La CNIL – dont on se demande toujours qui l’a chargée de cette tâche – publie ses lignes rouges à ne pas franchir et les contraintes à respecter lors de la création et de l’entraînement d’intelligences artificielles en France.
Le principe de finalité s’applique avec des aménagements
Selon la Cnil, le principe de finalité du RGPD s’applique aussi aux systèmes d’IA à usage général. La Cnil reconnaît qu’il faut toutefois l’adapter. Dans le RGPD, le principe de finalité impose de n’utiliser des données personnelles que pour un objectif précis (finalité) défini à l’avance.
Pour l’IA, la Cnil admet qu’un opérateur ne puisse pas définir au stade de l’entraînement de l’algorithme l’ensemble de ses applications futures. Mais cet opérateur devra à l’avance bien définir le type de système et les principales fonctionnalités envisageables.
Autre exigence de la Cnil, il y a la minimisation des données. Selon la Cnil, le principe de minimisation n’empêche pas l’utilisation de très larges bases de données pour entraîner des IA. La Cnil demande en revanche que les données utilisées soient sélectionnées pour optimiser l’entraînement de l’algorithme tout en évitant l’utilisation de données personnelles inutiles. La Cnil exige dans tous les cas que certaines précautions pour assurer la sécurité des données soient mises en œuvre.
La durée de conservation des données peut être longue
La Cnil estime d’autre part que la durée de conservation des données d’entraînement peut être longue si c’est justifié. Dans le cadre du RGPD, la conservation des données doit être limitée dans le temps. La Cnil consent à ce que des durées longues pour les bases de données d’entraînement soient possibles, car ces données requièrent un investissement scientifique et financier important et deviennent parfois des standards largement utilisés par la communauté.
Enfin, la Cnil considère que la réutilisation de bases de données est possible dans de nombreux cas pour entraîner des IA sous conditions. Cela concerne notamment les données publiquement accessibles sur internet. La Cnil demande cependant de vérifier que les données n’ont pas été collectées de manière manifestement illicite. De plus, la finalité de réutilisation doit être compatible avec la collecte de données initiale. La Cnil propose de s’inspirer des dispositions relatives à la recherche et à l’innovation dans le RGPD car cela permet un régime aménagé pour les acteurs innovant de l’IA qui utilisent des données de tiers.
Quels arguments la Cnil utilise-t-elle pour s’emparer du sujet de l’IA en France ? La Cnil indique que l’entraînement des algorithmes d’IA consomme beaucoup de données, dont des données personnelles. Elle déclare intervenir pour protéger la vie privée des personnes. L’usage des algorithmes ainsi entraînés pourrait, dans certains cas selon la Cnil, porter atteinte aux droits des personnes. Elle cite la création facilitée de fausses informations, la multiplication des processus de décisions entièrement automatisés ou de nouvelles formes de suivi et de surveillance des individus.
