Publicité en cours de chargement...
Développement des systèmes d'intelligence artificielle et protection des données personnelles, des impératifs conciliables
Marguerite Brac de La Perrière, Avocate associée du Cabinet Fieldfisher, Numérique & Santé
Dans l'ambition de clarifier cette articulation, la CNIL a publié de premières guidelines – soumises à concertation - destinées à définir les conditions de compatibilité de la constitution de bases de données d'apprentissage et de développement des systèmes d'IA, avec le RGPD[1].
Les guidelines proposent ainsi une application des "principes relatifs aux traitements de données à caractère personnel" au contexte du développement des systèmes d'IA, articulé autour de (i) la conception du système (dont identification des données nécessaires), (ii) la constitution de la base de données, (iii) l'apprentissage.
Le principe de "limitation des finalités" - consistant en une exigence de finalité déterminée, explicite et légitime - est central en ce qu'il conditionne l'application d'autres principes essentiels : (i) la transparence puisque l'information des personnes concernées suppose un objectif du traitement clairement défini, (ii) la minimisation exigeant que seules les données nécessaires à l'objectif du traitement soient traitées, (iii) le principe de limitation des durées de conservation, celles-ci devant être définies en fonction de l'objectif poursuivi.
Or, si l'usage opérationnel du système d'IA peut n'être pas clairement défini dès la phase de développement, pour autant la finalité du traitement en phase de développement ne pourra être considérée comme déterminée, explicite et légitime qu'à condition d'être suffisamment précise, c’est-à-dire se référant cumulativement :
- au type de système développé, par exemple un système d'IA générative d'images en veillant à proposer une présentation claire et intelligible ;
- au fonctionnalités et capacités techniquement envisageables, dont, selon les recommandations de la CNIL, les capacités prévisibles les plus à risque (par exemple traitant des données de santé), et les fonctionnalités exclues par conception, ainsi que les conditions d'utilisation.
Cette interprétation conduit à exclure toute définition trop générale de la finalité telle que "développement et amélioration de systèmes d'IA".
S'agissant de la qualification des fournisseurs des systèmes d'IA, il y a lieu de relever que "le fait d'avoir recours à la même base de données pour différents clients, dans le cadre de prestations distinctes, est généralement un indice décisif permettant de considérer que le prestataire est responsable du traitement distinct pour la constitution de la base de données".
La licéité d'un traitement constituant une base de données d'apprentissages et l'utilisant suppose la détermination d'une base légale (souvent le consentement de la personne concernée ou l'intérêt légitime), étant précisé qu'en cas de réutilisation des données il y a lieu d'effectuer un test de compatibilité entre la finalité initiale de la collecte et celle de la réutilisation, sauf à ce que la réutilisation et sa finalité associée ait été prévue – de manière suffisamment précise – et portée à la connaissance des personnes concernées.
Le principe de minimisation se traduit par une sélection des données (volume, catégories, typologie, source), sans toutefois exclure la possibilité de traiter un ensemble de données de manière indiscriminée à condition que ce soit nécessaire et d'en justifier.
La mise en place d'un comité éthique est recommandée dans le cadre du développement de systèmes d'IA, en veillant à sa pluridisciplinarité, son indépendance, sa compétence, sans oublier la définition de son fonctionnement et de ses missions.
La détermination de la durée de conservation des données doit être évaluée phase par phase, et pour les seules données strictement nécessaires à la phase justifiant leur traitement, étant précisé que la phase de développement pourrait requérir, d'après la CNIL, davantage de données que celles de maintenance du produit.
Les conditions d'articulation de ce principe avec ceux du projet de règlement IA Act et notamment des obligations de gouvernance (dont la violation fait encourir les plus lourdes sanctions !) est précisée, grâce à la mise à disposition d'un modèle de documentation visant à garantir la traçabilité des jeux de données utilisés et destinée à permettre de démontrer notamment que les données ont été collectées de manière licite.
Les conditions de conciliation des impératifs d'innovation d'une part, et de protection des données d'autre part se précisent, avec une plus grande lisibilité et sécurité pour les industriels, et confiance pour les individus,
Avez-vous apprécié ce contenu ?
A lire également.

IA et santé : cap sur une cybersécurité consolidée et proactive
18 juin 2025 - 10:57,
Communiqué
- Trend MicroLe secteur de la santé, porté par la vague de l’IA, veut gagner en flexibilité, innover dans la prise en charge des patients et maîtriser les coûts. Des promesses qui ne se concrétiseront que dans un cadre de sécurité robuste. En effet, l’IA se révèle à double tranchant. Elle renforce les lignes de ...

Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics
16 juin 2025 - 22:18,
Actualité
- Damien Dubois, DSIHLe 12 juin, la Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir la cybersécurité des PME, administrations et établissements de santé.

Et c’est l’heure de notre quiz annuel
16 juin 2025 - 22:10,
Tribune
-Ça y est, c’est bientôt l’été avec tout qui chauffe, le soleil qui revient, le maillot de bain de l’année dernière dans lequel vous ne rentrez plus – hiver oblige. Il est largement temps de se changer les idées avec un petit quiz aux questions subtilement nuancées, une exclusivité DSIH souvent imité...

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS
09 juin 2025 - 21:17,
Tribune
-Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...