Publicité en cours de chargement...
Recommandations de la Cnil sur l’IA
À la suite de son plan IA de mai 2023, la Commission nationale de l’informatique et des libertés (Cnil) a produit une clarification du cadre juridique afin de sécuriser les acteurs concernés. Une série de recommandations pour un usage de l’IA respectueux des données personnelles a ainsi été établie.
Accompagner la mise en conformité
Ses recommandations ont été élaborées en concertation avec les acteurs publics et privés, mais aussi via une consultation publique avec les parties prenantes (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.). Elles concernent les IA impliquant un traitement de données personnelles :
- Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
- Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (general purpose AI) ;
- Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en exploitant des données pour l’améliorer.
Les préconisations sont destinées à accompagner les démarches de mise en conformité avec la législation sur la protection des données personnelles en apportant des réponses concrètes et illustrées aux questions juridiques et techniques liées à l’application du RGPD en matière d’IA dans la phase de développement de systèmes d’IA (conception, constitution de la base de données et apprentissage).
Ces recommandations seront complétées par d’autres fiches (base légale de l’intérêt légitime, gestion des droits, information des personnes concernées, annotation et sécurité lors de la phase de développement) qui seront soumises à consultation publique.
Les sept principes à observer
1. Définir un objectif pour le système d’IA afin de cadrer et de limiter les données personnelles utilisées pour l’entraînement, sans stocker et traiter des données inutiles. Cet objectif doit être déterminé dès la définition du projet, explicite, connu et compréhensible. Il doit enfin être légitime, c’est-à-dire compatible avec les missions de l’organisme. Pour la Cnil, l’exigence de définition d’une finalité doit être adaptée au contexte de l’IA, sans disparaître pour autant.
2. Déterminer les responsabilités selon les usages :
- Le responsable de traitement, qui détermine les objectifs et les moyens, décide du « pourquoi » et du « comment » de l’utilisation de données personnelles. Plusieurs organismes peuvent décider et être responsables conjointement du traitement. Il s’agit alors de déterminer leurs obligations respectives, notamment par le biais d’un contrat.
- Le sous-traitant (ST) agit pour le compte d’un donneur d’ordres qui est le « responsable du traitement ». Ce dernier doit s’assurer du respect du RGPD par le ST et que les données ne sont traitées que sur ses instructions. La loi prévoit la conclusion d’un contrat de sous-traitance.
3. Définir la base légale qui autorise à traiter des données personnelles. Selon le RGPD, il en existe six : le consentement, le respect d’une obligation légale, l’exécution d’un contrat, l’exécution d’une mission d’intérêt public, la sauvegarde des intérêts vitaux et la poursuite d’un intérêt légitime. Les obligations et les droits des personnes varient selon la base légale.
4. Vérifier la possibilité de réutiliser des données personnelles selon les modalités de collecte et la source des données. Le responsable de traitement doit effectuer certaines vérifications complémentaires afin de garantir que leur utilisation est légale.
5. Minimiser les données personnelles utilisées, qui doivent être adéquates, pertinentes et limitées au strict nécessaire en fonction de l’objectif défini, en particulier pour les données sensibles (concernant la santé, la vie sexuelle, les opinions religieuses ou politiques, etc.).
6. Définir une durée de conservation avant suppression ou archivage au regard de l’objectif ayant conduit au traitement de ces données.
7. Réaliser une analyse d’impact sur la protection des données pour cartographier et évaluer les risques d’un traitement sur la protection des données personnelles, avant d’établir un plan d’action pour les réduire à un niveau acceptable. Elle passe par la définition des mesures de sécurité nécessaires à la protection des données.
Avez-vous apprécié ce contenu ?
A lire également.

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie
27 juin 2025 - 14:47,
Actualité
- DSIHL’Institut Curie, premier centre français de lutte contre le cancer, et le groupe hospitalier Diaconesses Croix Saint-Simon, créateur du Centre de Cancérologie de l’Est Parisien, annoncent un partenariat stratégique inédit. Ce partenariat, baptisé « Parcours Expert Institut Curie – Diaconesses Croix...

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...