Aller au contenu

Veille tech & IA — analyses Qant Recherche

Article

La Cnil consulte pour réconcilier IA et protection des données

La Cnil lance une consultation publique sur des directives concernant l'utilisation de l'IA respectueuse de la protection des données personnelles. Sept premières fiches pratiques sont mises à disposition, sur des thèmes allant du régime juridique du traitement des données jusqu'à la base légale utilisée pour leur collecte.

La Cnil consulte pour réconcilier IA et protection des données

A l’occasion du lancement par la Cnil (Commission nationale de l’informatique et des libertés) d’une consultation publique sur une utilisation de l’IA respectueuse de la protection des données, l’organisme a partagé plusieurs fiches destinées à être enrichies grâce à la consultation. Ces fiches, axées sur la phase de développement des systèmes d’IA, couvrent divers types de systèmes, qu’ils soient basés sur l’apprentissage automatique ou sur la logique. Elles visent selon la Cnil à aider un large éventail de professionnels, tant juridiques que techniques, à respecter le Règlement général sur la protection des données (RGPD) lors de la mise en œuvre de l’IA et détaillent les étapes de conception, de constitution de bases de données et d’apprentissage.

I La détermination du régime juridique applicable

La Cnil fournit dans sa première fiche pratique des directives pour assurer la conformité des systèmes d’intelligence artificielle avec la réglementation sur les données personnelles pendant leur phase de développement. Les phases de développement et de déploiement d’un système d’IA sont considérées comme des traitements distincts de données personnelles, chacun nécessitant une détermination du régime juridique applicable. Bien que le Règlement général sur la protection des données (RGPD) soit généralement applicable, il existe des exceptions pour certains domaines tels que la police, la justice, la défense nationale ou la sûreté de l’État. La Cnil souligne l’importance de définir clairement l’usage opérationnel du système d’IA dès la phase de développement pour déterminer le régime juridique approprié.

II Quelle finalité pour les systèmes d’IA ?

Dans une deuxième fiche, la Cnil met l’accent sur l’importance de définir clairement la finalité lors de la constitution de bases de données contenant des données personnelles pour l’apprentissage des systèmes d’IA, conformément au RGPD. Cet objectif doit être déterminé, explicite et légitime. La finalité est essentielle car elle influence d’autres principes du RGPD tels que la transparence, la minimisation des données et la limitation de la durée de conservation. Deux scénarios principaux sont envisagés : lorsque l’usage opérationnel de l’IA est clairement défini dès la phase de développement et lorsqu’il ne l’est pas. De plus, des dérogations spécifiques sont prévues pour les traitements de données à des fins de recherche scientifique, qui doivent néanmoins respecter certaines garanties pour les droits des individus. La Cnil propose également des critères pour déterminer si un traitement relève de la « recherche scientifique » au sens du RGPD.

III Définir le rôle des systèmes d’IA

Les fournisseurs de systèmes d’IA qui créent des bases de données d’apprentissage avec des données personnelles doivent définir leur rôle selon le RGPD : ils peuvent être responsables de traitement, co-responsables ou sous-traitants. Le responsable de traitement détermine les objectifs et les moyens du traitement des données. Si un fournisseur d’IA développe un système et crée sa propre base de données, il est généralement considéré comme responsable de traitement. Si plusieurs entités collaborent pour un objectif commun, elles peuvent être co-responsables. Dans ce cas, elles doivent définir clairement leurs obligations respectives. Un fournisseur d’IA peut aussi agir en tant que sous-traitant s’il développe un système pour un client. Si un fournisseur utilise la même base de données pour différents clients, il est généralement considéré comme responsable de traitement pour la création de cette base.

IV Vers un traitement licite des données

Lors de la constitution d’une base de données d’apprentissage contenant des données personnelles pour entraîner un algorithme, il est essentiel de s’assurer que le traitement est conforme à la loi. Le responsable du traitement doit identifier une base légale pour le traitement des données. Les données peuvent être collectées directement auprès des individus, indirectement via des sources ouvertes, ou réutilisées à partir d’autres finalités. Les bases légales possibles incluent le consentement, l’intérêt légitime, la mission d’intérêt public et le contrat. Le traitement de données sensibles, telles que l’origine ethnique ou les données biométriques, est généralement interdit sauf dans certaines exceptions spécifiées par le RGPD.

Lors de la réutilisation des données, en particulier pour l’entraînement d’une IA, il est impératif d’effectuer des vérifications pour garantir la conformité avec la loi. Si les données ont été initialement collectées pour une autre finalité, un « test de compatibilité » est nécessaire pour déterminer si la nouvelle utilisation est en accord avec la finalité initiale. De plus, lors de la réutilisation de données publiquement accessibles ou acquises auprès d’un tiers, il est essentiel de s’assurer de leur licéité, notamment en vérifiant leur source et leur nature. Enfin, les réutilisateurs doivent toujours informer les personnes concernées de la manière dont leurs données sont traitées et leur permettre d’exercer leurs droits, en conformité avec le RGPD.

V L’analyse d’impact sur la protection des données

La création d’une base de données pour l’apprentissage d’un système d’IA peut présenter des risques pour les droits et libertés des individus. Dans ce contexte, une Analyse d’Impact sur la Protection des Données (AIPD) est requise, comme l’explique la Cnil. Cette démarche vise à évaluer et à minimiser les risques associés au traitement des données personnelles. L’AIPD prend en compte divers critères, dont la collecte de données sensibles, la collecte à grande échelle et l’utilisation de nouvelles technologies. Le Comité européen de la protection des données a établi neuf critères pour déterminer la nécessité d’une AIPD. Les systèmes d’IA ne sont pas systématiquement considérés comme innovants, et tous ne nécessitent pas une AIPD. Cependant, des risques spécifiques à l’IA, tels que la discrimination automatisée ou la production de contenu fictif, doivent être pris en compte. Une fois l’AIPD réalisée, des mesures appropriées, qu’elles soient techniques, organisationnelles ou de gouvernance, doivent être mises en place pour atténuer les risques identifiés.

VI Concevoir un système en tenant compte de la protection des données

Pour développer un système d’IA respectueux de la protection des données, une réflexion approfondie est nécessaire dès la phase de conception, explique la Cnil. Les principes de protection des données, notamment le principe de minimisation, doivent être centraux. Il est essentiel de définir clairement l’objectif du système, son architecture technique, les sources de données utilisées, et de ne sélectionner que les données strictement nécessaires. La validité de ces choix doit être confirmée, par exemple par une étude pilote ou l’avis d’un comité éthique. Ce comité, idéalement pluridisciplinaire et indépendant, évalue les implications éthiques et garantit le respect des droits et libertés des individus. La prise en compte du RGPD, en particulier pour les données sensibles, est cruciale. Enfin, une veille technologique constante est recommandée, étant donné l’évolution rapide des technologies et des enjeux liés à la protection des données.

VII Une collecte et une utilisation des données respectueuses de leur protection

La Cnil conclut en expliquant que le développement d’un système d’intelligence artificielle exige une gestion rigoureuse des données d’apprentissage. Elle souligne l’importance d’intégrer les principes de protection des données personnelles dès la conception. Une fois les données identifiées, elles doivent être collectées, vérifiées et minimisées pour ne conserver que les éléments pertinents. Des techniques spécifiques, comme le « web scraping », nécessitent une attention particulière pour éviter la collecte excessive. Les données doivent ensuite être nettoyées, identifiées et protégées pour garantir leur intégrité et pertinence. La sélection des données pertinentes est cruciale pour optimiser les performances de l’IA. Par ailleurs, des mesures de protection, telles que la généralisation et la randomisation, doivent être appliquées pour garantir la confidentialité. La durée de conservation des données doit être définie et justifiée, et des mesures de sécurité appropriées doivent être mises en place. Enfin, une documentation complète est essentielle pour assurer la traçabilité et la transparence du processus.

Pour en savoir plus :

Source archive Kessel : https://qant.kessel.media/posts/pst_56c648be19f64eb5a037ba906ab3d9ad