Publicité en cours de chargement...

Publicité en cours de chargement...

Développement des systèmes d'intelligence artificielle et protection des données personnelles, des impératifs conciliables

17 oct. 2023 - 10:40,
Tribune - Marguerite Brac de La Perrière
Point de système d'intelligence artificielle (IA) sans données massives, or, l'articulation entre constitution de bases de données à caractère personnel d'apprentissage et protection des données est parfois délicate.

 

 Marguerite Brac de La Perrière, Avocate associée du Cabinet Fieldfisher, Numérique & Santé


Dans l'ambition de clarifier cette articulation, la CNIL a publié de premières guidelines – soumises à concertation - destinées à définir les conditions de compatibilité de la constitution de bases de données d'apprentissage et de développement des systèmes d'IA, avec le RGPD[1].

Les guidelines proposent ainsi une application des "principes relatifs aux traitements de données à caractère personnel" au contexte du développement des systèmes d'IA, articulé autour de (i) la conception du système (dont identification des données nécessaires), (ii) la constitution de la base de données, (iii) l'apprentissage.

Le principe de "limitation des finalités" - consistant en une exigence de finalité déterminée, explicite et légitime - est central en ce qu'il conditionne l'application d'autres principes essentiels : (i) la transparence puisque l'information des personnes concernées suppose un objectif du traitement clairement défini, (ii) la minimisation exigeant que seules les données nécessaires à l'objectif du traitement soient traitées, (iii) le principe de limitation des durées de conservation, celles-ci devant être définies en fonction de l'objectif poursuivi. 

Or, si l'usage opérationnel du système d'IA peut n'être pas clairement défini dès la phase de développement, pour autant la finalité du traitement en phase de développement ne pourra être considérée comme déterminée, explicite et légitime qu'à condition d'être suffisamment précise, c’est-à-dire se référant cumulativement : 

  • au type de système développé, par exemple un système d'IA générative d'images en veillant à proposer une présentation claire et intelligible ;
  • au fonctionnalités et capacités techniquement envisageables, dont, selon les recommandations de la CNIL, les capacités prévisibles les plus à risque (par exemple traitant des données de santé), et les fonctionnalités exclues par conception, ainsi que les conditions d'utilisation.

Cette interprétation conduit à exclure toute définition trop générale de la finalité telle que "développement et amélioration de systèmes d'IA". 

S'agissant de la qualification des fournisseurs des systèmes d'IA, il y a lieu de relever que "le fait d'avoir recours à la même base de données pour différents clients, dans le cadre de prestations distinctes, est généralement un indice décisif permettant de considérer que le prestataire est responsable du traitement distinct pour la constitution de la base de données".

La licéité d'un traitement constituant une base de données d'apprentissages et l'utilisant suppose la détermination d'une base légale (souvent le consentement de la personne concernée ou l'intérêt légitime), étant précisé qu'en cas de réutilisation des données il y a lieu d'effectuer un test de compatibilité entre la finalité initiale de la collecte et celle de la réutilisation, sauf à ce que la réutilisation et sa finalité associée ait été prévue – de manière suffisamment précise – et portée à la connaissance des personnes concernées. 

Le principe de minimisation se traduit par une sélection des données (volume, catégories, typologie, source), sans toutefois exclure la possibilité de traiter un ensemble de données de manière indiscriminée à condition que ce soit nécessaire et d'en justifier. 

La mise en place d'un comité éthique est recommandée dans le cadre du développement de systèmes d'IA, en veillant à sa pluridisciplinarité, son indépendance, sa compétence, sans oublier la définition de son fonctionnement et de ses missions. 

La détermination de la durée de conservation des données doit être évaluée phase par phase, et pour les seules données strictement nécessaires à la phase justifiant leur traitement, étant précisé que la phase de développement pourrait requérir, d'après la CNIL, davantage de données que celles de maintenance du produit. 

Les conditions d'articulation de ce principe avec ceux du projet de règlement IA Act et notamment des obligations de gouvernance (dont la violation fait encourir les plus lourdes sanctions !) est précisée, grâce à la mise à disposition d'un modèle de documentation visant à garantir la traçabilité des jeux de données utilisés et destinée à permettre de démontrer notamment que les données ont été collectées de manière licite.

Les conditions de conciliation des impératifs d'innovation d'une part, et de protection des données d'autre part se précisent, avec une plus grande lisibilité et sécurité pour les industriels, et confiance pour les individus,


[1] Fiches pratiques IA de la CNIL 11-1O-2023

Avez-vous apprécié ce contenu ?

A lire également.

Illustration France 2030 : trois projets numériques en santé mentale et 29 expérimentations récompensés

France 2030 : trois projets numériques en santé mentale et 29 expérimentations récompensés

10 sept. 2025 - 11:56,

Actualité

- DSIH

Le gouvernement renforce son soutien à l’innovation en santé numérique. Ce jeudi 4 septembre 2025, lors de la clôture de la Journée de la filière IA et Cancer, Yannick Neuder, ministre chargé de la Santé et de l’Accès aux soins, a dévoilé les lauréats des appels à projets « Dispositifs médicaux numé...

Illustration Une feuille de route IA pour la CNSA

Une feuille de route IA pour la CNSA

08 sept. 2025 - 22:14,

Actualité

- Damien Dubois, DSIH

Le 1er septembre, la CNSA a annoncé la publication de sa feuille de route stratégique centrée sur l’intelligence artificielle au service de la branche Autonomie.

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

Illustration IA et santé : la FHF publie un livre blanc stratégique pour structurer l’innovation

IA et santé : la FHF publie un livre blanc stratégique pour structurer l’innovation

05 sept. 2025 - 11:15,

Actualité

- DSIH

Le 3 septembre 2025, la Fédération Hospitalière de France (FHF) a dévoilé son livre blanc « L’IA en santé : qui est le maître ? – Ambitions et perspectives ». Ce document analyse les usages actuels de l’intelligence artificielle dans les établissements publics et propose une feuille de route pour un...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.