Le 8 avril dernier, la CNIL a publié un ensemble de fiches dédiées au développement des systèmes d’intelligence artificielle et à la constitution des bases de données utiles à l’apprentissage des modèles.

Répartis par grandes thématiques de conformité, ces fiches pratiques fournissent des conseils et des recommandations aux entreprises et aux organismes publics sur la façon de concevoir des systèmes d’intelligence artificielle conformes aux règles de protection des données.

Voici les grandes thématiques abordées dans ces fiches.

Déterminer le régime juridique applicable

Pour rappel, trois régimes juridiques peuvent s’appliquer en matière de protection des données :

· Le régime du RGPD, qui est le régime général applicable aux traitements de données à caractère personnel.

· Le régime émanant de la Directive « Police Justice », dont les dispositions sont transposées dans la Loi Informatique et Liberté.

· Le régime de la défense nationale et sureté de l’État, dans le cadre de la Loi Informatique et Liberté.

 

Une distinction doit s’opérer entre les SIA à usage défini et les SIA à usage général :

· Pour un SIA à usage défini, l’usage opérationnel est défini et prévu dès la phase de développement. Par conséquent, le régime applicable sera connu dès la phase de développement.

· Pour un SIA à usage général, l’usage opérationnel n’est pas défini dès la phase de déploiement, et peut donc varier. Ici, le régime dépendra de la finalité déterminée dans le cadre du déploiement du système. Ex : reconnaissance vocale utilisée dans le cadre de la prévention d’infractions → Police Justice.

Définir une finalité

Étape important dans la mise en œuvre d’un traitement de données à caractère personnel, la finalité doit être le « pourquoi » du traitement. Elle doit être déterminée, explicite, et légitime.

La CNIL apporte ici deux précisions :

· Pour les SIA à usage défini : Si la finalité du traitement en phase de développement (c’est-à-dire l’objectif poursuivi) est licite (c’est-à-dire que la finalité est déterminée explicite et légitime et qu’une base légale pertinente justifie le traitement) alors la finalité de déploiement pourra être licite de fait. Les deux finalités étant directement liées.

· Pour les SIA à usage général en revanche, les deux finalités ne sont pas liées. La finalité de développement sera considérée comme licite si elle définie clair

ement quel est le type de système développé et quelles sont les fonctionnalités techniques envisagées.

o Ex : La finalité suivante est considérée conforme : « Développement d’un modèle de reconnaissance vocale capable d’identifier un locuteur, sa langue, son âge, son genre, etc. ». Celle-ci en revanche ne l’est pas : « Développement d’un modèle d’IA générative » La finalité n’est effectivement pas déterminée.

Déterminer la qualification juridique des fournisseurs du système

Ici, la difficulté réside dans le fait de savoir qui est le responsable de traitement et qui sont les sous-traitants.

Pour rappel, le responsable de traitement détermine les finalités et moyens du traitement, et le sous-traitant traite les données au nom et pour le compte du responsable. La CNIL propose ici une approche reposant sur le contrat :

· Responsable de traitement : Celui qui conçoit le SIA ou est à l’initiative du développement et en constitue la base de données

o Ex. Plateforme vidéo fait développer un SIA de recommandations, en réutilisation, une base de données provenant de ses clients.

· Responsable de traitement conjoint : La base de données d’apprentissage est alimentée par plusieurs RT pour un objectif conjointement défini

o Ex : Des centres hospitaliers développement un SIA d’analyse de données d’imagerie et choisissent un protocole d’apprentissage fédéré, en exploitant des bases de données qu’ils traitent séparément

· Sous traitant : Développe un SIA pour le compte d’un client dans le cadre d’une prestation

o Ex : Un prestataire s’est vu confier la constitution d’une base de données d’apprentissage par un fournisseur de système d’IA qui lui a indiqué précisément comment elle doit être élaborée.

Licéité du traitement : Définir une base légale et réutiliser de manière licite des données

Conformément à l’article 6 du RGPD, le responsable de traitement doit définir une base légale sur laquelle repose le traitement de données mis en œuvre.

La difficulté dans le cadre du développement des SIA réside dans la constitution des bases de données d’apprentissage. Le responsable de traitement, c’est-à-dire celui qui conçoit ou fait concevoir le système, doit effectuer des vérifications quant à l’origine des données qu’il utilise. Il doit notamment s’assurer :

· De la licéité de la collecte (en particulier s’il n’en est pas à l’origine)

· De la source des données

· De la pertinence d’une telle collecte (lien entre la finalité de collecte initiale et la finalité du traitement envisagé, type de données collectées, garanties, etc.)

Analyse d’impact

L’analyse d’impact (EIVP ou AIPD) est une analyse requise par l’article 35 du RGPD lorsqu’un traitement présente des risques pour les droits et les libertés des personnes. Pour rappel, une analyse doit être conduite si le traitement visé apparait sur la liste CNIL ou si deux des neuf critères CEPD sont remplis.

Dans ce cadre, il convient d’évaluer la criticité du traitement de données mis en œuvre grâce au SIA.

La CNIL apporte deux précisions intéressantes sur deux critères du CEPD pouvant être associés facilement aux SIA :

· Usage innovant : Ce critère se base sur l’état des connaissances techniques.

· Large échelle : Ce critère quant à lui dépend du volume de personne concernée.

Protection des données dès la conception

La conception du système

En lien avec l’ensemble des points énumérés précédemment, il est important pour le responsable de traitement de prendre en compte la protection des données au moment de la conception du système (Privacy by design). Cela permettra de mieux garantir la conformité aux grands principes du texte tout en déployant un outil conforme avant déploiement.

Pour cela, il est important que le responsable de traitement :

· Définisse clairement l’objectif du traitement : la finalité

· Choisisse la méthode de développement la plus respectueuse possible des droits des personnes

· Sélectionne les données strictement nécessaires à l’objectif recherché

· Mette en place un processus de validation des choix de conception.

La collecte et la gestion des données

Les mesures préconisées par la CNIL rejoignent celles énoncées précédemment. Pour garantir une collecte et une gestion des données conformes aux principes du RGPD, le responsable de traitement doit s’assurer que :

· Les vérifications nécessaires ont été faites sur les jeux de données collectées pour entrainer le SIA

· Les données utilisées sont nettoyées et protègent la vie privée

· Les données sont mises à jour et suivies régulièrement

· Les données sont conservées pour une durée déterminée

· Des mesures de sécurité adéquates sont mises en œuvre.

· Un suivi documentaire des jeux de données est effectué.

Le périmètre des fiches publiées se limite donc au développement des systèmes, mais les fiches consacrées au déploiement sont en cours de réalisation. Des fiches supplémentaires en matière de développement sont également soumises à consultation.

SRC Solution peut vous accompagner quant à la compréhension du réglementaire entourant l’IA et la mise en place d’un socle de conformité attendu.

Pour toute question ou besoin, n’hésitez pas à nous contacter.