IA : Déterminer le régime juridique applicable

08 avril 2024

Lorsqu’elle contient des données personnelles, la constitution de bases de données pour l’apprentissage d’un système d’IA puis la phase d’apprentissage elle-même doivent respecter la réglementation relative à la protection des données. La CNIL vous aide à déterminer le régime applicable aux traitements de données en phase de développement.

Le principe

Les phases de développement et de déploiement d’un système d’IA constituent des traitements de données personnelles distincts, soumis à la réglementation en matière de protection des données personnelles. Il existe des régimes juridiques différents selon les traitements :

le régime résultant du règlement général sur la protection des données (RGPD) qui a vocation à s’appliquer à l’ensemble des traitements de données personnelles, à la fois dans le secteur public et le secteur privé, à l’exception des traitements relevant des deux régimes spécifiques suivants ;
le régime spécifique aux secteurs « police-justice » (titre III de la loi « informatique et libertés ») ;
le régime intéressant la défense nationale ou la sûreté de l’Etat régi par les dispositions de la loi « informatique et libertés ».

Cette fiche a pour objectif de définir les cas où le traitement en phase de développement est soumis au même régime juridique que le traitement en phase de déploiement, et les cas où ils sont soumis à des régimes distincts.

Pour rappel : les principes et recommandations formulés dans les fiches suivantes ne concernent que les traitements qui relèvent du RGPD.

En savoir plus :

Voir la fiche « Quel est le périmètre des fiches IA » sur le champ d’application du RGPD ;
Le champ d’application de la directive « police-justice »

En pratique

Pour déterminer le régime applicable aux traitements de données en phase de développement, il faut distinguer deux cas.

Cas n°1 : l’usage opérationnel du système d’IA en phase de déploiement est défini dès la phase de développement

Dans le cas où l’usage opérationnel du système d’IA en phase de déploiement est identifié dès le développement et si les traitements mis en œuvre en phase de développement poursuivent exclusivement la même finalité que ceux en phase de déploiement, il est possible de considérer qu’ils relèvent, généralement, du même régime juridique (v. Conseil d’État, 22 juillet 2022, n° 451653).

Ce sera notamment le cas lorsque le choix du développement d’un système d’IA spécifique fait partie des moyens identifiés pour atteindre la finalité fixée pour le système à déployer.

A noter, le régime « police-justice » (titre III de la loi « informatique et libertés ») est susceptible de s’appliquer aux traitements en phase de développement si les conditions suivantes sont remplies :

l’usage opérationnel du système d’IA est identifié de manière unique dès la phase de développement, de sorte que les traitements mis en œuvre en phase de développement poursuivent exclusivement la même finalité que ceux en phase de déploiement ;
l’utilisation du système d’IA développé poursuit exclusivement des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
le responsable du traitement en phase de développement est une « autorité compétente ».

Cas n°2 : l'usage opérationnel du système d'IA en phase de déploiement n'est pas clairement défini dès la phase de développement (système d’IA à usage général)

La phase de développement et la phase de déploiement du système d’IA peuvent être décorrélées.

Il n’est pas toujours possible d’identifier clairement la finalité du traitement en phase de déploiement dès la phase de développement. Certains systèmes d’IA (des systèmes d’IA dits « à usage général » ou « general purpose AI ») sont, en effet, développés sans qu’un usage opérationnel précis ne soit défini.

Le régime juridique de la phase de développement n’est donc pas systématiquement le même que celui déterminé en phase de déploiement.

On considère en général dans cette hypothèse, sous réserve d’une analyse au cas par cas, que les traitements en phase de développement sont soumis au RGPD.

Exemple : un organisme souhaite développer un modèle de reconnaissance vocale capable d’identifier un locuteur et sa langue afin de le commercialiser pour différents usages opérationnels en phase de production (p. ex. : des outils d’identification des personnes par des assistants vocaux ou des applications de traduction vocale sur un terminal mobile, etc.).

Dans ce cas, la constitution de la base de données pour l’apprentissage du modèle relève du RGPD.

Cela n’exclut toutefois pas, selon l’usage opérationnel du système d’IA, que les traitements de données en phase de déploiement soient soumis au régime « police-justice », s’ils sont mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

Exemple : une entreprise développe un système de classification d’images permettant de détecter le franchissement d’une zone. Il le commercialise ensuite à plusieurs entités :

dans le premier cas, il le commercialise à une entreprise qui l’utilise à des fins statistiques pour mesurer l’affluence de personnes entrant dans un centre commercial. Dans ce cas, les traitements en phase de développement et de déploiement seront soumis au RGPD.
dans le deuxième cas, il le commercialise à un service de police nationale qui l’utilise afin de détecter le franchissement par les personnes de zones interdites à des fins de poursuites judiciaires. Dans ce cas, les traitements en phase de développement seront soumis au RGPD, mais les traitements en phase de déploiement seront soumis au régime « police-justice ».

< Fiche précédente : Quel est le périmètre des fiches pratiques sur l'IA ?

Sommaire

Fiche suivante : Définir une finalité >