Assurer que le traitement est licite

11 octobre 2023

L’organisme qui souhaite constituer une base de données d’apprentissage contenant des données personnelles puis l’utiliser pour entraîner un algorithme doit s’assurer que le traitement est autorisé par la loi. La CNIL vous aide à déterminer vos obligations en fonction de votre responsabilité et des modalités de collecte ou de réutilisation des données.

Le responsable de traitement doit définir, dans tous les cas, une base légale et doit effectuer, en fonction du mode de collecte ou de réutilisation des données, certaines vérifications supplémentaires.

Il existe plusieurs moyens de constituer une base de données à des fins d’apprentissage, qui peuvent être utilisés de manière cumulative :

  • les données sont collectées directement auprès des personnes ;
  • les données sont indirectement collectées à partir de sources ouvertes sur Internet pour cette finalité ;
  • les données ont initialement été collectées pour un autre objectif par le responsable du traitement lui-même (par exemple, dans le cadre de la fourniture d’un service à ses utilisateurs) ou par un autre responsable de traitement. Cela implique de prendre des précautions complémentaires.

 

 

 

Définir une base légale


En cas de réutilisation de données, effectuer les tests et vérifications complémentaires nécessaires


Outre ces vérifications préalables, et quel que soit le mode de collecte utilisé, les réutilisateurs doivent analyser complètement la conformité de leurs propres traitements, y compris lorsqu’ils réutilisent des bases de données dont la constitution et la diffusion ne relèvent pas du droit français ou européen (contrairement à leur réutilisation par une entité établie sur le territoire français ou européen qui est soumise au RGPD). En particulier, le réutilisateur doit veiller au respect des exigences vis-à-vis des personnes dont les données sont présentes dans la base ainsi obtenue : il doit les informer du traitement qu’il souhaite faire des données et leur permettre d’exercer leurs droits.

À noter : une fiche concernant l’information et la gestion des droits des personnes sera publiée ultérieurement.

 


Fiche précédente : déterminer la qualification juridique des fournisseurs de systèmes d’IA Sommaire Fiche suivante : réaliser une analyse d’impact si nécessaire