IA : la CNIL finalise ses recommandations sur le développement des systèmes d’IA et annonce ses futurs travaux

Les nouvelles recommandations de la CNIL

Les modèles d’IA entraînés sur des données personnelles peuvent être soumis au RGPD

L’avis adopté par le comité européen de la protection des données (CEPD) en décembre 2024 rappelle que le RGPD s’applique, dans de nombreux cas, aux modèles d’IA entraînés sur des données personnelles en raison de leurs capacités de mémorisation.

Dans ses nouvelles recommandations, la CNIL guide les acteurs dans la conduite et la documentation de l’analyse qui doit être réalisée pour savoir si l’utilisation de leur modèle est soumise ou non au RGPD. Elle propose également des solutions concrètes pour que cette utilisation n’entraîne pas le traitement de données personnelles, telles que la mise en place de filtres robustes au niveau du système encapsulant le modèle.

La conformité du processus d’annotation et la sécurité du développement d’un système d’IA doivent être assurés

Deux fiches pratiques sont également mises à la disposition des professionnels :  

• Annoter les données

• La phase d’annotation des données d’entraînement est déterminante pour garantir la qualité du modèle entraîné et la protection du droit des personnes, tout en développant des systèmes d’IA plus fiables et performants.

• Garantir la sécurité du développement d’un système d’IA

• La CNIL détaille les risques et mesures à prendre en compte lors du développement d’un système d’IA pour permettre le développement de systèmes d’IA dans un environnement sécurisé.

Consulter les recommandations
 

Un travail élaboré en concertation avec les parties prenantes

Les trois nouvelles recommandations ont, comme les précédentes, été élaborées à la suite d’une consultation publique. Entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc. ont ainsi pu s’exprimer et aider la CNIL à proposer des recommandations au plus proche de leurs questionnements et de la réalité des usages de l’IA.

• Consulter la synthèse des réponses au questionnaire
• Consulter la synthèse des contributions

Une fiche synthèse et une liste des points à vérifier

Pour permettre à tous les professionnels concernés de s’approprier facilement ces recommandations, la CNIL met à disposition deux outils pratiques :

• Une synthèse des recommandations
• Une liste des points à vérifier

Ils permettent de s’assurer rapidement que les enjeux de protection des données sont bien pris en compte dans le développement d’un système d’IA.

L’IA au prisme du RGPD : la CNIL dévoile ses futurs travaux

La publication de ces nouvelles recommandations marque une étape importante pour la CNIL. Elle s’inscrit dans une volonté d’encadrer le développement de systèmes d’IA respectueux des enjeux de protection des données, tout en favorisant l’innovation.

Dans le cadre de son plan stratégique 2025-2028, la CNIL poursuivra ses travaux autour de plusieurs axes complémentaires.

• Des recommandations sectorielles

Face à la diversité des contextes d’usage de l’IA, la CNIL élabore des recommandations ciblées par secteur, afin de sécuriser juridiquement les acteurs et de favoriser une IA respectueuse des droits.

IA et éducation

La CNIL a récemment publié deux foires aux questions (FAQ) destinées aux enseignants et aux responsables de traitement (chefs d’établissement, ministère, autorités académiques). Elles permettent d’accompagner l’usage de systèmes d’IA dans le cadre des missions pédagogiques de l’enseignant, d’apporter des conseils pratiques, et de préciser obligations légales et les conditions de mise en conformité.

IA et santé

Dans le secteur de la santé, la CNIL souhaite favoriser l’inter-régulation et a des échanges réguliers avec les autorités sanitaires afin de formuler des recommandations transversales. Elle participe activement aux travaux de la Haute autorité de santé sur l’usage des systèmes d’IA (SIA) en contexte de soins. Une fiche récapitulant les règles applicables au développement de systèmes d’IA dans le domaine de la santé, avec des exemples concrets issus des demandes d’autorisation, du bac à sable ou de l’accompagnement renforcé, sera bientôt publiée.

IA et travail

Si le déploiement de l’IA dans un contexte professionnel est porteur de promesses, il soulève également des enjeux forts pour les droits et libertés fondamentaux des personnes concernées : employés, clients, usagers, prestataires. La CNIL a initié une réflexion en lien avec les acteurs du secteur (développeurs de solutions, employeurs y ayant recours, syndicats, fédérations professionnelles, institutions publiques et scientifiques, etc.) pour préciser l’encadrement de ces usages.

• Des recommandations à venir sur les responsabilités des acteurs de la chaîne de valeur de l’IA

Au second semestre 2025, la CNIL publiera de nouvelles recommandations pour éclairer les acteurs de la chaîne de création d’un système d’IA (concepteurs de modèles, hébergeurs, réutilisateurs, intégrateurs, etc.) sur leurs responsabilités au regard du RGPD.

L’objectif sera notamment de :

• de préciser les conséquences de l’application du RGPD aux modèles qui ne seraient pas anonymes ;
• d’étudier le cas de l’open source, pratique essentielle pour le développement des technologies d’IA.

Ces recommandations feront l’objet d’une consultation publique afin d’associer l’ensemble de la communauté aux réflexions.

• Des outils techniques pour les professionnels

Pour faciliter la mise en œuvre concrète de ses recommandations, la CNIL développe un outillage technique adapté.

Elle a ainsi lancé le projet partenarial PANAME (Privacy AuditiNg of Ai ModEls) avec l’ Agence nationale de la sécurité des systèmes d'information (ANSSI), le programme et équipements prioritaires de recherche iPoP (Interdisciplinary Project on Privacy) et le Pôle d'Expertise de la Régulation Numérique (PEReN). Ce projet vise à développer une bibliothèque logicielle destinée à évaluer si un modèle traite ou non des données personnelles. Cet outil permettra d’offrir des solutions techniques concrètes et opérationnelles aux développeurs et utilisateurs de modèles d’IA, faisant le lien entre les recommandations de la CNIL et leur mise en œuvre pratique sur le terrain.

• Des travaux de recherche sur l’explicabilité dans le domaine de l’IA (xAI)

Lancé à l’été 2024, un travail de recherche sur l’explicabilité des modèles d’IA (xAI) est en cours. La CNIL publiera prochainement, sur le site de son laboratoire LINC, les premiers résultats de ce projet. Ceux-ci s’appuient sur des analyses mathématiques des techniques utilisées, croisées avec des éléments quantitatifs et qualitatifs issus des sciences sociales, qui sont menées en collaboration avec des chercheurs de SciencesPo et du Centre de recherche en économie et statistique (CREST).

Ces travaux permettront d’apporter de la sécurité juridique aux acteurs qui souhaitent mettre en œuvre ces technologies dans ces secteurs et ainsi accompagner le développement d’une IA innovante et respectueuse des droits.