Intelligence artificielle : la CNIL dévoile ses premières réponses pour une IA innovante et respectueuse de la vie privée
En soumettant à consultation publique ses premières fiches pratiques relatives à la constitution de bases de données d’apprentissage des systèmes d’intelligence artificielle, la CNIL répond aux acteurs du secteur et montre que le règlement général sur la protection des données (RGPD) soutient une approche innovante et responsable.
La CNIL se mobilise pour une IA innovante et respectueuse des personnes.
Le développement de l’intelligence artificielle est porteur de grandes opportunités technologiques dans tous les domaines de l’économie et de la société : dans la santé, pour les services publics ou la productivité des entreprises. La CNIL souhaite accompagner les acteurs innovants et garantir la protection des libertés individuelles.
En effet, l’entraînement des algorithmes consomme beaucoup de données, notamment de données personnelles, dont l’usage est encadré pour protéger la vie privée des personnes. L’usage des algorithmes ainsi entraînés peut, dans certains cas, porter atteinte aux droits des personnes, par exemple en facilitant la création de fausses informations, en multipliant les processus de décisions entièrement automatisés ou en permettant de nouvelles formes de suivi et de surveillance des individus.
Face à ces nouveaux défis, la CNIL promeut une innovation responsable qui explore les dernières technologies d’intelligence artificielle tout en protégeant les personnes. Elle a créé en janvier 2023 un service dédié à l’intelligence artificielle, qui est maintenant opérationnel, et a lancé au printemps un plan d’action qui doit lui permettre de clarifier les règles et de soutenir l’innovation dans ce domaine. Deux programmes d’accompagnement dédiés à l’intelligence artificielle ont été lancés pour accompagner des acteurs français : un bac à sable pour trois projets utilisant l’intelligence artificielle (IA) au bénéfice des services publics et un dispositif d’accompagnement renforcé pour trois entreprises innovantes de taille intermédiaire (« scale-ups ») dont une spécialisée dans la mise à disposition de base de données et de modèles pour l’IA.
La CNIL veut apporter de la sécurité juridique aux acteurs de l’intelligence artificielle
La CNIL a rencontré les principaux acteurs français de l’intelligence artificielle, qu’il s’agisse d’entreprises, de laboratoires ou encore des pouvoirs publics. Tous ont fait remonter un fort besoin de sécurité juridique. Elle a également lancé cet été un appel à contributions sur la constitution de base de données afin d’alimenter sa réflexion.
Pour clarifier les règles applicables en la matière et après ces étapes, la CNIL, publie aujourd’hui une première série de lignes directrices pour un usage de l’IA respectueux des données personnelles. Elle sera suivie de deux autres, qui les complèteront sur d’autres questions que se pose le secteur de l’IA.
Participer à la consultation publique
Le RGPD offre un cadre innovant et protecteur pour l’ IA
Les échanges de ces derniers mois ont fait remonter des inquiétudes : selon certains, les principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte résultant du RGPD freineraient voire empêcheraient certaines recherches ou applications de l’intelligence artificielle.
La CNIL répond à ces objections, en confirmant la compatibilité des recherches et développements en IA avec le RGPD, à condition de ne pas franchir certaines lignes rouges et de respecter certaines conditions.
Le principe de finalité s’applique aussi, de manière adaptée, aux systèmes d’IA à usage général
Le principe de finalité impose de n’utiliser des données personnelles que pour un objectif précis (finalité) défini à l’avance. En matière d’IA, la CNIL admet qu’un opérateur ne puisse pas définir au stade de l’entraînement de l’algorithme l’ensemble de ses applications futures, à condition que le type de système et les principales fonctionnalités envisageables aient été bien définies.
Le principe de minimisation n’empêche pas l’utilisation de larges bases de données
Le principe de minimisation n’empêche pas, selon la CNIL, l’entraînement d’algorithmes sur des très grands ensembles de données. Les données utilisées devront en revanche, en principe, avoir été sélectionnées pour optimiser l’entraînement de l’algorithme tout en évitant l’utilisation de données personnelles inutiles. Dans tous les cas, certaines précautions pour assurer la sécurité des données sont indispensables.
La durée de conservation des données d’entraînement peut être longue si c’est justifié
Le principe de conservation limitée n’empêchera pas la définition de durées longues pour les bases de données d’entraînement, qui requièrent un investissement scientifique et financier important et deviennent parfois des standards largement utilisés par la communauté.
La réutilisation de bases de données est possible dans de nombreux cas
La CNIL estime enfin que la réutilisation de jeux de données, notamment de données publiquement accessibles sur internet, est possible pour entraîner des IA, sous réserve de vérifier que les données n’ont pas été collectées de manière manifestement illicites et que la finalité de réutilisation est compatible avec la collecte initiale. A cet égard, la CNIL estime que les dispositions relatives à la recherche et à l’innovation dans le RGPD permettent un régime aménagé pour les acteurs innovants de l’IA qui utilisent des données de tiers.
Le développement de systèmes d’IA est conciliable avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes. C’est à cette condition que les citoyens feront confiance à ces technologies.