Introduction au guide d'auto-évaluation pour les systèmes d'IA
Le guide d'auto-évaluation proposé dans les pages suivantes a pour objectif de rappeler les grandes questions relatives à la protection des données dans la plupart des cas rencontrés.
La CNIL invite tous les organismes (fournisseurs ou utilisateurs de système d’IA) prévoyant de mettre en place un traitement utilisant des technologies d'intelligence artificielle (IA), ou ayant déjà initié cette démarche, à se poser les questions proposées dans cette grille d'analyse.
Cette liste a été élaborée de manière aussi exhaustive que possible d'après les bonnes pratiques et les signaux émergents tirés de la recherche scientifique dans le domaine. Afin de s'appliquer à tous les secteurs et à tous les types de systèmes d'IA, ces fiches ont été élaborées de manière à couvrir le plus de cas possible, sans exclure les risques liés à des techniques particulières comme l'apprentissage continu ou l’annotation automatique.
L'objectif de cette grille est de permettre une auto-évaluation de l'ensemble des aspects pertinents en matière de données personnelles et d'éthique d'un projet de traitement. Une analyse de fonctionnement par la CNIL ne pourra être réalisée qu'à l'occasion d'une demande formelle dans le cadre d'une demande de conseil par exemple. Cette grille remplit un objectif informatif principalement sous l’angle de la protection des données personnelles. Elle n’a pas vocation à supplanter les autres textes applicables : législations sectorielles, régimes de responsabilité civile, etc.
Dans ces fiches, les termes de fournisseur et d'utilisateur des systèmes d'IA sont utilisés. La CNIL en retient les définitions suivantes :
PROVIDER
The provider is a natural or legal person, public authority, agency or other organisation that develops an AI system or has one developed with a view to placing it on the market or putting it into service under its own name or trademark, whether for a fee or free of charge.
USER
Any natural or legal person, public authority, agency or other organisation using an AI system under its own authority, except where the system is used in the course of a personal non-business activity.
END USER
The user of the AI system should not be confused with the end user, in other words the individual concerned by the system: the concept of use therefore corresponds to use in a business context.
In relation to the definitions of the GDPR, the providers and users can assume the roles of data controller and/or data processor if the AI system implements processing of personal data.
This analysis of roles and responsibilities is to be carried out on a case-by-case basis as indicated in the fact sheets.
Rapporté aux définitions du RGPD, les fournisseurs et utilisateurs peuvent endosser les qualités de responsable de traitement et/ou de sous-traitant si le système d’IA met en œuvre des traitements de données personnelles.
Cette analyse de rôles et responsabilités est à mener au cas par cas comme indiqué dans les fiches pratiques.
Vous souhaitez contribuer ?
Écrivez à ia[@]cnil.fr