Question sensible.
L’intelligence artificielle (IA) est entraînée à partir de volumineuses bases d’information susceptibles de contenir des données personnelles (noms, photos, vidéos, etc.). Ensuite, lors de leur déploiement, les systèmes d’IA (SIA) interagissent avec des utilisateurs, qui les nourrissent également en données personnelles.
Or, les données personnelles, en droit français et européen, sont protégées par le RGPD.
En France, la CNIL est compétente pour s’assurer que la protection des données personnelles est bien respectée lors de la conception et l’usage des SIA.
La Commission peut vérifier leur conformité au RGPD : détermination d’une finalité identifiée, proportionnalité de la collecte, sécurité des données, etc.
La CNIL considère que l’application du RGPD à l’IA ne présente pas de difficultés :
« Selon certains, les principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte résultant du RGPD freineraient voire, empêcheraient certaines recherches ou applications de l’intelligence artificielle. La CNIL répond à ces objections, en confirmant la compatibilité des recherches et développements en IA avec le RGPD, à condition de ne pas franchir certaines lignes rouges et de respecter certaines conditions » [1].
Cependant, cette analyse n’est pas toujours partagée. En France, le rapport de la Commission de l’Intelligence Artificielle, de mars 2024, souligne des contraintes excessives liées à leur utilisation qui entravent la pleine exploitation de l’IA.
Comment trouver un équilibre entre ces exigences, afin de favoriser le développement de l’IA tout en assurant une protection des données personnelles ?
Les risques de l’IA pour la vie privée.
Les SIA peuvent amplifier certains risques relatifs aux données à caractère personnel, par exemple, en facilitant la création de fausses informations, en multipliant les processus de décisions entièrement automatisés ou en permettant de nouvelles formes de suivi et de surveillance des individus.
La volumétrie et l’évolutivité des bases de données peuvent entraver la transparence du traitement et la vérification du consentement préalable de l’utilisateur.
Outre les biais liés au développement des SIA, les risques d’usage malveillant existent également, à partir de deepfakes, de cyberattaques automatisées ou d’attaques d’ingénierie sociale avancées [2].
Des solutions techniques existent pour limiter l’usage de données personnelles dans les SIA. Par exemple, les bases de données d’entrainement peuvent être pseudonymisées. Le "désapprentissage machine" supprime certaines informations, tout en préservant la performance de l’algorithme. Le déploiement local de modèles, sur les terminaux des utilisateurs, permet également de protéger les données par défaut.
L’IA renforce la conformité au RGPD ?
L’IA peut aussi contribuer à la conformité au RGPD. Ses capacités algorithmiques peuvent être utilisées comme outil de surveillance des anomalies, notamment des fuites de données.
L’IA permet d’analyser les zones libres de commentaires, afin d’y supprimer les données personnelles ou injurieuses.
Comme outil d’aide à la conformité, l’IA peut également permettre d’identifier des données personnelles spécifiques, afin de répondre à une demande d’exercice de droits. Plus largement, les SIA peuvent faciliter la cartographie des données personnelles.
L’approche de la CNIL.
La CNIL a publié, le 8 avril 2024, une série de fiches pratiques pour détailler comment les concepteurs de systèmes d’IA peuvent agir en conformité avec le RGPD.
Ces fiches constituent un cadre qui permet d’accompagner les organisations dans la phase de développement d’un SIA, afin que celui-ci soit en conformité avec le RGPD.
Adoptées à la suite d’une consultation publique, les 7 fiches pratiques rappellent concrètement les obligations posées par la règlementation et formulent des recommandations pour s’y conformer :
- Déterminer le régime juridique applicable,
- Définir une finalité,
- Déterminer la qualification juridique des fournisseurs de SIA,
- S’assurer que le traitement est licite et définir une base légale,
- S’assurer que le traitement est licite, en cas de réutilisation des données,
- Réaliser une analyse d’impact si nécessaire,
- Tenir compte de la protection des données by design,
- Tenir compte de cette protection dans la collecte et la gestion des données.
Ces fiches pratiques portent sur les SIA à usage général, par exemple, ceux mettant en œuvre des modèles de fondation, du fait de leur capacité à être réutilisés et adaptés pour différentes applications.
Les fiches permettent de guider les concepteurs, en clarifiant leurs obligations. La Commission « travaille actuellement à la publication de fiches portant spécifiquement sur les modèles d’IA générative » [3].
Propositions de la Commission française de l’IA.
La position de la CNIL fait cependant l’objet de critiques, notamment par la Commission de l’intelligence artificielle. Cette Commission a remis au président de la République, le 13 mars 2024, un rapport contenant 25 recommandations pour faire de la France un acteur majeur de la révolution technologique de l’IA.
Ce rapport évoque des « contraintes régulièrement regardées comme excessives liées à leur utilisation », ce qui entrave « la pleine exploitation d’une formidable ressource d’intérêt général et porteuse de croissance économique ».
Les auteurs formulent donc plusieurs propositions pour alléger les démarches et les contrôles, en particulier ceux qui sont exercés par CNIL.
Dans le domaine de la santé, le rapport suggère un allègement des formalités et liste plusieurs mesures, dont la généralisation de procédures simplifiées permettant de se soustraire à une autorisation préalable de la CNIL.
Dans le secteur régalien, la Commission de l’IA identifie un autre frein au développement. Actuellement, la loi impose à l’État, lorsqu’il veut mettre en place un nouveau traitement, de passer par un décret en Conseil d’État assorti d’un avis de la CNIL.
Pour la Commission de l’IA, ce cadre doit être assoupli. Elle propose de remplacer l’autorisation préalable par une stratégie pluriannuelle, élaborée avec un comité éthique et contrôlée par la CNIL, pour la mise en œuvre de ces traitements.
Articulation avec l’AI Act.
Pour la régulation de l’IA, le RGPD et le récent Règlement européen sur l’IA (AI Act) [4] publié le 12 juillet 2024, remplissent des objectifs réglementaires distincts. Même s’ils définissent tous deux des régimes de responsabilité, de gouvernance et de surveillance, ils ont vocation à se compléter.
Le RGPD prévoit un certain nombre d’obligations pour réguler la conception et l’utilisation de systèmes d’information, dont les SIA. Il s’agit notamment des principes de loyauté et de la transparence des traitements, et de l’exercice des droits des personnes sur leurs données.
Quant à l’AI Act [5] , il présente une approche par les risques consistant à interdire certains systèmes d’IA considérés comme trop risqués pour les droits humains et à imposer des exigences supplémentaires pour les systèmes qu’il qualifie à haut risque, comme les SIA dans le domaine du recrutement.
Depuis la création de son Service d’IA en janvier 2023, la CNIL affiche ses ambitions d’instaurer des règles claires, protectrices des données personnelles des citoyens européens afin de contribuer au développement de SIA respectueux de la vie privée.
Faire de la CNIL le régulateur du secteur de l’IA est l’une des trente-trois propositions du premier rapport parlementaire consacré à l’intelligence artificielle, présenté le 14 février 2024 à la commission des lois de l’Assemblée nationale [6].
Cette transformation profonde nécessiterait une importante évolution des ressources techniques et humaines du gendarme de la vie privée, afin d’élargir son spectre d’action bien au-delà de la protection des données personnelles.
