IA et RGPD : la Cnil publie deux nouvelles recommandations

Certains systèmes d’intelligence artificielle peuvent contenir des données personnelles (utilisées notamment comme données d’entraînement du système ou obtenues par le biais des requêtes) et se trouver ainsi soumis au règlement européen sur la protection de ces données (RGPD ; Règl. 2016-679 du 27-4-2016).

Pour faciliter l’application des règles du RGPD dans le contexte spécifique de l’IA, la Cnil vient de publier deux nouvelles recommandations, présentées sous forme de fiches pratiques et visant à donner des solutions pour informer les personnes concernées et faciliter l’exercice de leurs droits.

En ce qui concerne l’information des personnes, lorsque des données personnelles servent à l’entraînement d’un modèle d’IA et sont potentiellement mémorisées par celui-ci, les personnes concernées doivent être informées, rappelle la Cnil. Elle recommande d’adapter les modalités de cette information en fonction des risques pour les personnes et des contraintes opérationnelles. Par exemple, lorsque de nombreuses sources sont utilisées (notamment pour les modèles d’IA à usage général), une information globale indiquant des catégories de sources « voire le nom de quelques sources principales » est généralement suffisante.

En ce qui concerne l’exercice de leurs droits par les personnes concernées (notamment, droit d’accès, de rectification, d’opposition et d’effacement des données personnelles), la Cnil constate que ces droits peuvent être particulièrement difficiles à mettre en œuvre dans le cadre de modèles d’IA, qu’il s’agisse d’identifier les personnes au sein du modèle ou de le modifier. Elle invite les acteurs à porter une attention particulière aux données personnelles présentes dans les bases d’entraînement, en s’efforçant de rendre les modèles anonymes et en développant des solutions innovantes pour empêcher la divulgation de données personnelles confidentielles par le modèle. Elle relève également que le coût, l’impossibilité ou les difficultés pratiques pourront parfois justifier un refus d’exercice des droits.

A noter : Ces deux nouvelles recommandations s’ajoutent à celles déjà publiées par la Commission depuis le lancement de son plan d’action sur l’IA en mai 2023 et également présentées sous forme de fiches pratiques, qui portent sur :

- la détermination du régime juridique applicable aux traitements de données personnelles en phase de développement et en phase de déploiement (fiche 1) ;

- la définition d’une finalité en tenant compte des spécificités du développement des systèmes d’IA (fiche 2) ;

- la détermination de la qualification juridique des différents acteurs de l’IA (fournisseurs de systèmes d’IA, personnes les déployant) (fiche 3) ;

- la définition d’une base légale et les vérifications supplémentaires à opérer en cas de réutilisation des données, notamment afin de constituer une base de données d’apprentissage (fiches 4-1 et 4-2) ;

- la réalisation d’une analyse d’impact, si nécessaire, la Cnil examinant les cas dans lesquels la mise en place d’un système d’IA devra donner lieu à une étude d’impact, et la manière dont réaliser celle-ci dans ce cadre (fiche 5) ;

- la prise en compte des règles de protection des données (en particulier du principe de minimisation) dès les choix de conception du système (fiche 6) ;

- la prise en compte de la protection des données dans la collecte et la gestion des données d’apprentissage (fiche 7) ;

- l’utilisation de la base légale de l’intérêt légitime pour développer un système d’IA, avec un focus sur la diffusion des modèles en open source et sur les mesures à prendre en cas de collecte des données par moissonnage (web scraping) (fiches 8, 8-1 et 8-2) ;

- l’annotation des données, consistant à attribuer une description, appelée « label » ou « étiquette », à chacune des données qui doit servir de « vérité de terrain » pour le modèle, lequel doit apprendre à traiter, classer ou encore discriminer les données en fonction de ces informations (fiche 11) ;

- la sécurité du développement d’un système d’IA (fiche 12).

Le Comité européen de protection des données (CEPD), qui réunit les autorités européennes de protection des données, a récemment adopté un avis sur le traitement de données personnelles pour le développement et le déploiement de modèles d’IA (Opinion 28/2024 « on certain data protection aspects related to the processing of personal data in the context of AI model » du 17-12-2024, en anglais), dans lequel il se prononce notamment sur les points suivants : les conditions dans lesquelles les modèles d’IA peuvent être considérés comme anonymes ; celles dans lesquelles l’intérêt légitime peut être utilisé comme base juridique pour développer ou utiliser des modèles d’IA et, enfin, les conséquences du développement illicite d’un modèle d’IA sur son utilisation.

IA : informer les personnes concernées, recommandation Cnil du 7-2-2025
IA : respecter et faciliter l’exercice des droits des personnes concernées : recommandation Cnil du 7-2-2025

L'@ctualité en ligne, www efl.fr 27/02/2025