La CNIL publie ses recommandations pour mettre l'IA en conformité avec le RGPD

La CNIL publie ses premières recommandations pour le développement de l'IA. Le but ? Être raccord avec le RGPD pour concilier innovation technologique et respect des données personnelles.

L'intelligence artificielle (IA) fait désormais partie de notre quotidien : santé, finance, administration, elle est rapidement devenue un incontournable de notre société numérique. Mais elle a également soulevé débats et polémiques, notamment en raison de son développement exponentiel, laissant parfois des zones grises concernant les données personnelles.

La Commission nationale de l'informatique et des libertés (CNIL) a récemment publié ses premières recommandations sur le sujet. Ces directives, fruit de deux mois de consultation publique, visent à aider les professionnels à développer des systèmes d'IA tout en respectant les données personnelles. Les recommandations proposées prennent en compte le futur règlement européen sur l'intelligence artificielle, qui devrait être adopté très prochainement. En effet, lorsqu'il s'agit du développement d'un système d'IA impliquant des données personnelles, à la fois le RGPD et le règlement sur l'IA entrent en jeu. Ainsi, les recommandations de la CNIL ont été conçues pour compléter de manière cohérente ces réglementations, en se concentrant spécifiquement sur la protection des données.

Des recommandations en 7 étapes

La CNIL a livré sept premières recommandations pour le développement de l'IA. Ces recommandations sont le résultat de deux mois de consultation publique auprès de chercheurs, d'associations et d'entreprises dans les secteurs de l'IA, de la finance, de la santé ou de l'aéronautique. Elles visent à aider les professionnels à concilier le développement de l'IA avec le respect des données personnelles. La CNIL estime que « le développement [de l'IA] est conciliable avec les enjeux de protection de la vie privée ». Pour ce faire, elle conseille à ceux qui développent des systèmes d'IA de vérifier qu'ils ont bien le droit de réutiliser certaines données personnelles, et qu'il ne s'agit pas d'éléments volés, par exemple.

Elle incite aussi à minimiser les données personnelles collectées et utilisées afin de se limiter à celles qui sont nécessaires, adéquates et pertinentes. Ce principe doit être appliqué de manière encore plus rigoureuse « lorsque les données traitées sont sensibles », c'est-à-dire celles qui sont relatives à la santé, à la sexualité ou encore aux opinions religieuses. La Commission recommande par ailleurs de définir une durée de conservation des données et de vérifier ensuite qu'elles sont bien supprimées une fois le délai passé.

Les prochaines étapes

Au-delà de ces premières recommandations, la CNIL prévoit de compléter ces directives « dans les mois à venir » avec « d'autres fiches portant notamment sur la base légale de l'intérêt légitime, la gestion des droits, l'information des personnes concernées, l'annotation et la sécurité lors de la phase de développement ». Ces fiches supplémentaires permettront d'approfondir les recommandations initiales et de couvrir un spectre plus large de problématiques liées à l'IA et à la protection des données.

Il est également recommandé d'évaluer les risques inhérents à un système d'IA, comme la possibilité que des données confidentielles soient rendues publiques ou qu'elles soient utilisées à mauvais escient. La CNIL invite ainsi les entreprises qui développent ces systèmes à prendre des mesures de précaution, notamment le cryptage de données.

Cette approche proactive de la gestion des risques est essentielle pour garantir la confiance des utilisateurs dans les systèmes d'IA et assurer leur adoption à grande échelle. En somme, ces recommandations de la CNIL constituent une étape importante vers une IA éthique et responsable.

Source : La CNIL