Publicité en cours de chargement...
Développement des systèmes d'intelligence artificielle et protection des données personnelles, des impératifs conciliables
Marguerite Brac de La Perrière, Avocate associée du Cabinet Fieldfisher, Numérique & Santé
Dans l'ambition de clarifier cette articulation, la CNIL a publié de premières guidelines – soumises à concertation - destinées à définir les conditions de compatibilité de la constitution de bases de données d'apprentissage et de développement des systèmes d'IA, avec le RGPD[1].
Les guidelines proposent ainsi une application des "principes relatifs aux traitements de données à caractère personnel" au contexte du développement des systèmes d'IA, articulé autour de (i) la conception du système (dont identification des données nécessaires), (ii) la constitution de la base de données, (iii) l'apprentissage.
Le principe de "limitation des finalités" - consistant en une exigence de finalité déterminée, explicite et légitime - est central en ce qu'il conditionne l'application d'autres principes essentiels : (i) la transparence puisque l'information des personnes concernées suppose un objectif du traitement clairement défini, (ii) la minimisation exigeant que seules les données nécessaires à l'objectif du traitement soient traitées, (iii) le principe de limitation des durées de conservation, celles-ci devant être définies en fonction de l'objectif poursuivi.
Or, si l'usage opérationnel du système d'IA peut n'être pas clairement défini dès la phase de développement, pour autant la finalité du traitement en phase de développement ne pourra être considérée comme déterminée, explicite et légitime qu'à condition d'être suffisamment précise, c’est-à-dire se référant cumulativement :
- au type de système développé, par exemple un système d'IA générative d'images en veillant à proposer une présentation claire et intelligible ;
- au fonctionnalités et capacités techniquement envisageables, dont, selon les recommandations de la CNIL, les capacités prévisibles les plus à risque (par exemple traitant des données de santé), et les fonctionnalités exclues par conception, ainsi que les conditions d'utilisation.
Cette interprétation conduit à exclure toute définition trop générale de la finalité telle que "développement et amélioration de systèmes d'IA".
S'agissant de la qualification des fournisseurs des systèmes d'IA, il y a lieu de relever que "le fait d'avoir recours à la même base de données pour différents clients, dans le cadre de prestations distinctes, est généralement un indice décisif permettant de considérer que le prestataire est responsable du traitement distinct pour la constitution de la base de données".
La licéité d'un traitement constituant une base de données d'apprentissages et l'utilisant suppose la détermination d'une base légale (souvent le consentement de la personne concernée ou l'intérêt légitime), étant précisé qu'en cas de réutilisation des données il y a lieu d'effectuer un test de compatibilité entre la finalité initiale de la collecte et celle de la réutilisation, sauf à ce que la réutilisation et sa finalité associée ait été prévue – de manière suffisamment précise – et portée à la connaissance des personnes concernées.
Le principe de minimisation se traduit par une sélection des données (volume, catégories, typologie, source), sans toutefois exclure la possibilité de traiter un ensemble de données de manière indiscriminée à condition que ce soit nécessaire et d'en justifier.
La mise en place d'un comité éthique est recommandée dans le cadre du développement de systèmes d'IA, en veillant à sa pluridisciplinarité, son indépendance, sa compétence, sans oublier la définition de son fonctionnement et de ses missions.
La détermination de la durée de conservation des données doit être évaluée phase par phase, et pour les seules données strictement nécessaires à la phase justifiant leur traitement, étant précisé que la phase de développement pourrait requérir, d'après la CNIL, davantage de données que celles de maintenance du produit.
Les conditions d'articulation de ce principe avec ceux du projet de règlement IA Act et notamment des obligations de gouvernance (dont la violation fait encourir les plus lourdes sanctions !) est précisée, grâce à la mise à disposition d'un modèle de documentation visant à garantir la traçabilité des jeux de données utilisés et destinée à permettre de démontrer notamment que les données ont été collectées de manière licite.
Les conditions de conciliation des impératifs d'innovation d'une part, et de protection des données d'autre part se précisent, avec une plus grande lisibilité et sécurité pour les industriels, et confiance pour les individus,
Avez-vous apprécié ce contenu ?
A lire également.

Tour de France CaRE Domaine 2
13 sept. 2025 - 16:20,
Communiqué
- Orange CyberdefenseLa cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

Dispositifs médicaux numériques : la HAS précise ses principes d’évaluation
10 sept. 2025 - 16:22,
Actualité
- DSIHLa Haute Autorité de Santé a publié aujourd’hui ses premiers principes d’évaluation pour les dispositifs médicaux numériques (DMN) entrant dans les voies de remboursement spécifiques ouvertes en 2023 : la prise en charge anticipée (PECAN) et la Liste des Activités de Télésurveillance Médicale (LATM)...

France 2030 : trois projets numériques en santé mentale et 29 expérimentations récompensés
10 sept. 2025 - 11:56,
Actualité
- DSIHLe gouvernement renforce son soutien à l’innovation en santé numérique. Ce jeudi 4 septembre 2025, lors de la clôture de la Journée de la filière IA et Cancer, Yannick Neuder, ministre chargé de la Santé et de l’Accès aux soins, a dévoilé les lauréats des appels à projets « Dispositifs médicaux numé...

Une feuille de route IA pour la CNSA
08 sept. 2025 - 22:14,
Actualité
- Damien Dubois, DSIHLe 1er septembre, la CNSA a annoncé la publication de sa feuille de route stratégique centrée sur l’intelligence artificielle au service de la branche Autonomie.