Se mettre en conformité
Attribuer les responsabilités et documenter son traitement.
Respecter les normes, certifications et codes de bonne conduite comme preuves de conformité
De nombreuses normes et procédés de certification, dont certains reposent sur une auto-évaluation, ont été publiés afin de permettre aux fournisseurs d'IA de prouver que leur système respecte un certain niveau de conformité.
Le système d'IA respecte-t-il certaines normes (IEEE, ISO, etc.) ?
Préciser :
L'IA a-t-elle été certifiée par un organisme tiers (LNE, bureau d’étude, etc.) ou par une autorité (HAS, ANSM, AMF, etc.) ?
Préciser :
Le système d'IA respecte-t-il certains codes de conduite ou bonnes pratiques ?
Préciser :
Effectuer une AIPD et l’évaluer
Lorsque le traitement utilise des données personnelles, certaines étapes doivent être respectées afin de s'assurer de sa conformité.
Une analyse d'impact relative à la protection des données (AIPD) a-t-elle été menée ?
Un outil d'évaluation de l'impact du système d'IA a-t-il été utilisé ?
Documenter pour fiabiliser
La tenue d'une documentation à jour peut permettre au fournisseur, à l'utilisateur, à l'individu et aux autorités en charge du contrôle d'identifier les risques liés au traitement et ainsi participer à leur maîtrise.
Une documentation concernant les modalités de collecte et de gestion des données d'entraînement et de production utilisées, l'algorithme, la qualité des sorties du système, les outils utilisés, la journalisation, les mesures de sécurité existe-elle ?
Cette documentation est-elle partagée avec toutes les personnes ayant à en connaître pour assurer une analyse et une maîtrise des risques efficaces (utilisateurs du système d’IA, comité d’éthique, service qualité et gestion des risques, personnes concernées, etc.) ?
Une approche en sources ouvertes a-t-elle été adoptée afin d'impliquer une communauté de tiers dans la conception et l'amélioration du système ?
Aucune information n'est collectée par la CNIL.
Vous souhaitez contribuer ?
Écrivez à ia[@]cnil.fr
