Quel est le périmètre des fiches pratiques sur l’IA ?

Les fiches pratiques se rapportent aux activités de constitution de base de données et de leur utilisation dans le cadre du développement de systèmes d’IA lorsque tout ou partie de ces données sont des données personnelles. Dans la pratique, trois cas peuvent être rencontrés :

• Il est certain qu’aucune donnée personnelle n’est présente dans la base de données : les fiches ne s’appliquent pas (même si certaines recommandations, de l’ordre de la bonne pratique, peuvent être pertinentes).
   
• Il est certain que des données personnelles sont présentes : les fiches s’appliquent. C’est le cas des systèmes d’IA développés à partir de vidéos ou d’images de personnes, d’enregistrements de voix, de données personnelles structurées, etc. - A noter que les textes européens posent la règle selon laquelle les jeux de données comprenant des données personnelles et non personnelles, dits « mixtes », sont régis par le RGPD, si les deux types de données sont inextricablement liés.
   
• Il est possible que des données personnelles soient présentes : c’est un cas fréquent pour lequel la collecte de données personnelles n’est pas expressément souhaitée. Par exemple :
  • présence résiduelle de personnes ou de plaques d’immatriculation dans des images ;
  • occurrences de noms, prénoms, adresses, etc. dans des données textuelles de types commentaires ou prompt, etc.
    Dans ces cas, sous réserve d’avoir anonymisé les données personnelles originales et pour les opérations de traitement ultérieures à cette suppression, les données perdent leur caractère personnel et les fiches ne s’appliquent plus.
  • par vérification manuelle, par exemple à l’occasion de l’annotation des données ;
  • par vérification automatique, par exemple par l’utilisation de techniques de détection de personnes/visages dans les images, par des méthodes de reconnaissance d’entités nommées (named-entity recognition), etc.

Les questions relatives aux risques liés à l’utilisation du système feront l’objet de fiches publiées ultérieurement.

Les fiches pratiques de la CNIL concernent le développement de systèmes mettant en œuvre des techniques d’intelligence artificielle impliquant un traitement de données personnelles. Ceux-ci sont qualifiés de « systèmes d’IA ».

La définition des systèmes d’IA concernés par ces fiches pratiques est alignée avec celle de la proposition de règlement européen sur l’IA en cours d’adoption (voir encadré plus bas). Le Parlement européen considère ainsi que la définition de systèmes d’IA doit se fonder sur « des caractéristiques essentielles du domaine de l'intelligence artificielle, telles que comme ses capacités d'apprentissage, de raisonnement ou de modélisation, afin de la distinguer de systèmes logiciels ou d'approches de programmation plus simples. Les systèmes d’IA sont conçus pour fonctionner avec différents niveaux d'autonomie, ce qui signifie qu'ils ont au moins un certain degré d'indépendance d'action par rapport aux commandes humaines et des capacités à fonctionner sans intervention humaine. »

A noter : cette définition sera mise à jour avec celle qui figurera de façon définitive dans le règlement IA.

En pratique, les systèmes d’IA concernés incluent les systèmes fondés sur l’apprentissage automatique (supervisé, non supervisé, par renforcement) et ceux fondés sur la logique et les connaissances (bases de connaissance, moteurs d’inférence et de déduction, raisonnement symbolique, systèmes experts, etc.), ainsi que les approches hybrides.

Les fiches pratiques portent sur ces systèmes que l’usage opérationnel en phase de déploiement soit défini dès la phase de développement, ou qu’il s’agisse de systèmes d'IA à usage général(« general purpose AI »), par exemple mettant en œuvre des modèles « de fondation », du fait de leur capacité à être réutilisés et adaptés pour différentes applications et cas d’usage.

Elles concernent également tous les systèmes d’IA tels que définis ci-dessus, que l’apprentissage soit par exemple réalisé « une fois pour toutes » ou en continu. Dans le cas des systèmes d’apprentissage continu, les données collectées lorsque le système est déployé sont réutilisées pour l’amélioration itérative du système.

Enfin, elles concernent les traitements consistant à entraîner ou à ajuster (fine tuning/transfer learning) des modèles d'IA existants, indépendamment de leur intégration dans un système à proprement parler, dès lors qu’ils impliquent des données personnelles.

Comme illustré dans le schéma précédent, la mise en place d’un système d’IA reposant sur l’apprentissage automatique nécessite, en principe, la succession de deux phases distinctes :

• la phase de développement : elle consiste à concevoir, développer et entraîner un système d’IA.
• la phase de déploiement : elle consiste à mettre en usage le système d’IA développé lors de la première phase.

La phase de développement comprend toutes les étapes du développement du système d’IA jusqu’à son déploiement (phase de production), à savoir :

• la conception du système : choix de l’architecture, dont la ou les méthodes d’apprentissage et le cas échéant la sélection de modèles pré-entraînés, identification des données nécessaires et premiers tests, pilotes ;
• la constitution de la base de données : collecte et prétraitement (nettoyage, annotation, extraction de caractéristiques, répartition des données) ;
• l’apprentissage : entraînement du modèle, éventuel ajustement ou fine-tuning), réglage et validation des hyperparamètres, tests de performance ;
• et parfois, l’intégration : lorsque le produit final attendu à l’issue du développement est un système et non un modèle, insertion du modèle entraîné dans le système d’information, connexion aux autres composantes logicielles, développement d’une interface utilisateur, rédaction d’une documentation utilisateur, etc.

Représentation des différentes étapes du développement d'un système d'IA.
Conception : choix de l'architecture du système, estimation de la base de données. Constitution de la base de données : collecte des données, pré-traitements. Apprentissage : Entraînement, validation, test.

Dans de nombreux cas, le développement d’un système d’IA reposera sur l’ajustement de modèles pré-entraînés (« fine-tuning ») ou l’apprentissage par transfert (« transfer learning »). La CNIL considère que cette phase constitue une deuxième phase de développement, distincte de celle ayant permis la constitution du modèle d’origine.

Dans le cas de l’apprentissage continu, les données sont collectées lors du déploiement et de la mise en production du modèle, pour son amélioration future. L’entraînement en continu est donc inclus dans cette phase de développement via une boucle de rétroaction.

Il convient de noter que s’ajoutent à ces deux phases, une phase d’arrêt du système d’IA ou de suppression des données personnelles qu’il contenait. Les présentes fiches ne précisent pas les opérations à réaliser lors de cette phase, qui relèvent également de la réglementation sur la protection des donnés personnelles.

Réglementation relative à la protection des données personnelles

Les fiches pratiques concernent, en particulier, les cas d’usages relatifs à la phase de développement d’un système d’IA (recherche scientifique, recherche et développement, personnalisation d’un produit commercial, amélioration du service public rendu à l’usager, etc.) pour lesquels le RGPD est applicable.

Les traitements de données en phase de développement du système d’IA soumis au champ de la directive « police-justice » ainsi que ceux qui intéressent la sûreté de l’État et la défense nationale sont donc exclus du périmètre de ces fiches. Toutefois, les recommandations des présentes fiches peuvent servir d’inspiration pour ces traitements.

Autres réglementations applicables

Si ces fiches visent à clarifier comment le développement de systèmes d’IA peut se conformer aux obligations en matière de protection de données personnelles, d’autres réglementations, que ces fiches n’abordent pas directement, sont susceptibles de s’appliquer. C’est par exemple le cas de la réglementation relative au droit de la propriété intellectuelle ou encore le règlement sur la gouvernance des données qui encadre notamment les services d'intermédiation de la donnée ou l’atruisme des données.

D’autres sont encore en cours d’élaboration. C’est en particulier le cas de la proposition de règlement européen sur l’IA qui a vocation à encadrer le développement et le déploiement de systèmes d’IA au sein de l’Union Européenne.

Enfin, des réglementations sectorielles s’appliquent aux systèmes d’IA développés ou déployés pour certaines applications soumises à une réglementation spécifique (santé, finance, systèmes critiques, etc.). Il appartient à chaque responsable de traitement de déterminer les réglementations applicables et de se tourner vers les régulateurs compétents.