Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Recommandations de la Cnil sur l’IA

23 avril 2024 - 11:01,
Actualité - Damien Dubois
En avril 2024, la Cnil a publié ses premières recommandations sur le développement des systèmes d’intelligence artificielle pour aider les professionnels à concilier innovation et respect des droits des personnes.

À la suite de son plan IA de mai 2023, la Commission nationale de l’informatique et des libertés (Cnil) a produit une clarification du cadre juridique afin de sécuriser les acteurs concernés. Une série de recommandations pour un usage de l’IA respectueux des données personnelles a ainsi été établie.

Accompagner la mise en conformité

Ses recommandations ont été élaborées en concertation avec les acteurs publics et privés, mais aussi via une consultation publique avec les parties prenantes (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.). Elles concernent les IA impliquant un traitement de données personnelles :

  • Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
  • Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (general purpose AI) ;
  • Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en exploitant des données pour l’améliorer.

Les préconisations sont destinées à accompagner les démarches de mise en conformité avec la législation sur la protection des données personnelles en apportant des réponses concrètes et illustrées aux questions juridiques et techniques liées à l’application du RGPD en matière d’IA dans la phase de développement de systèmes d’IA (conception, constitution de la base de données et apprentissage).

Ces recommandations seront complétées par d’autres fiches (base légale de l’intérêt légitime, gestion des droits, information des personnes concernées, annotation et sécurité lors de la phase de développement) qui seront soumises à consultation publique.

Les sept principes à observer

1. Définir un objectif pour le système d’IA afin de cadrer et de limiter les données personnelles utilisées pour l’entraînement, sans stocker et traiter des données inutiles. Cet objectif doit être déterminé dès la définition du projet, explicite, connu et compréhensible. Il doit enfin être légitime, c’est-à-dire compatible avec les missions de l’organisme. Pour la Cnil, l’exigence de définition d’une finalité doit être adaptée au contexte de l’IA, sans disparaître pour autant.

2. Déterminer les responsabilités selon les usages :

  • Le responsable de traitement, qui détermine les objectifs et les moyens, décide du « pourquoi » et du « comment » de l’utilisation de données personnelles. Plusieurs organismes peuvent décider et être responsables conjointement du traitement. Il s’agit alors de déterminer leurs obligations respectives, notamment par le biais d’un contrat.
  • Le sous-traitant (ST) agit pour le compte d’un donneur d’ordres qui est le « responsable du traitement ». Ce dernier doit s’assurer du respect du RGPD par le ST et que les données ne sont traitées que sur ses instructions. La loi prévoit la conclusion d’un contrat de sous-traitance.

3. Définir la base légale qui autorise à traiter des données personnelles. Selon le RGPD, il en existe six : le consentement, le respect d’une obligation légale, l’exécution d’un contrat, l’exécution d’une mission d’intérêt public, la sauvegarde des intérêts vitaux et la poursuite d’un intérêt légitime. Les obligations et les droits des personnes varient selon la base légale.

4. Vérifier la possibilité de réutiliser des données personnelles selon les modalités de collecte et la source des données. Le responsable de traitement doit effectuer certaines vérifications complémentaires afin de garantir que leur utilisation est légale.

5. Minimiser les données personnelles utilisées, qui doivent être adéquates, pertinentes et limitées au strict nécessaire en fonction de l’objectif défini, en particulier pour les données sensibles (concernant la santé, la vie sexuelle, les opinions religieuses ou politiques, etc.).

6. Définir une durée de conservation avant suppression ou archivage au regard de l’objectif ayant conduit au traitement de ces données.

7. Réaliser une analyse d’impact sur la protection des données pour cartographier et évaluer les risques d’un traitement sur la protection des données personnelles, avant d’établir un plan d’action pour les réduire à un niveau acceptable. Elle passe par la définition des mesures de sécurité nécessaires à la protection des données.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

17 oct. 2025 - 10:18,

Actualité

- Rédaction, DSIH

L’Agence régionale de santé (ARS) Pays de la Loire, en partenariat avec la Caisse primaire d’assurance maladie (CPAM) de la Mayenne et le groupement e-santé régional, a présenté la feuille de route du numérique en santé 2025-2026.

Illustration Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

13 oct. 2025 - 19:56,

Communiqué

- CHU de Reims

Le Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Illustration Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

13 oct. 2025 - 10:01,

Actualité

- Rédaction, DSIH

À l’occasion de la Fête de la science, l’Espace Mendès France de Poitiers a récemment accueilli une conférence passionnante consacrée à l’intelligence artificielle (IA) en santé. Intitulée « Intelligence artificielle en santé, entre progrès technologique et éthique : où en est-on ? », cette rencontr...

Illustration Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique

Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique

13 oct. 2025 - 09:46,

Actualité

- Rédaction, DSIH

L’Agence du Numérique en Santé (ANS) a récemment signalé plusieurs tentatives de fraude visant l’application e-CPS et le portail ProSantéConnect (PSC). Ces attaques, fondées sur des techniques d’ingénierie sociale, consistent à se faire passer pour le « service client CPS » afin d’obtenir des codes ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.