Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Recommandations de la Cnil sur l’IA

23 avril 2024 - 11:01,
Actualité - Damien Dubois
En avril 2024, la Cnil a publié ses premières recommandations sur le développement des systèmes d’intelligence artificielle pour aider les professionnels à concilier innovation et respect des droits des personnes.

À la suite de son plan IA de mai 2023, la Commission nationale de l’informatique et des libertés (Cnil) a produit une clarification du cadre juridique afin de sécuriser les acteurs concernés. Une série de recommandations pour un usage de l’IA respectueux des données personnelles a ainsi été établie.

Accompagner la mise en conformité

Ses recommandations ont été élaborées en concertation avec les acteurs publics et privés, mais aussi via une consultation publique avec les parties prenantes (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.). Elles concernent les IA impliquant un traitement de données personnelles :

  • Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
  • Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (general purpose AI) ;
  • Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en exploitant des données pour l’améliorer.

Les préconisations sont destinées à accompagner les démarches de mise en conformité avec la législation sur la protection des données personnelles en apportant des réponses concrètes et illustrées aux questions juridiques et techniques liées à l’application du RGPD en matière d’IA dans la phase de développement de systèmes d’IA (conception, constitution de la base de données et apprentissage).

Ces recommandations seront complétées par d’autres fiches (base légale de l’intérêt légitime, gestion des droits, information des personnes concernées, annotation et sécurité lors de la phase de développement) qui seront soumises à consultation publique.

Les sept principes à observer

1. Définir un objectif pour le système d’IA afin de cadrer et de limiter les données personnelles utilisées pour l’entraînement, sans stocker et traiter des données inutiles. Cet objectif doit être déterminé dès la définition du projet, explicite, connu et compréhensible. Il doit enfin être légitime, c’est-à-dire compatible avec les missions de l’organisme. Pour la Cnil, l’exigence de définition d’une finalité doit être adaptée au contexte de l’IA, sans disparaître pour autant.

2. Déterminer les responsabilités selon les usages :

  • Le responsable de traitement, qui détermine les objectifs et les moyens, décide du « pourquoi » et du « comment » de l’utilisation de données personnelles. Plusieurs organismes peuvent décider et être responsables conjointement du traitement. Il s’agit alors de déterminer leurs obligations respectives, notamment par le biais d’un contrat.
  • Le sous-traitant (ST) agit pour le compte d’un donneur d’ordres qui est le « responsable du traitement ». Ce dernier doit s’assurer du respect du RGPD par le ST et que les données ne sont traitées que sur ses instructions. La loi prévoit la conclusion d’un contrat de sous-traitance.

3. Définir la base légale qui autorise à traiter des données personnelles. Selon le RGPD, il en existe six : le consentement, le respect d’une obligation légale, l’exécution d’un contrat, l’exécution d’une mission d’intérêt public, la sauvegarde des intérêts vitaux et la poursuite d’un intérêt légitime. Les obligations et les droits des personnes varient selon la base légale.

4. Vérifier la possibilité de réutiliser des données personnelles selon les modalités de collecte et la source des données. Le responsable de traitement doit effectuer certaines vérifications complémentaires afin de garantir que leur utilisation est légale.

5. Minimiser les données personnelles utilisées, qui doivent être adéquates, pertinentes et limitées au strict nécessaire en fonction de l’objectif défini, en particulier pour les données sensibles (concernant la santé, la vie sexuelle, les opinions religieuses ou politiques, etc.).

6. Définir une durée de conservation avant suppression ou archivage au regard de l’objectif ayant conduit au traitement de ces données.

7. Réaliser une analyse d’impact sur la protection des données pour cartographier et évaluer les risques d’un traitement sur la protection des données personnelles, avant d’établir un plan d’action pour les réduire à un niveau acceptable. Elle passe par la définition des mesures de sécurité nécessaires à la protection des données.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.