IA et RGPD : la CNIL publie ses nouvelles recommandations

La CNIL dévoile ses nouvelles recommandations pour encadrer le développement de l'intelligence artificielle tout en respectant les exigences du RGPD.

Modèles d'IA et RGPD : le CEPD publie son avis pour une IA responsable

Le 19 décembre 2024, le Comité européen de la protection des données (CEPD), regroupant les CNIL européennes, publiait  un avis sur le traitement des données personnelles dans le cadre du développement des modèles d’intelligence artificielle. 

Une étape majeure qui marque la première position européenne harmonisée sur l'utilisation des données personnelles dans les processus liés à l'IA. 

L’objectif ? S ’assurer que l’évolution de ces technologies se fait en conformité avec les droits fondamentaux des citoyens européens, notamment en matière de protection des données. 

La CNIL et les nouvelles recommandations sur l'IA

Aujourd'hui, la CNIL poursuit ce travail en publiant deux nouvelles recommandations. Celles-ci visent à garantir un usage de l’IA conforme au RGPD, en posant des exigences claires et strictes pour la protection des données personnelles. Ces recommandations soulignent l’importance de respecter les principes de transparence, de minimisation des données et de responsabilité dans la mise en œuvre des modèles d'intelligence artificielle.. 

Les deux nouvelles recommandations de la CNIL

• Lorsque des données personnelles servent à l’entraînement d’un modèle d’IA et sont potentiellement mémorisées par celui-ci, les personnes concernées doivent être informées.
  
  Les modalités d’information peuvent être adaptées en fonction des risques pour les personnes et des contraintes opérationnelles. Le RGPD permet, dans certains cas, notamment lorsque les modèles d’IA sont constitués à partir de sources tierces (third party data) et que le fournisseur n’est pas en capacité de contacter individuellement les personnes, de se limiter à une information générale (par exemple, sur le site web de l’organisme). Lorsque de nombreuses sources sont utilisées, comme c’est par exemple le cas pour les modèles d’IA à usage général, une information globale, indiquant par exemple des catégories de sources, voire le nom de quelques sources principales, est généralement suffisante.

• La règlementation européenne prévoit des droits d’accès, de rectification, d’opposition et d’effacement des données personnelles.
  
  Or, ces droits peuvent être particulièrement difficiles à mettre en œuvre dans le cadre de modèles d’IA, qu’il s’agisse d’identifier les personnes au sein du modèle ou de modifier le modèle. La CNIL demande aux acteurs de faire tous leurs efforts pour prendre en compte la protection de la vie privée dès le stade la conception du modèle. Elle invite notamment les acteurs à porter une attention particulière aux données personnelles présentes dans les bases d’entraînement :
  • en s’efforçant de rendre les modèles anonymes, lorsque cela n’est pas contraire à l’objectif poursuivi ; et
  • en développant des solutions innovantes pour empêcher la divulgation de données personnelles confidentielles par le modèle.

Le coût, l’impossibilité ou les difficultés pratiques pourront parfois justifier un refus d’exercice des droits ; lorsque le droit doit être garanti, la CNIL prendra en compte les solutions raisonnables à la disposition du créateur du modèle et les conditions de délai pourront être aménagées. La CNIL souligne que la recherche scientifique évolue rapidement dans ce domaine et appelle les acteurs à se tenir informés de l’évolution de l’état de l’art pour protéger au mieux les droits des personnes.

Un cadre harmonisé en développement au niveau européen

Ces nouvelles recommandations s'inscrivent dans le cadre des travaux en cours au niveau européen. Elles accompagnent les efforts de la Commission européenne, notamment par l’intermédiaire de son bureau de l’IA, pour établir un code de bonnes pratiques spécifique aux IA à usage général. 

Entre le numérique vert-dollar de Wall Street et la nouvellearmée rouge digitale entre les mains de Pékin, l’Europe trace sa propre voie numérique pour une IA éthique et conforme aux normes européennes, assurant ainsi la protection des droits fondamentaux et la sécurité juridique des entreprises.

Altij, votre partenaire pour une intelligence artificielle conforme au RGPD

Chez Altij & Oratio Avocats, nous accompagnons les entreprises dans leur mise en conformité avec le RGPD, notamment en matière d’intelligence artificielle. Grâce à notre expertise dans les technologies avancées, nous aidons nos clients à intégrer des solutions IA tout en respectant les exigences légales. Nous offrons une gamme complète de services, allant de l'audit de conformité à la mise en place de bonnes pratiques adaptées à chaque secteur. Consultez notre page dédiée pour en savoir plus sur notre accompagnement en matière d’IA et de RGPD.

Nouveau cycle de formation Trust by Design

Notre legal tech de formation TRUST BY DESIGN, certifiée QUALIOPI, vous offre l’opportunité de vous saisir des enjeux de la nouvelle économie. Notre nouveau cycle de formations couvre l'ensemble des enjeux en IA (protection des données, cybersécurité, dialogue social, propriété intellectuelle, etc.) pour sécuriser le déploiement de l’intelligence artificielle au sein de votre entreprise !

Découvrez notre nouveau cycle de formation ici.