Depuis plusieurs mois, la Cnil se positionne sur l’IA avec la création d’une entité distincte sur ce sujet, mais aussi par une consultation publique. 43 sociétés et organismes ont répondu à cette dernière que le régulateur a analysé avant de publier ses premières recommandations sur l’IA. Elles se composent de 7 fiches touchant le développement des systèmes IA. Dès le départ, la Cnil évacue le conflit entre innovation et RGPD, « l’idée reçue selon laquelle le RGPD empêcherait l’innovation en intelligence artificielle en Europe est fausse ». Par contre les bases d’entraînement comprennent parfois des données personnelles et demandent une attention particulière.
La finalité et ses dérivées
La première fiche concerne la définition de l’objectif de l’IA que l’on souhaite développer. La finalité encadrera et limitera les données personnelles nécessaires pour l’atteindre. La Cnil ajoute des exigences d’information (connu et compréhensible) et de légitimité (adéquation avec les missions de l’entreprise ou l’administration). Elle reconnait que la définition de cette finalité est complexe sur un système d’IA à usage général utilisable sur des contextes variés ou à des fins de recherches scientifiques. Dans ce cas-là, la Cnil recommande des bonnes pratiques comme déterminer les capacités prévisibles les plus à risque, les fonctions exclues dés la conception, les conditions d’utilisation de l’IA (open source, SaaS, API,…).
Cette fiche est à rapprocher de celle liée à la minimisation des données personnelles utilisées. Elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. La durée de conservation des données dépend de la même façon de l’objectif du système IA. Elle doit faire l’objet d’une planification en amont et d’un suivi dans le temps. Et bien sûr, les personnes doivent être informées de cette durée.
Responsabilité et base légale
Un autre fiche s’intéresse à la responsabilité en distinguant le ou les responsables de traitement et les sous-traitants. Pour le premier, il s’agit du donneur d’ordre qui définit le « pourquoi » et le « comment » de l’utilisation des données personnelles. Il peut y avoir plusieurs responsables de traitement en fonction des apports de chacun. Sur la partie tiers, la Cnil recommande de s’en remettre au contrat de sous-traitance sur les données personnelles avec des exigences de respect des instructions du responsable de traitement, de non utilisation des données pour autre chose, de protéger les données avec un niveau de sécurité rigoureux et enfin de respecter le RGPD.
Ce dernier fixe plusieurs bases légales pour traiter les données : le consentement, le respect d’une obligation légale, l’exécution d’un contrat, l’exécution d’une mission d’intérêt public, la sauvegarde des intérêts vitaux, la poursuite d’un intérêt légitime. En générale, le consentement est la base légale la plus répandue, mais dans le domaine de l’IA obtenir ce consentement peut se révéler impossible (réutilisation de base de données open source, scraping,…). Il faudra plutôt se tourner vers la poursuite de l’intérêt légitime en respectant des conditions. La Cnil précise qu’elle publiera prochainement une fiche publique sur ce thème spécifique. Enfin, une dernière fiche recommande aux développeurs de système IA de réaliser en amont une analyse d’impact « pour cartographier et évaluer les risques d’un traitement sur la protection des données personnelles ». Elle est en tout cas nécessaire pour les systèmes à haut risque référencés par l’IA Act, souligne le régulateur. Une chose est sûre, les DPO vont avoir du pain sur la planche…