Publicité en cours de chargement...

Publicité en cours de chargement...

Recommandations de la Cnil sur l’IA

23 avril 2024 - 11:01,
Actualité - Damien Dubois
En avril 2024, la Cnil a publié ses premières recommandations sur le développement des systèmes d’intelligence artificielle pour aider les professionnels à concilier innovation et respect des droits des personnes.

À la suite de son plan IA de mai 2023, la Commission nationale de l’informatique et des libertés (Cnil) a produit une clarification du cadre juridique afin de sécuriser les acteurs concernés. Une série de recommandations pour un usage de l’IA respectueux des données personnelles a ainsi été établie.

Accompagner la mise en conformité

Ses recommandations ont été élaborées en concertation avec les acteurs publics et privés, mais aussi via une consultation publique avec les parties prenantes (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.). Elles concernent les IA impliquant un traitement de données personnelles :

  • Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
  • Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (general purpose AI) ;
  • Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en exploitant des données pour l’améliorer.

Les préconisations sont destinées à accompagner les démarches de mise en conformité avec la législation sur la protection des données personnelles en apportant des réponses concrètes et illustrées aux questions juridiques et techniques liées à l’application du RGPD en matière d’IA dans la phase de développement de systèmes d’IA (conception, constitution de la base de données et apprentissage).

Ces recommandations seront complétées par d’autres fiches (base légale de l’intérêt légitime, gestion des droits, information des personnes concernées, annotation et sécurité lors de la phase de développement) qui seront soumises à consultation publique.

Les sept principes à observer

1. Définir un objectif pour le système d’IA afin de cadrer et de limiter les données personnelles utilisées pour l’entraînement, sans stocker et traiter des données inutiles. Cet objectif doit être déterminé dès la définition du projet, explicite, connu et compréhensible. Il doit enfin être légitime, c’est-à-dire compatible avec les missions de l’organisme. Pour la Cnil, l’exigence de définition d’une finalité doit être adaptée au contexte de l’IA, sans disparaître pour autant.

2. Déterminer les responsabilités selon les usages :

  • Le responsable de traitement, qui détermine les objectifs et les moyens, décide du « pourquoi » et du « comment » de l’utilisation de données personnelles. Plusieurs organismes peuvent décider et être responsables conjointement du traitement. Il s’agit alors de déterminer leurs obligations respectives, notamment par le biais d’un contrat.
  • Le sous-traitant (ST) agit pour le compte d’un donneur d’ordres qui est le « responsable du traitement ». Ce dernier doit s’assurer du respect du RGPD par le ST et que les données ne sont traitées que sur ses instructions. La loi prévoit la conclusion d’un contrat de sous-traitance.

3. Définir la base légale qui autorise à traiter des données personnelles. Selon le RGPD, il en existe six : le consentement, le respect d’une obligation légale, l’exécution d’un contrat, l’exécution d’une mission d’intérêt public, la sauvegarde des intérêts vitaux et la poursuite d’un intérêt légitime. Les obligations et les droits des personnes varient selon la base légale.

4. Vérifier la possibilité de réutiliser des données personnelles selon les modalités de collecte et la source des données. Le responsable de traitement doit effectuer certaines vérifications complémentaires afin de garantir que leur utilisation est légale.

5. Minimiser les données personnelles utilisées, qui doivent être adéquates, pertinentes et limitées au strict nécessaire en fonction de l’objectif défini, en particulier pour les données sensibles (concernant la santé, la vie sexuelle, les opinions religieuses ou politiques, etc.).

6. Définir une durée de conservation avant suppression ou archivage au regard de l’objectif ayant conduit au traitement de ces données.

7. Réaliser une analyse d’impact sur la protection des données pour cartographier et évaluer les risques d’un traitement sur la protection des données personnelles, avant d’établir un plan d’action pour les réduire à un niveau acceptable. Elle passe par la définition des mesures de sécurité nécessaires à la protection des données.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Un code de bonnes pratiques pour les modèles d'IA à usage général

Un code de bonnes pratiques pour les modèles d'IA à usage général

15 juil. 2025 - 16:57,

Actualité

-
Marguerite Brac de La Perrière

Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.