You are currently viewing Protection des données personnelles et IA : les premières recommandations de la CNIL

Afin de soutenir la CNIL dans ses efforts, les premières recommandations concernant la protection des données personnelles face au développement des IA ont été émises à la suite d’une collaboration étroite avec les intervenants du secteur . Ces recommandations, rédigées en partenariat avec des experts tant du secteur privé que du secteur public, sont ainsi au plus près des réalités du domaine.

Ces recommandations sont la suite logique du plan IA publié en mai 2023 sécurisant les acteurs. Aujourd’hui, cette publication met en avant la nécessité et la possibilité de développer des IA tout en protégeant la vie privée des citoyens européens.

Le 8 avril 2024, sept fiches pratiques relatives à l’IA ont été mises à disposition abordent différents aspects de la protection des données personnelles touchant le côté technique ainsi que le coté juridique.

Ces recommandations concernent la phase de développement de systèmes d’IA et non celle de déploiement” précise la Commission et “se limitent aux traitements de données soumis au règlement général sur la protection des données (RGPD)”.

Fiche 1 : Déterminer le régime juridique applicable

 

La première fiche fait part de deux scénarios principaux liés au régime juridique d’un système d’IA en fonction de son usage opérationnel.

1)    Si l’usage opérationnel est clairement identifié dès la phase de développement et suit les mêmes attentes en phase de déploiement alors les deux phases relèvent du même cadre juridique.

2)    Si l’usage opérationnel de l’IA n’est pas défini en phase de développement cette dernière est régit par le RGPD indépendamment de son usage futur. En phase de déploiement la classification juridique pourra changer.

Fiche 2 : Définir une finalité

 

Les données ne doivent pas être utilisées ultérieurement de manière incompatible avec la finalité préalablement établit c’est-à-dire qui se réfère à l’objectif spécifique pour lequel ces données sont utilisées, qui doit être clairement établi, compréhensible et légitime dès le début du projet. Ce principe est fondamental.
Fiche 3 : Déterminer la qualification juridique des fournisseurs de systèmes d’IA

 

Dans le développement d’un système d’intelligence artificielle (IA), divers acteurs interviennent. Il existe différent niveau de responsabilité concernant le traitement des données personnelles. Il est important d’évaluer le rôle de chaque acteur par rapport aux exigences du RGPD de manière individuelle pour chaque situation. Parmi les participants au développement d’un système d’IA, on trouve le créateur du système, qui soit le conçoit directement, soit le fait concevoir, et qui le met ensuite à disposition sur le marché ou l’utilise sous sa propre enseigne, qu’il offre ce service de manière onéreuse ou gracieuse. Il y a également les importateurs, les distributeurs et les consommateurs du système qui le déploient.
Fiche 4 : Assurer que le traitement est licite – définir une base légale

 

Cette fiche est séparée en deux  : la première partie permet de revenir sur la définition de la base légale nécessaire pour assurer un traitement licite et la seconde partie se consacre plus précisément sur la réutilisation des données. Les deux parties reviennent sur un traitement licite de donnée.

Partie 1 : Pour créer une base de données d’apprentissage comprenant des données personnelles l’entité doit dans un premier temps vérifier la conformité légale des opérations.

Partie 2 : Si le responsable de traitement souhaite réutiliser certaines données, il est nécessaire de faire des vérifications supplémentaires afin de garantir un traitement de donnée licite.

Fiche 5 : Réaliser une analyse d’impact si nécessaire

 

Une analyse d’impact est nécessaire pour le développement de l’IA afin d’anticiper en particulier si le traitement des données personnelles comporte un risque élevé pour les droits et libertés individuels, conformément à l’article 35 du RGPD. Il est également question de la gestion des risques lors du déploiement de la technologie plus particulièrement concernant le suivi continu des risques. La CNIL précise que l’analyse d’impact doit être effectuée avant la mise en application du traitement de donnée et doit être mis à jour régulièrement afin de garantir un suivit de l’évolution du traitement et des risques associés.

Le Comité européen de la protection des données a établi neuf critères pour guider cette évaluation. Une AIPD est présumée obligatoire si au moins deux critères sont remplis, notamment lors de la collecte de données sensibles, la collecte à large échelle, ou l’utilisation de nouvelles technologies.

Fiche 6 : Tenir compte de la protection des données dans la conception du système

 

Pour développer un système d’IA qui respecte la protection des données, une réflexion approfondie doit être menée dès la phase de conception.

Au cours de la planification des choix de conception d’un système d’IA, il est crucial de respecter le principe de minimisation. Cette réflexion comprend cinq niveaux. Un responsable du traitement doit examiner les points suivants :

1. L’objectif du système
2. La méthode employée
3. Les sources de données utilisées
4. La sélection des données strictement nécessaires
5. La validation des choix effectués précédemment

Fiche 7 : Tenir compte de la protection des données dans la collecte et la gestion des données

 

La mise en place d’un système d’intelligence artificielle exige une surveillance et une administration méticuleuse des données utilisées pour l’apprentissage. La CNIL explique l’interaction entre les normes de protection des données et la manipulation des données d’apprentissage. Plusieurs stades touchant la protection des données personnelles sont expliqués en détails :

  • Collecte
  • Nettoyage
  • L’identification et protection de la vie privée dès la conception
  • Suivi et mise à jour
  • Conservation des données
  • Sécurité Documentation

 

 

A propos de Clara BALDUCCI

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.