Data Management

Consultation de la CNIL sur la constitution de bases de données d'apprentissage pour l'IA : projet de réponse du gf2i


David Commarmond


La CNIL publie ses premières fiches pratiques sur la constitution de bases de données d’apprentissage des systèmes d’intelligence artificielle. Ces fiches doivent aider les professionnels à concilier innovation et respect des droits des personnes. Elles sont soumises à consultation publique jusqu’au 16 novembre 2023.



De nombreux acteurs ont fait part à la CNIL de questionnements concernant l’application du règlement général sur la protection des données (RGPD) à l’intelligence artificielle (IA), en particulier depuis l’émergence de systèmes d’IA génératives (« Generative AI systems »).
L’analyse de ces systèmes montre que leur développement est conciliable avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes.
 
C’est à cette condition que les citoyens feront confiance à ces technologies. Pour cela, il est important que les acteurs disposent d’éléments clairs et pratiques d’analyse pour éclairer les décisions stratégiques de développement ou d’utilisation de l’IA que de nombreux organismes doivent prendre dans les prochains mois.


Quels sont les objectifs des fiches soumises à consultation publique ?

Les fiches pratiques de la CNIL servent à accompagner les acteurs de l’écosystème IA dans leurs démarches de mise en conformité avec la législation sur la protection des données personnelles.
Elles permettent d’apporter des réponses concrètes, illustrées d’exemples, aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA.
Elles répondent notamment aux interrogations concernant l’application des principes de finalité, de minimisation et de durée de conservation pour les bases de données d’apprentissage. Elles clarifient également les règles applicables à la recherche scientifique et la réutilisation de bases de données.

Quel est le périmètre des fiches pratiques ?

Les fiches pratiques concernent uniquement :
  • la phase de développement, à l’exclusion de celle de déploiement ;
  • les systèmes qui impliquent le traitement de données personnelles soumis au RGPD.
Elles se déclinent en 9 documents répartis de la manière suivante :
  • L’introduction précise le périmètre des fiches pratiques ;
  • La fiche 1 porte sur le régime juridique applicable aux traitements de données en phase de développement du système d’IA ;
  • La fiche 2 traite de la détermination de la finalité du traitement de constitution d’une base de données d’apprentissage d’un système d’IA ;
  • La fiche 3 évoque la qualification juridique des fournisseurs de systèmes d’IA ;
  • La fiche 4 rappelle comment choisir la base légale du traitement et les vérifications supplémentaires à effectuer en fonction du mode de collecte ou de réutilisation des données ;
  • La fiche 5 porte sur la réalisation d’une analyse d’impact sur la protection des données ;
  • Les fiches 6 et 7 aident les acteurs à prendre en compte la protection des données dans les choix de conception du système d’IA ainsi que lors de la collecte et la gestion des données ;
  • Un modèle de documentation-type est fourni en annexe.

Pour en savoir plus

Synthèse de l'appel à projet : ici
Consulter le site de la CNIL : ici
 Philippe MASSERON