Communiqué de presse de la CNIL (Commission Nationale de l’Informatique et des Libertés) française, daté du 22 juillet 2025, qui finalise ses recommandations sur le développement des systèmes d’IA. Il souligne l’applicabilité du RGPD (Règlement Général sur la Protection des Données) aux modèles d’IA entraînés sur des données personnelles et propose des solutions pour assurer la conformité, incluant des fiches pratiques sur l’annotation des données et la sécurité du développement des systèmes d’IA. Le document détaille également les futurs travaux de la CNIL, notamment des recommandations sectorielles (éducation, santé, travail), des éclaircissements sur les responsabilités des acteurs de la chaîne de valeur de l’IA, le développement d’outils techniques comme le projet PANAME, et des recherches sur l’explicabilité de l’IA (xAI). L’objectif global est d’encadrer le développement d’une IA innovante et respectueuse des droits, en concertation avec les parties prenantes.
[!Success]Ecoutez la conversation !
La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié ses recommandations finales concernant le développement des systèmes d’Intelligence Artificielle (IA) et leur conformité avec le Règlement Général sur la Protection des Données (RGPD). Ces recommandations sont le résultat d’une vaste consultation publique et visent à concilier innovation en IA et protection des données personnelles.
-
Applicabilité du RGPD aux modèles d’IA
Le RGPD s’applique souvent aux modèles d’IA entraînés sur des données personnelles en raison de leur capacité de mémorisation. La CNIL souligne l’importance pour les acteurs de réaliser et documenter une analyse pour déterminer si leur modèle est soumis au RGPD. Des solutions concrètes sont proposées pour éviter le traitement de données personnelles, comme l’utilisation de filtres robustes. L’évaluation de l’anonymat du modèle doit être réévaluée régulièrement, incluant des tests de réidentification pour vérifier l’efficacité des mesures d’anonymisation. -
Principes Fondamentaux du RGPD et IA
La CNIL insiste sur l’intégration des principes du RGPD dès les premières étapes du développement d’un système d’IA :
- Finalité et Base Légale : Définir clairement les finalités du projet IA dès la conception et identifier la base légale appropriée pour chaque traitement de données.
- Minimisation des Données : Les données traitées doivent être strictement pertinentes et nécessaires. Cela implique de sélectionner les données indispensables et de privilégier des formats moins intrusifs.
- Durée de Conservation : Une politique de conservation claire doit être définie pour chaque phase du cycle de vie du projet IA.
- Transparence et Droits des Personnes : Informer clairement les personnes concernées et mettre en place des procédures pour gérer les demandes d’exercice de droits.
-
Conformité du Processus d’Annotation des Données
L’annotation des données d’entraînement est cruciale pour garantir la qualité du modèle et la protection des droits des personnes. Les annotations peuvent être considérées comme des données personnelles si elles en contiennent ou y sont reliées. Les recommandations incluent la vérification de la pertinence des annotations, la formation des annotateurs aux principes de protection des données, et la mise en œuvre de mesures de sécurité renforcées pour les données sensibles. -
Sécurité du Développement des Systèmes d’IA
La sécurité est un pilier essentiel du développement d’un système d’IA conforme au RGPD. La CNIL détaille les risques et les mesures à prendre en compte, telles que des mesures techniques et organisationnelles adaptées, le contrôle des sorties du système, la gestion des accès et la traçabilité, et la mise en œuvre d’un plan d’action pour satisfaire les exigences de sécurité. -
Analyse des Risques et AIPD
La réalisation d’une Analyse d’Impact sur la Protection des Données (AIPD) est obligatoire si le traitement d’entraînement du modèle présente des risques élevés. L’AIPD doit inclure les risques spécifiques à l’IA et les mesures adéquates pour les atténuer. -
Défis et Perspectives Futures
La consultation publique a mis en lumière plusieurs défis, tels que la définition de l’anonymat d’un modèle, la répartition des responsabilités des acteurs, les difficultés de l’exercice des droits, et le développement d’outils techniques. La CNIL prévoit de publier de nouvelles recommandations pour clarifier ces responsabilités et élaborer des recommandations sectorielles pour favoriser une IA respectueuse des droits.