La CNIL mène depuis plusieurs mois une réflexion sur l’IA avec les acteurs concernés. Elle a notamment lancé au printemps un plan d’action qui doit lui permettre de clarifier les règles et de soutenir l’innovation dans ce domaine. Elle vient de publier une première série de lignes directrices pour un usage de l’IA respectueux des données personnelles, qui confirme la compatibilité des recherches et développements en IA avec le RGPD, à condition de ne pas franchir certaines lignes rouges et de respecter certaines critères.
Les principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte résultant du RGPD sont « compatibles » avec des recherches et développements en IA, mais des « lignes rouges » ne doivent pas être franchies et « certaines conditions » respectées indique la l’Autorité, alors qu’elle vient de publier une première série de lignes directrices pour un usage de l’IA respectueux des données personnelles.
Le principe de finalité du RGPD impose de n’utiliser des données personnelles que pour un objectif précis (finalité) défini à l’avance. En matière d’IA, « la CNIL admet qu’un opérateur ne puisse pas définir au stade de l’entraînement de l’algorithme l’ensemble de ses applications futures, à condition que le type de système et les principales fonctionnalités envisageables aient été bien définies. »
En ce qui concerne le principe de minimisation, ce dernier n’empêche pas, selon la CNIL, l’entraînement d’algorithmes sur des très grands ensembles de données. « Les données utilisées devront en revanche, en principe, avoir été sélectionnées pour optimiser l’entraînement de l’algorithme tout en évitant l’utilisation de données personnelles inutiles. » Elle précise aussi que des précautions doivent être prises pour assurer la sécurité des données.
De son côté, « le principe de conservation limitée n’empêchera pas la définition de durées longues pour les bases de données d’entraînement, qui requièrent un investissement scientifique et financier important et deviennent parfois des standards largement utilisés par la communauté. »
Enfin, la réutilisation de bases de données est possible dans de nombreux cas, indique l’Autorité, prenant en exemple des données publiquement accessibles sur Internet pour entraîner des IA. Il faudra néanmoins vérifier que les données n’ont pas été collectées de manière « manifestement illicites » et que la finalité de réutilisation est « compatible avec la collecte initiale. »
Cette première série de lignes directrices sera suivie de deux autres, précise la CNIL.
