La CNIL a publié de nouvelles recommandations pour promouvoir une innovation responsable en matière d’intelligence artificielle (IA) tout en respectant le Règlement Général sur la Protection des Données (RGPD).
La CNIL formule plusieurs recommandations :
- Information des personnes : Lorsque des données personnelles sont utilisées pour entraîner des modèles d’IA, les personnes concernées doivent être informées en fonction des risques et des contraintes opérationnelles. Le RGPD permet, dans certains cas, notamment lorsque les modèles d’IA sont constitués à partir de sources tierces (third party data) et que le fournisseur n’est pas en capacité de contacter individuellement les personnes, de se limiter à une information générale (par exemple, sur le site web de l’organisme). Lorsque de nombreuses sources sont utilisées, comme c’est par exemple le cas pour les modèles d’IA à usage général, une information globale, indiquant par exemple des catégories de sources, voire le nom de quelques sources principales, est généralement suffisante;
- Exercice des droits : les droits d’accès, de rectification, d’opposition et d’effacement des données personnelles s’appliquent également aux modèles d’IA, sauf si ceux-ci sont considérés comme anonymes. En effet, ces droits peuvent être particulièrement difficiles à mettre en œuvre dans le cadre de modèles d’IA, qu’il s’agisse d’identifier les personnes au sein du modèle ou de modifier le modèle. La CNIL demande aux acteurs de faire tous leurs efforts pour prendre en compte la protection de la vie privée dès le stade la conception du modèle;
- Anonymisation des données : La CNIL encourage les acteurs à anonymiser les données d’entraînement ou à s’assurer que le modèle d’IA est anonyme à l’issue de son entraînement;
- Flexibilité et pragmatisme : Le coût, l’impossibilité ou les difficultés pratiques peuvent parfois justifier un refus d’exercice des droits;
- Principe de minimisation : les données utilisées doivent, en principe, être sélectionnées et nettoyées afin d’optimiser l’entraînement de l’algorithme tout en évitant l’exploitation de données personnelles inutiles;
- Durée de conservation des données d’entraînement peut être longue si c’est justifié et si la base fait l’objet de mesures de sécurisation adaptées, notamment pour les bases de données qui requièrent un investissement scientifique et financier important et deviennent parfois des standards reconnus. par la communauté scientifique;
- La réutilisation de bases de données, notamment accessibles en ligne, est possible dans de nombreux cas, après avoir vérifié que les données n’ont pas été collectées de manière manifestement illicite et que la réutilisation est compatible avec la collecte initiale.