Les systèmes d’IA seront bien soumis au RGPD. Pour éviter toute esquive ou difficulté de mise en application des règles, la Cnil vient de publier des recommandations. Elles doivent permettre aux concepteurs de systèmes d’IA d’assurer la protection des données personnelles des personnes.
Devant les nombreuses questions juridiques et opérationnelles soulevées par l’utilisation, mais aussi l’élaboration de systèmes d’IA, la Cnil a publié une série de recommandations. Objectif : concilier le développement de systèmes d’IA avec les enjeux de protection de la vie privée qui sont au cœur du RGPD. Après avoir publié en mai 2023 son « plan IA », la Cnil s’est lancée dans un travail de « clarification du cadre juridique afin de sécuriser les acteurs ».
L’une des premières conclusions de cette démarche est de reconnaître aux yeux de la Cnil que le développement de ces systèmes est « conciliable avec les enjeux de protection de la vie privée » et que c’est « à cette condition que les citoyens feront confiance à ces technologies ». Reste à savoir comment faire. C’est l’objet des recommandations.
Les points délicats à gérer
Celles-ci doivent permettre aux acteurs concernés, y compris les services RH donc, d’assurer leur mise en conformité avec la législation sur la protection des données personnelles. Les recommandations permettent d’aborder les points les plus délicats à gérer, en l’occurrence les points clés du RGPD :
- déterminer le régime juridique applicable ;
- définir une finalité ;
- déterminer la qualification juridique des acteurs ;
- définir une base légale ;
- effectuer des tests et vérifications en cas de réutilisation des données ;
- réaliser une analyse d’impact si nécessaire ;
- tenir compte de la protection des données dès les choix de conception du système ;
- tenir compte de la protection des données dans la collecte et la gestion des données.
La Cnil réfute l’opinion courante qui voudrait que le RGPD empêche l’innovation en intelligence artificielle. Elle souligne, en revanche, que les bases d’entraînement qui permettent de mettre au point les systèmes d’IA détiennent parfois des « données personnelles », c’est-à-dire des informations relatives à des personnes réelles.
La commission précise que « l’utilisation [de ces données personnelles] fait courir des risques aux personnes, qu’il faut prendre en compte, afin de développer des systèmes d’IA dans des conditions qui respectent les droits et libertés des personnes, et notamment leur droit à la vie privée ».
Le déploiement n'est pas concerné
Les recommandations émises concernent donc en premier lieu le développement de systèmes d’IA impliquant un traitement de données personnelles, mais pas les phases de déploiement. Trois types de systèmes entrent dans ce périmètre :
- les systèmes fondés sur l’apprentissage automatique (machine learning) ;
- les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (« general purpose AI ») ;
- les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en utilisant des données d’utilisation pour son amélioration.
La Cnil précise ce qui doit être compris à travers le terme « développement », il s’agit des phases suivantes : « la conception du système, la constitution de la base de données et l’apprentissage. » Elle précise par ailleurs que ses recommandations tiennent déjà compte des dispositions du nouveau règlement européen sur l’intelligence artificielle (AI Act), car l’usage de données personnelles dans un système d’IA implique l’application des deux textes.