Réglementation relative à la protection des données personnelles
Les fiches pratiques concernent, en particulier, les cas d’usages relatifs à la phase de développement d’un système d’IA (recherche scientifique, recherche et développement, personnalisation d’un produit commercial, amélioration du service public rendu à l’usager, etc.) pour lesquels le RGPD est applicable.
Rappel sur le champ d’application du RGPD
Le RGPD s’applique à toute organisation :
- publique et privée, quel que soit sa taille (entreprise, administration, collectivité, association, etc.) ;
- qui traite des données personnelles pour son compte ou non ;
- établie sur le territoire de l'Union européenne dès lors que le traitement est effectué dans le cadre des activités d’un de ses établissements sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ;
- ou qui, non établie sur le territoire de l'Union européenne, cible directement des personnes physiques dans l’Union européenne ou opère un suivi de leur comportement.
Exemples :
- Application du RGPD à la réutilisation de bases de données constituées hors de l’UE : le RGPD est applicable à la réutilisation de bases de données par un responsable de traitement ou un sous-traitant établi dans l’Union européenne dès lors que le traitement est effectué dans le cadre des activités d’un de ses établissements sur le territoire de l’Union, même si ces bases de données ont été constituées hors de l’UE et qu’elles contiennent les données personnelles de personnes ne se trouvant pas sur le territoire de l’UE. Dans ce cas, le responsable du traitement est donc tenu de respecter la réglementation applicable en matière de protection des données.
- Application du RGPD à la réutilisation de modèles entraînés hors de l’UE : le RGPD s’applique à l’utilisation des modèles entraînés hors de l’Union européenne par un responsable de traitement ou un sous-traitant établi au sein de l’Union européenne dès lors qu’ils contiennent des données personnelles (voir la fiche outil à venir sur le statut des modèles) et que le traitement est effectué dans le cadre des activités d’un de ses établissements sur le territoire de l’Union.
Les traitements de données en phase de développement du système d’IA soumis au champ de la directive « police-justice » ainsi que ceux qui intéressent la sûreté de l’État et la défense nationale sont donc exclus du périmètre de ces fiches. Toutefois, les recommandations des présentes fiches peuvent servir d’inspiration pour ces traitements.
Autres réglementations applicables
Si ces fiches visent à clarifier comment le développement de systèmes d’IA peut se conformer aux obligations en matière de protection de données personnelles, d’autres réglementations, que ces fiches n’abordent pas directement, sont susceptibles de s’appliquer. C’est par exemple le cas de la réglementation relative au droit de la propriété intellectuelle ou encore le règlement sur la gouvernance des données qui encadre notamment les services d'intermédiation de la donnée ou l’atruisme des données.
D’autres sont encore en cours d’élaboration. C’est en particulier le cas de la proposition de règlement européen sur l’IA qui a vocation à encadrer le développement et le déploiement de systèmes d’IA au sein de l’Union Européenne.
Enfin, des réglementations sectorielles s’appliquent aux systèmes d’IA développés ou déployés pour certaines applications soumises à une réglementation spécifique (santé, finance, systèmes critiques, etc.). Il appartient à chaque responsable de traitement de déterminer les réglementations applicables et de se tourner vers les régulateurs compétents.
Articulation des fiches avec la proposition de règlement sur l’IA
La proposition de règlement européen distingue notamment plusieurs catégories de systèmes selon leur niveau de risque au regard de la sécurité des produits et des droits fondamentaux : les systèmes interdits, les systèmes à haut risque, les systèmes nécessitant des garanties de transparence et les systèmes à risque minimal. Il prévoit ainsi différents degrés d’obligations reposant principalement sur les fournisseurs de systèmes d’IA.
S’il faut attendre son adoption définitive, les présentes fiches ont été élaborées en vue d’une articulation intelligible avec ces futures obligations (par exemple en matière de qualification des acteurs et d’évaluation des risques).
Il est toutefois à noter que ces fiches s’appliquent, à droit constant, à tout traitement de données soumis au RGPD dans le cadre du développement d’un modèle ou d’un système d’IA, indépendamment de l’entrée en application des règles européennes sur l’intelligence artificielle. La CNIL rappelle, par ailleurs, que la proposition de règlement sur l’IA n’a pas vocation à remplacer les obligations en matière de protection des données mais bien à les compléter.
L’élaboration de règles plus précises sur l’articulation entre ces différentes exigences fait l’objet de travaux européens auxquels la CNIL participe activement et qui donneront lieu à des publications ultérieures.