduit par une sélection des données (volume, catégories, typologie, source), sans toutefois exclure la possibilité de traiter un ensemble de données de manière indiscriminée à condition que ce soit nécessaire et d'en justifier.
La mise en place d'un comité éthique est recommandée dans le cadre du développement de systèmes d'IA, en veillant à sa pluridisciplinarité, son indépendance, sa compétence, sans oublier la définition de son fonctionnement et de ses missions.
La détermination de la durée de conservation des données doit être évaluée phase par phase, et pour les seules données strictement nécessaires à la phase justifiant leur traitement, étant précisé que la phase de développement pourrait requérir, d'après la CNIL, davantage de données que celles de maintenance du produit.
Les conditions d'articulation de ce principe avec ceux du projet de règlement IA Act et notamment des obligations de gouvernance (dont la violation fait encourir les plus lourdes sanctions !) est précisée, grâce à la mise à disposition d'un modèle de documentation visant à garantir la traçabilité des jeux de données utilisés et destinée à permettre de démontrer notamment que les données ont été collectées de manière licite.
Les conditions de conciliation des impératifs d'innovation d'une part, et de protection des données d'autre part se précisent, avec une plus grande lisibilité et sécurité pour les industriels, et confiance pour les individus,
Avez-vous apprécié ce contenu ?
A lire également.

Vu à SantExpo 2025 : le CHU d’Amiens obtient l’accord officiel des archives départementales pour son Système d’Archivage Electronique avec la solution HYDMedia de Dedalus
26 mai 2025 - 15:41,
Actualité
- Pauline Nicolas, DSIHLors d’une session au sein de l’auditorium Dedalus, Jacques Delamarre, Responsable Parcours Patient au CHU d’Amiens a témoigné de la genèse qui a conduit à l’adoption de la solution SAE HYDMedia de Dedalus dans son établissement et des principaux apports de cette solution. Un SAE doit intégrer un l...

L’Académie de l’IA en santé de la FEHAP
26 mai 2025 - 11:27,
Actualité
- Damien Dubois, DSIHLe 21 mai 2025, lors de SantExpo, la FEHAP a annoncé le déploiement opérationnel de son plan d’actions pour son Académie de l’IA en santé.

CHU de Montpellier : « Pionnier de l’IA générative, notre hôpital traduit cette innovation dans toutes ses missions »
23 mai 2025 - 11:50,
Actualité
- Mathilde Debry, DSIHSantExpo 2025 – Paris. Le 22 mai, la directrice générale du CHU de Montpellier Anne Ferrer a détaillé dans une interview pourquoi et comment l’IA générative gagne progressivement toutes les strates de son établissement.

Vu à SantExpo 2025 | De l’international à la France : comment la donnée peut réinventer les systèmes d’information de santé – la vision de La Poste Santé & Autonomie et de ses partenaires
21 mai 2025 - 22:50,
Actualité
- Pauline Nicolas, DSIHDédiée à la transformation du système de santé à travers la data et comment la data peut réinventer le système d’information hospitalier, cette nouvelle agora se présente sous la forme d’un panorama en deux langues car tournée vers l’international. Entre exemple catalan et vision française d’un écos...