Pour la Cnil, le développement de systèmes d’IA n’est pas incompatible avec les enjeux de protection de la vie privée, à condition de ne pas franchir certaines limites.
Ce n’est pas un scoop, l’entraînement des algorithmes d’intelligence artificielle exige le traitement de nombreuses données, données personnelles comprises. Et mal utilisés, ces algorithmes peuvent représenter un risque pour le droit des individus, en diffusant par exemple de fausses informations.
Innovation et RGPD ne sont pas inconciliables
A ce titre, la Cnil a mis en ligne, mercredi 11 octobre, sept fiches pratiques pour tenter de donner les lignes directrices de l’utilisation de l’IA dans un cadre respectueux du RGPD. Suite à des échanges avec des opérateurs, la Cnil a pris connaissance de quelques inquiétudes d’ordre réglementaire. « Selon certains, les principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte résultant du RGPD freineraient voire empêcheraient certaines recherches ou applications de l’intelligence artificielle. », écrit la Cnil. L’Autorité administrative a répondu à ces inquiétudes en confirmant qu’innovation en IA et RGPD ne sont pas incompatibles. A comprendre, la Cnil autorise une certaine souplesse, bien qu’il existe effectivement certaines lignes rouges à ne pas franchir.
Des principes ajustables
L’autorité donne pour exemple le principe de finalité du RGPD. Celui-ci impose de n’utiliser des données personnelles que pour un objectif bien défini. La Cnil reconnaît qu’un opérateur ne peut pas définir l’ensemble des applications futures au stade de l’entraînement du système d’IA. Cependant, la Cnil rappelle que le type de système et ses fonctionnalités principales « envisageables » doivent être précisées.
Le principe de minimisation n’empêche pas l’entraînement d’algorithmes sur de grands ensemble de données poursuit la Cnil. Ce principe impose que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Les données devront toutefois avoir été sélectionnées au regard de leur utilité réelle pour optimiser l’entraînement de l’algorithme prévient la Cnil. Un numéro d’équilibriste qui promet d’être délicat pour les opérateurs.
Accompagner les acteurs français
Pour ce qui est de la conservation limitée des données dans le cadre d’entraînement de modèle d’IA, la durée de conservation pourra être longue si justifiée. La réutilisation des bases de données pour l’entraînement des modèles sera possible, à condition que les opérateurs aient préalablement vérifié que les données n’ont pas été collectées illégalement et « que la finalité de réutilisation est compatible avec la collecte initiale ».
Face à ces problématiques nouvelles, la Cnil a créé en janvier 2023 un service dédié à l’IA et a lancé un plan d’action afin de clarifier les règles dans ce secteur. En parallèle, deux programmes ont été lancés pour accompagner les acteurs français : L’appel à projet bac à sable, qui vise à vise à accompagner trois projets d’intelligence artificielle destinés aux services publics ; ainsi qu’un dispositif d’accompagnement pour trois entreprises.