Recommandations de la Cnil sur l’IA

À la suite de son plan IA de mai 2023, la Commission nationale de l’informatique et des libertés (Cnil) a produit une clarification du cadre juridique afin de sécuriser les acteurs concernés. Une série de recommandations pour un usage de l’IA respectueux des données personnelles a ainsi été établie.

Accompagner la mise en conformité

Ses recommandations ont été élaborées en concertation avec les acteurs publics et privés, mais aussi via une consultation publique avec les parties prenantes (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.). Elles concernent les IA impliquant un traitement de données personnelles :

• Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
• Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (general purpose AI) ;
• Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en exploitant des données pour l’améliorer.

Les préconisations sont destinées à accompagner les démarches de mise en conformité avec la législation sur la protection des données personnelles en apportant des réponses concrètes et illustrées aux questions juridiques et techniques liées à l’application du RGPD en matière d’IA dans la phase de développement de systèmes d’IA (conception, constitution de la base de données et apprentissage).

Ces recommandations seront complétées par d’autres fiches (base légale de l’intérêt légitime, gestion des droits, information des personnes concernées, annotation et sécurité lors de la phase de développement) qui seront soumises à consultation publique.

Les sept principes à observer

1. Définir un objectif pour le système d’IA afin de cadrer et de limiter les données personnelles utilisées pour l’entraînement, sans stocker et traiter des données inutiles. Cet objectif doit être déterminé dès la définition du projet, explicite, connu et compréhensible. Il doit enfin être légitime, c’est-à-dire compatible avec les missions de l’organisme. Pour la Cnil, l’exigence de définition d’une finalité doit être adaptée au contexte de l’IA, sans disparaître pour autant.

2. Déterminer les responsabilités selon les usages :

• Le responsable de traitement, qui détermine les objectifs et les moyens, décide du « pourquoi » et du « comment » de l’utilisation de données personnelles. Plusieurs organismes peuvent décider et être responsables conjointement du traitement. Il s’agit alors de déterminer leurs obligations respectives, notamment par le biais d’un contrat.
• Le sous-traitant (ST) agit pour le compte d’un donneur d’ordres qui est le « responsable du traitement ». Ce dernier doit s’assurer du respect du RGPD par le ST et que les données ne sont traitées que sur ses instructions. La loi prévoit la conclusion d’un contrat de sous-traitance.

3. Définir la base légale qui autorise à traiter des données personnelles. Selon le RGPD, il en existe six : le consentement, le respect d’une obligation légale, l’exécution d’un contrat, l’exécution d’une mission d’intérêt public, la sauvegarde des intérêts vitaux et la poursuite d’un intérêt légitime. Les obligations et les droits des personnes varient selon la base légale.

4. Vérifier la possibilité de réutiliser des données personnelles selon les modalités de collecte et la source des données. Le responsable de traitement doit effectuer certaines vérifications complémentaires afin de garantir que leur utilisation est légale.

5. Minimiser les données personnelles utilisées, qui doivent être adéquates, pertinentes et limitées au strict nécessaire en fonction de l’objectif défini, en particulier pour les données sensibles (concernant la santé, la vie sexuelle, les opinions religieuses ou politiques, etc.).

6. Définir une durée de conservation avant suppression ou archivage au regard de l’objectif ayant conduit au traitement de ces données.

7. Réaliser une analyse d’impact sur la protection des données pour cartographier et évaluer les risques d’un traitement sur la protection des données personnelles, avant d’établir un plan d’action pour les réduire à un niveau acceptable. Elle passe par la définition des mesures de sécurité nécessaires à la protection des données.