Newsletter - ASSERT AVOCATS CONSEILS

Les systèmes d'intelligence artificielle présentent de réels atouts pour les entreprises qui souhaitent renforcer leur productivité. Pour autant, des inquiétudes subsistent au regard du respect du RGPD. Ses principes peuvent-ils s'accorder avec la mise en place de tels systèmes ? Pour la CNIL, la réponse est oui.

Un cadre juridique encore flou autour de l'intelligence artificielle

Le plan d'action de la CNIL pour le déploiement d'une IA respectueuse

Le Parlement européen définit l'intelligence artificielle (IA) comme la possibilité, pour une machine, de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ». Cette technologie offre des opportunités technologiques pour les entreprises, qui souhaitent renforcer leur productivité.

En pratique, un système d'IA reçoit des données, les analyse et réagit. Son usage peut entraîner des atteintes aux droits des personnes concernées et doit donc être soumis au règlement sur la protection des données personnelles (RGPD).

Dans cette optique, la Commission nationale de l'informatique et des libertés (CNIL) a lancé un plan d'action début 2023 afin d'accompagner l'innovation et les principaux acteurs dans le domaine de l'IA. Elle a ainsi notamment créé un service dédié et publié, le 11 octobre 2023, ses premières fiches pratiques.

Des inquiétudes qui persistent du côté des acteurs de l'IA

Dernièrement, les échanges entre la CNIL et les acteurs français de l'IA ont mis en lumière les inquiétudes de ces derniers quant au frein que pourrait présenter le respect du RGPD face au développement de l'IA.

Entreprises, pouvoirs publics ou organismes du domaine de la santé (laboratoires, par exemple), tous ont fait remonter leur besoin de sécurité juridique dans ce domaine.

L'occasion pour la CNIL de démontrer, dans un communiqué de presse du 11 octobre 2023, que le RGPD peut offrir un cadre innovant et protecteur pour l'IA.

Les principes du RGPD s'accordent-t-il avec les systèmes d'IA ?

La finalité de traitement

La CNIL rappelle tout d'abord que le principe de finalité impose à tout opérateur de n’utiliser des données personnelles que pour un objectif précis et défini à l’avance (RGPD art. 5, b).

Ce principe est néanmoins à nuancer en matière d'IA, poursuit-elle, car il est souvent difficile, en pratique, pour un opérateur d'anticiper les applications futures du système d'IA dès le stade de conception.

La CNIL laisse ainsi sous-entendre qu'une certaine flexibilité pourra être accordée aux opérateurs d'IA, sous réserve toutefois que le type de système et les principales fonctionnalités envisageables aient été bien définis à l'avance.

La minimisation du traitement

Les données personnelles collectées doivent être adéquates, pertinentes et surtout limitées au stricte nécessaire au regard de la finalité du traitement (RGPD art. 5, c).

Ce principe dit de minimisation n'est pas pour autant un frein aux systèmes d'IA, précise la CNIL, et n'empêche pas leur entraînement sur des très grands ensembles de données.

Pour autant, une attention particulière devra être portée sur la sélection des données utilisées, afin d'éviter l'utilisation de données inutiles.

La durée de conservation

On le sait, les données personnelles ne peuvent pas être conservées indéfiniment (RGPD art 5, e). En pratique, la durée de conservation doit être fixée par le responsable de traitement en fonction de l'objectif poursuivi par la collecte de données.

Et pour la CNIL, ce principe n'est pas un obstacle à la fixation de durées longues pour les bases de données d’entraînement des systèmes d'IA, qui requièrent un investissement scientifique et financier important.

La réutilisation de bases de données

La question de la réutilisation de bases de données, notamment de données publiques sur internet, est au coeur des débats relatifs à l'exploitation des systèmes d'IA.

Pour la CNIL, une telle réutilisation est envisageable à condition de vérifier que les données n’ont pas été initialement collectées de manière illicite et que la finalité de réutilisation est compatible avec celle de la collecte initiale.

En pratique, de telles réutilisations pourront notamment être fondées au regard des dispositions du RGPD relatives à la recherche et à l'innovation.

En conclusion, respecter les principes du RGPD n'est pas, selon la CNIL, un obstacle mais bien un atout qui permettra aux systèmes d'IA de gagner la confiance des citoyens européens.

À noter. Une proposition européenne de règlement visant à établir des règles harmonisées en matière d'IA a été déposée le 21 avril 2021 par le Parlement européen. Le règlement a notamment vocation à s'appliquer en complément du RPGD, dès lors qu'il prévoit des dispositions spécifiques au traitement des données issues des systèmes d'IA.

CNIL, communiqué de presse du 11 octobre 2023