Le RGPD permet le développement d’intelligences artificielles innovantes et responsables en Europe. Il constitue un cadre de confiance pour les entreprises et les utilisateurs en garantissant la protection des données personnelles tout en favorisant l’innovation.
Depuis plusieurs années, la CNIL joue un rôle central dans l’accompagnement des acteurs de l’IA. Son plan d’action, lancé en mai 2023, vise à clarifier l’application du RGPD aux systèmes d’IA et à apporter des solutions concrètes aux professionnels du secteur.
Certains modèles d’IA, entièrement anonymes, échappent au RGPD. D’autres, comme les modèles de langage (LLM), peuvent contenir des données personnelles et sont donc soumis aux exigences du règlement européen.
Le Comité européen de la protection des données a récemment clarifié les critères permettant de déterminer si un modèle d’IA doit respecter le RGPD. L’objectif est de garantir la transparence et la conformité des systèmes d’intelligence artificielle traitant des données personnelles.
Les systèmes d’IA à usage général doivent respecter le principe de finalité. Un opérateur ne pouvant pas définir toutes ses applications futures dès l’entraînement doit, au minimum, décrire le type de système développé et ses principales fonctionnalités.
L’utilisation de larges bases de données d’entraînement est possible si les données sont sélectionnées et nettoyées afin d’optimiser les performances de l’algorithme tout en réduisant l’exploitation de données personnelles inutiles.
Les données d’entraînement peuvent être conservées sur une longue période, à condition que des mesures de sécurisation adaptées soient mises en place. Cette approche est essentielle pour les bases de données nécessitant des investissements scientifiques et financiers importants.
Les bases de données accessibles en ligne peuvent être réutilisées sous réserve de vérifier que les données n’ont pas été collectées illégalement et que leur réutilisation est compatible avec la finalité initiale de la collecte.
Lorsque des données personnelles sont utilisées pour entraîner un modèle d’IA et potentiellement mémorisées, les personnes concernées doivent être informées de manière claire et accessible.
Le RGPD permet une adaptation des modalités d’information selon les risques pour les personnes et les contraintes opérationnelles. Lorsqu’il est impossible de contacter individuellement les personnes concernées, une information générale, via un site web par exemple, peut suffire.
Les personnes dont les données sont utilisées par une IA disposent de droits d’accès, de rectification, d’opposition et d’effacement. Cependant, leur mise en œuvre peut s’avérer complexe. La CNIL recommande aux acteurs de l’IA de prendre en compte ces droits dès la conception des modèles.
Afin de limiter les risques de divulgation de données personnelles, la CNIL encourage les entreprises à :
Les entreprises doivent intégrer les recommandations de la CNIL dans le développement de leurs solutions d’IA afin d’assurer la conformité avec le RGPD et de renforcer la confiance des utilisateurs.
L’encadrement juridique de l’IA évolue rapidement. La CNIL et les instances européennes continueront d’adapter les règles pour garantir une innovation éthique et respectueuse des droits fondamentaux.
👉 Pour en savoir plus, consultez les recommandations complètes de la CNIL sur leur site officiel.
Pour retrouver l’intégralité de nos articles sur la protection des données, cliquez ici.