L’approche de la CNIL face aux incertitudes de l’IA
Dans un univers technologique en constante évolution, l’application du Règlement Général sur la Protection des Données (RGPD) à l’intelligence artificielle (IA) présente des défis uniques. La CNIL, gardienne de la conformité en France, vient de publier une série de recommandations qui illustrent ces défis. Le principal enjeu réside dans l’intégration des systèmes d’IA dans le cadre juridique existant, tout en tenant compte des spécificités de ces technologies.
La minimisation des données et l’incertitude technologique
La première recommandation importante concerne le principe de minimisation des données. Ce principe du RGPD stipule que seules les données « adéquates, pertinentes et limitées à ce qui est nécessaire » doivent être utilisées. Pour l’IA, cela signifie un usage mesuré des données, en fonction des connaissances scientifiques actuelles. Cependant, cela soulève des questions: comment évaluer ce qui est « nécessaire » dans un domaine où l’incertitude règne sur les performances des différentes architectures d’IA?
La sélection des algorithmes et méthodes d’apprentissage
La CNIL pointe également vers la sélection des algorithmes comme moyen de favoriser la minimisation des données. Elle souligne l’importance de considérer les protocoles d’apprentissage. Si une méthode n’impliquant pas d’apprentissage automatique est capable de répondre aux objectifs, alors elle devrait être privilégiée. Cela reflète une approche prudente et mesurée dans l’application de technologies de pointe.
PIA et les Critères de réalisation des AIPD
L’analyse d’impact relative à la protection des données (AIPD), connue sous le terme PIA (Privacy Impact Assessment) en anglais, est un autre domaine d’incertitude. Le RGPD identifie 9 critères pouvant nécessiter une AIPD, dont l' »usage innovant » de l’IA. La CNIL précise que l’utilisation de systèmes d’IA ne relève pas automatiquement de cet « usage innovant ». Par exemple, les techniques d’IA qui ont été validées et éprouvées pendant plusieurs années ne seraient pas considérées comme nouvelles. À l’inverse, des techniques telles que l’apprentissage profond, encore en phase d’identification des risques, pourraient requérir une AIPD.
Systèmes d’IA à usage général : une zone grise
Les systèmes d’IA à usage général, comme les modèles de fondation, posent un défi particulier. Leur large éventail d’applications rend difficile l’identification exhaustive de leurs utilisations. La CNIL recommande donc la réalisation d’une AIPD dans la plupart des cas où il y a traitement de données par ces systèmes. Elle propose également des exemples de finalités explicites et déterminées pour ces systèmes, comme un LLM capable de répondre à des questions, ou un modèle de vision par ordinateur pour la détection d’objets.
Les bases légales et la mobilisation de l’intérêt légitime
Enfin, la CNIL aborde la question de la base légale pour le traitement des données. Le consentement, souvent difficile à obtenir, n’est pas l’unique option. L’intérêt légitime, par exemple, peut être invoqué dans certains cas, mais pas dans d’autres où les droits et libertés individuels pourraient être compromis. La CNIL prévoit de publier une fiche dédiée à l’usage de l’intérêt légitime, offrant ainsi un éclairage supplémentaire sur ce sujet complexe.
En conclusion, les recommandations de la CNIL illustrent la complexité de l’application du RGPD à l’IA. Elles mettent en évidence un équilibre délicat entre l’innovation technologique et la protection des données personnelles. Alors que l’IA continue de se développer, la CNIL et les organisations qui utilisent ces technologies doivent naviguer dans un paysage en constante évolution, s’adaptant à mesure que de nouvelles informations et compréhensions émergent.