Le 8 avril 2024, à la suite d’une consultation publique du 15 décembre 20231 sur l’intelligence artificielle (IA), la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié sept fiches pratiques concernant le développement de systèmes d’IA. Élaborées en vue d’une articulation intelligible avec les futures obligations du Règlement européen sur l’IA (AI Act)2, ces fiches ont vocation à orienter les organismes développant des systèmes d’IA dans leur mise en conformité au RGPD.
Au sein de sa première fiche, la CNIL propose un faisceau d’indices pour parvenir à déterminer le régime juridique applicable aux phases de développement et de déploiement d’un système d’IA, étant précisé que ces phases constituent des traitements de données personnelles distincts. Elle détaille les différents régimes juridiques à envisager, à savoir le régime résultant du RGPD, celui spécifique aux secteurs « police-justice » et celui intéressant la défense nationale de l’Etat régi par les dispositions de la loi Informatiques et Libertés[1]. Ensuite, la CNIL rappelle la nécessité de définir une finalité pour tout traitement de données personnelles, et, notamment, pour les bases de données utilisées dans le développement d’un système d’IA.
La CNIL expose au sein de la fiche 3 les différents critères permettant de qualifier les acteurs de responsable de traitement, de responsables conjoints de traitement, ou de sous-traitant.
Par la fiche 4, la CNIL met en exergue la nécessité de fonder le traitement sur l’une des bases légales prévues par le RGPD. Elle exclut de son champ d’analyse l’étude de celle relative à la sauvegarde des intérêts vitaux de la personne, laissant présager qu’une telle base légale ne pourrait donc pas être mobilisable. En outre, elle rappelle que lorsque le responsable de traitement réutilise des données qu’il a collectées pour une finalité initiale, il doit vérifier si ce traitement ultérieur est compatible avec ladite finalité.
La CNIL rappelle que la constitution d’une base de données pour l’apprentissage d’un système d’IA peut engendrer un risque élevé pour les droits et libertés des personnes. Une analyse d’impact sur la protection des données (AIPD) doit alors être réalisée, afin de cartographier et d’évaluer les risques pour les personnes concernées (fiche 5). La Commission revient sur la nécessité de mener une réflexion sur le développement d’un système d’IA respectueux de la protection des données dès la conception dudit système (fiche 6), et, par la suite, de veiller au respect du principe de minimisation durant toute la collecte et la gestion des données (fiche 7).
Par ces fiches, la CNIL met en avant le fait que l’AI Act, adopté le 13 mars dernier par le Parlement européen, n’a pas vocation à écarter le RGPD dans le développement de systèmes d’intelligence artificielle impliquant le traitement de données personnelles. Elle souligne, au contraire, leur complémentarité. Ainsi, elle tente de démontrer que la protection des données personnelles ne constitue pas un obstacle à l’innovation en matière d’IA, mais qu’elle favorise l’émergence de technologies plus respectueuses des droits des individus.
[1] La loi nᵒ 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés