La CNIL a publié ce 8 avril ses premières recommandations sur l’application du RGPD au développement des systèmes d’IA. Elaborées après une consultation publique de deux mois et une série de rencontres avec des acteurs publics et privés pour recueillir leurs interrogations sur le sujet, elles visent à éclairer les décisions stratégiques de développement ou d'utilisation que ces derniers devront prendre dans les prochains mois.
Pour la CNIL, le RGPD a vocation à s’appliquer à l’ensemble des traitements de données personnelles, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements relevant du régime spécifique aux secteurs “police-justice” ou du régime intéressant la défense nationale ou la sûreté de l’État.
Les principaux acteurs français de l’IA, qu’il s’agisse d’entreprises, de laboratoires ou encore des pouvoirs publics, rencontrés par la CNIL, ont fait remonter un fort besoin de sécurité juridique mais aussi des inquiétudes liées au RGPD : selon certains, ses principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte freineraient voire empêcheraient certaines recherches ou applications de l’intelligence artificielle.
Cependant pour la CNIL :
"L’idée reçue selon laquelle le RGPD empêcherait l’innovation en intelligence artificielle en Europe est fausse. En revanche, il faut avoir conscience que les bases d’entraînement comprennent parfois des « données personnelles », des informatiques sur des personnes réelles. L’utilisation de ces données fait courir des risques aux personnes, qu’il faut prendre en compte, afin de développer des systèmes d’IA dans des conditions qui respectent les droits et libertés des personnes, et notamment leur droit à la vie privée".
Les 7 premières recommandations de la CNIL
Ces premières recommandations, élaborées en prenant en compte le RGPD mais également l'AI Act, concernent la phase de développement de systèmes d’IA, (conception du système, constitution de la base de données et entraînement) et non celle de déploiement. Les systèmes d'IA concernés sont ceux qui impliquent un traitement de données personnelles, à savoir :- Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
- Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (« general purpose AI »).
- Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en utilisant des données d’utilisation pour son amélioration.
Définir une finalité pour le système d’IA
Le principe de finalité exige de n’utiliser des données personnelles que pour un objectif précis défini à l’avance, ce qui permet de limiter les données personnelles que l’on va pouvoir utiliser pour l’entraînement d'un système d'IA. Il doit également être légitime, c’est-à-dire compatible avec les missions de l’organisme. Alors qu'il est parfois objecté que l’exigence de définir une finalité est incompatible avec l’entraînement d’IA, qui peut développer des caractéristiques non anticipées, la CNIL estime qu’il n’en est rien et que l’exigence de définition d’une finalité doit être adaptée au contexte de l’IA, sans disparaître pour autant. Elle identifie trois types de situations qu'elle éclaire par des exemples:- Lorsque l'usage opérationnel d'un système d'IA est clairement défini, la définition de finalité va guider les phases de développement, de déploiement et d'utilisation. Par exemple, si un organisme constitue une base de données de photos de rames de trains en service pour entraîner un algorithme mesurant l'affluence et la fréquentation des trains à quai dans les gares, l'objectif est déterminé, explicite et légitime en phase de développement.
- Dans le cas des systèmes d’IA à usage général, par exemple, la constitution d'une base de données pour l'entraînement d'un modèle de classification d'images sans usage opérationnel spécifique prévu, la CNIL recommande de ne pas définir la finalité de manière trop générale mais plutôt de spécifier le type de système développé et ses fonctionnalités et capacités potentielles. Elle invite également à préciser les capacités prévisibles les plus à risque, les fonctionnalités exclues par conception, ainsi que les conditions d'utilisation du système d'IA, comme les cas d'usage connus ou les modalités de diffusion ;
- Pour les SIA développés à des fins de recherche scientifique, l'objectif peut être moins détaillé au début du projet, mais elle recommande de documenter la démarche scientifique et de fournir des informations complémentaires au fur et à mesure de l'avancement du projet.