À l’occasion du Sommet pour l’action sur l’intelligence artificielle organisé début février, la CNIL a souhaité clarifier sa position concernant l’application du RGPD aux technologies d’IA. Cette initiative s’inscrit dans la continuité du plan d’action sur l’IA lancé par l’autorité en mai 2023, visant à sécuriser juridiquement les entreprises innovantes tout en préservant les droits des personnes.

Informer les personnes dont les données servent à l’IA

La première recommandation de la CNIL concerne l’information des personnes dont les données personnelles sont utilisées pour l’entraînement des modèles d’IA ou potentiellement mémorisées par ceux-ci.

Selon la CNIL, les modalités d’information peuvent être adaptées en fonction des risques pour les personnes et des contraintes opérationnelles. Lorsque les systèmes d’IA sont développés à partir de sources tierces et que le fournisseur n’est pas en capacité de contacter individuellement les personnes, une information générale, sur le site web par exemple, peut être suffisante.

Pour les modèles utilisant de nombreuses sources, comme les modèles d’IA à usage général, la CNIL indique qu’une information globale, mentionnant par exemple les catégories de sources utilisées, voire le nom des principales sources, est généralement suffisante.

Faciliter l’exercice des droits dans le contexte de l’IA

La seconde recommandation vise les droits d’accès, de rectification, d’opposition et d’effacement des données personnelles prévus par la réglementation européenne.

La CNIL note que ces droits sont difficiles à appliquer aux modèles d’IA, tant pour l’identification des personnes dans le modèle que pour la modification du modèle lui-même. Elle demande aux acteurs de prendre en compte la protection de la vie privée dès les phases de conception du modèle.

Pour les données d’entraînement, la CNIL formule deux recommandations principales :

  • chercher à rendre les modèles anonymes lorsque cela reste compatible avec leur objectif ;
  • créer des solutions techniques pour empêcher la divulgation de données personnelles confidentielles.

La CNIL indique que des contraintes de coût, des impossibilités techniques ou des difficultés pratiques peuvent parfois justifier un refus d’exercice des droits. Dans les cas où ces droits doivent être respectés, la CNIL considérera les moyens techniques disponibles pour le créateur du modèle et pourra accorder des délais adaptés. La CNIL mentionne également l’évolution rapide de la recherche dans ce domaine et invite les acteurs à suivre les avancées pour mieux protéger les droits des personnes.

Une application pragmatique des principes du RGPD à l’IA

Au-delà de ces deux recommandations principales, la CNIL clarifie l’application de certains principes fondamentaux du RGPD dans le contexte spécifique de l’IA.

  • Principe de finalité : pour les systèmes d’IA génériques, une description générale du type de système et de ses principales fonctionnalités envisageables est considérée comme suffisante.
  • Principe de minimisation : l’utilisation de larges bases de données est compatible avec ce principe, à condition que les données soient sélectionnées et nettoyées des informations personnelles non essentielles.
  • Durée de conservation : le stockage prolongé des bases d’entraînement est acceptable s’il est justifié et accompagné de mesures de sécurité adaptées.
  • Réutilisation de données : elle est permise après vérification de la licéité de la collecte initiale et de la compatibilité de la réutilisation avec cette collecte.

Les trois points clés à retenir

  • La CNIL propose d’adapter les modalités d’information des personnes dont les données personnelles sont utilisées pour l’entraînement des modèles d’IA, en fonction des situations.
  • Les entreprises doivent privilégier des approches préventives dès la conception des modèles pour garantir le respect de la vie privée des personnes dont les données servent à l’IA.
  • La CNIL recommande aux acteurs de suivre les évolutions dans le domaine de l’IA pour améliorer continuellement la protection des données personnelles.