La CNIL a annoncé, ce 22 juillet 2025, la publication de ses ultimes recommandations sur le développement de systèmes d’IA en conformité avec le RGPD. Il s’agit d’une étape importante, mais pas d’une fin de parcours. En effet, de nouveaux travaux sont déjà en cours, notamment autour de l’explicabilité, des responsabilités des acteurs, et d’analyses sectorielles.
Recommandations pratiques et données personnelles
Dans ses nouvelles fiches, la CNIL documente l’analyse nécessaire pour déterminer si un modèle d’IA est soumis ou non au RGPD. Elle propose également des solutions concrètes pour que les modèles puissent être exploités sans traitement de données personnelles, comme la mise en place de filtres robustes autour du système encapsulant le modèle.
Elle s’attarde aussi sur le processus d’annotation des données, étape clé de l’entraînement d’un modèle, et sur la sécurité du développement, en lien avec l’ANSSI.
Une feuille de route 2025-2028 déjà engagée
Ces recommandations constituent un jalon important, mais la CNIL ne s’en tient pas là. Dans le cadre de son plan stratégique 2025-2028, l’autorité entend approfondir sa démarche à travers plusieurs axes complémentaires. Elle prévoit ainsi de publier prochainement des recommandations sectorielles ciblant en priorité les domaines de l’éducation, de la santé et du travail. Elle mènera également des travaux sur la responsabilité des différents acteurs impliqués dans la chaîne de valeur de l’intelligence artificielle.
Pour accompagner ces initiatives, des outils techniques seront développés afin de faciliter la mise en œuvre concrète des recommandations. Enfin, la CNIL s’engage dans un ambitieux projet de recherche sur l’explicabilité des systèmes d’IA, en partenariat avec Sciences Po et le CREST, dont les résultats sont attendus dans les mois à venir.
En résumé, la CNIL souhaite encadrer un développement de l’IA respectueux des droits fondamentaux et permettre aux acteurs français de s’y conformer sans pour autant freiner l’innovation.
