La CNIL a publié, lundi 8 avril, une série de sept fiches pratiques pour tendre vers le développement de systèmes d’IA dans les clous du RGPD.
La CNIL a publié les premiers résultats de sa consultation publique sur l’IA pour un usage respectueux des données personnelles. Après avoir récolté quelque 43 contributions d’entreprises, de chercheurs, d’associations, d’établissements publics, de syndicats, de fédérations, de conseils juridiques et techniques entre autres… l'autorité a mis en ligne une série de sept recommandations élaborées « pour aider les professionnels à concilier innovation et respect des droits des personnes ».
Un objectif compatible avec les missions de l’organisme
La première concerne la définition d’une finalité pour les systèmes d’Intelligence artificielle, à comprendre : « un objectif bien défini », écrit la CNIL. Celui-ci doit être explicité dès la définition du projet et compatible avec les missions de l’organisme. Et ce, afin de limiter le cadre dans lequel les données seront utilisées pour l’entraînement et de ne traiter et stocker que des données utiles. La CNIL recommande également de déterminer la responsabilité et les obligations respectives au regard du RGPD entre les différents partenaires.
Minimiser les risques
En outre, le développement des systèmes d’IA devra reposer sur une base légale autorisant le traitement des données. « Le RGPD liste 6 bases légales possibles : le consentement, le respect d’une obligation légale, l’exécution d’un contrat, l’exécution d’une mission d’intérêt public, la sauvegarde des intérêts vitaux, la poursuite d’un intérêt légitime », énumère le gendarme des données personnelles. Selon la base choisie, les obligations et droits pourront varier. Quid de la conservation des données ? Là encore, c’est le RGPD qui donne le la. Il impose de déterminer une durée de conservation au terme de laquelle elles devront être supprimées.
La CNIL recommande enfin de réaliser une analyse d’impact sur la protection des données afin de cartographier et évaluer les risques liés au traitement des données personnelles et, le cas échéant, établir un plan d’action pour les minimiser. Toutes ces recommandations concernent la phase de développement des systèmes d’IA, et non le déploiement. La CNIL prévoit de publier d’autres fiches concernant la conception et l’entraînement des modèles conformément au RGPD, sur l’intérêt légitime, la gestion des droits, l’information des personnes, ou encore la sécurité du développement.