![Les batteries françaises dopées par la réserve secondaire [compte-rendu]](https://www.greenunivers.com/wp-content/uploads/2023/07/14-1024x576.png)
![Les flexibilités à la recherche de l’équilibre offre-demande [compte-rendu]](https://www.greenunivers.com/wp-content/uploads/2025/02/image-8.png)
![La consommation d’électricité en légère hausse en 2024 [RTE]](https://www.greenunivers.com/wp-content/uploads/2025/02/light-bulb-1867166_1280.jpg)
IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable
IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable #Intelligence artificielle (IA) #Développement des systèmes d'IA - RGPD / cybersecurite_home_gauche
Le RGPD permet le développement d'IA innovantes et responsables en Europe. Les deux nouvelles recommandations de la CNIL l'illustrent par des solutions concrètes pour informer les personnes dont les données sont utilisées et faciliter l'exercice de leurs droits.
Le RGPD permet une IA innovante et respectueuse des données personnelles
Le Sommet pour l'action sur l'intelligence artificielle, organisé par la France du 6 au 11 février 2025, accueillera de nombreux évènements qui confirment que l'IA recèle un potentiel d'innovation et de compétitivité pour les prochaines années.
Depuis 1978, la France s'est dotée de règles pour encadrer l'usage des données personnelles par les technologies numériques. En Europe, ces règles ont été harmonisées par le règlement général sur la protection des données personnelles (RGPD) dont les principes inspirent de nombreux pays à l'international.
Consciente des enjeux de clarification du cadre juridique, la CNIL s'emploie, à travers l'ensemble de ses actions, à sécuriser les acteurs afin de favoriser l'innovation en IA tout en assurant le respect des droits fondamentaux des Européens. Depuis le lancement de son plan d'action sur l'IA en mai 2023, la CNIL a notamment adopté une série de recommandations pour le développement de systèmes d'IA. Ainsi éclairé et clarifié, l'application du RGPD est un facteur de confiance pour les personnes, et de sécurité juridique pour les entreprises.
Une nécessaire déclinaison des principes du RGPD aux spécificités de l'IA
Certains modèles d'IA sont anonymes : ils n'ont pas à appliquer le RGPD. Mais d'autres modèles, comme le modèle de langage (LLM), peuvent contenir des données personnelles. Le Comité européen de la protection des données a récemment fourni des critères pertinents sur l'application du RGPD à un modèle d'IA.
Lorsque le RGPD est applicable, les données des personnes doivent être protégées, que ce soit à travers les bases d'entraînement, au sein des modèles qui ont pu les mémoriser, ou dans l'utilisation des modèles au moyen des invites (prompts). Mais les principes cardinaux de cette protection, qui demeurent applicables, doivent être déclinés dans le contexte spécifique de l'IA.
La CNIL a ainsi estimé que :
le principe de finalité s'appliquera de manière adaptée aux systèmes d'IA à usage général : un opérateur qui ne peut pas définir précisément l'ensemble de ses applications futures dès l'entrainement pourra se limiter à décrire le type de système développé et illustrer les principales fonctionnalités envisageables ;
le principe de minimisation n'empêche pas l'utilisation de larges bases de données d'entraînement. Les données utilisées doivent, en principe, être sélectionnées et nettoyées afin d'optimiser l'entraînement de l'algorithme tout en évitant l'exploitation de données personnelles inutiles.
la durée de conservation des données d'entraînement peut être longue si c'est justifié et si la base fait l'objet de mesures de sécurisation adaptées, notamment pour les bases de données qui requièrent un investissement scientifique et financier important et deviennent parfois des standards reconnus. par la communauté scientifique.
la réutilisation de bases de données, notamment accessibles en ligne, est possible dans de nombreux cas, après avoir vérifié que les données n'ont pas été collectées de manière manifestement illicite et que la réutilisation est compatible avec la collecte initiale.
Les nouvelles recommandations de la CNIL
La CNIL publie aujourd'hui deux nouvelles recommandations pour un usage de l'IA respectueux des données personnelles, qui confirment que les exigences du RGPD sont suffisamment équilibrées pour appréhender les spécificités de l'IA. Ces recommandations proposent des solutions concrètes et proportionnées pour informer et faciliter l'exercice des droits des personnes :
Lorsque des données personnelles servent à l'entraînement d'un modèle d'IA et sont potentiellement mémorisées par celui-ci, les personnes concernées doivent être informées.
Les modalités d'information peuvent être adaptées en fonction des risques pour les personnes et des contraintes opérationnelles. Le RGPD permet, dans certains cas, notamment lorsque les modèles d'IA sont constitués à partir de sources tierces (third party data) et que le fournisseur n'est pas en capacité de contacter individuellement les personnes, de se limiter à une information générale (par exemple, sur le site web de l'organisme). Lorsque de nombreuses sources sont utilisées, comme c'est par exemple le cas pour les modèles d'IA à usage général, une information globale, indiquant par exemple des catégories de sources, voire le nom de quelques sources principales, est généralement suffisante.
Voir les recommandations de la CNIL pour l'information des personnes
La règlementation européenne prévoit des droits d'accès, de rectification, d'opposition et d'effacement des données personnelles.
Or, ces droits peuvent être particulièrement difficiles à mettre en œuvre dans le cadre de modèles d'IA, qu'il s'agisse d'identifier les personnes au sein du modèle ou de modifier le modèle. La CNIL demande aux acteurs de faire tous leurs efforts pour prendre en compte la protection de la vie privée dès le stade la conception du modèle. Elle invite notamment les acteurs à porter une attention particulière aux données personnelles présentes dans les bases d'entraînement :
en s'efforçant de rendre les modèles anonymes, lorsque cela n'est pas contraire à l'objectif poursuivi ; et
en développant des solutions innovantes pour empêcher la divulgation de données personnelles confidentielles par le modèle.
Le coût, l'impossibilité ou les difficultés pratiques pourront parfois justifier un refus d'exercice des droits ; lorsque le droit doit être garanti, la CNIL prendra en compte les solutions raisonnables à la disposition du créateur du modèle et les conditions de délai pourront être aménagées. La CNIL souligne que la recherche scientifique évolue rapidement dans ce domaine et appelle les acteurs à se tenir informés de l'évolution de l'état de l'art pour protéger au mieux les droits des personnes.
Voir les recommandations de la CNIL sur les droits des personnes
► Voir toutes les recommandations de la CNIL sur l'IA
Une concertation avec les acteurs de l'IA et la société civile
L'ensemble de ces recommandations a été élaboré à la suite d'une consultation publique. Les parties prenantes (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.) ont pu s'exprimer et permettre à la CNIL de proposer des recommandations au plus proche de leurs questionnements et de la réalité des usages de l'IA.
Consulter la synthèse des contributions
Les travaux de la CNIL pour assurer une application entière et pragmatique du RGPD dans le domaine de l'IA se poursuivront dans les prochains mois avec de nouvelles recommandations et l'accompagnement des organismes. Par ailleurs, la CNIL suit les travaux du bureau de l'IA de la Commission européenne pour l'élaboration d'un code de bonnes pratiques sur l'IA à usage général et s'articule avec le travail de clarification du cadre légal mené au niveau européen.
Synthèse des contributions
Consultation publique - Fiches pratiques sur l'information et l'exercice des droits pour le développement de systèmes d'IA - Synthèse des contributions
[ PDF-266.43 Ko ]
