La Cnil se positionne pour une IA responsable

Avec ses "fiches pratiques", la Cnil invite les acteurs de l'IA à concilier innovation et éthique. Eric Barby (Avocat associé, Racine Avocats) décrypte les enjeux juridiques soulevés par les fiches.

La CNIL a publié ses « fiches pratiques » sur l’intelligence artificielle et franchit une nouvelle étape dans sa mission de régulation. Destinées à concilier innovation et éthique, elles révèlent le positionnement de l’institution sur l’IA. Décryptage par Me Eric Barby, avocat associé de Racine Avocats.

IA et données personnelles

2023 a vu la massification des usages de l’IA, notamment sous l’impulsion d’Open AI. Ce phénomène appelle un renouvellement de la réflexion juridique sur le sujet, dont la CNIL a fait l’une de ses missions.

Pour comprendre les enjeux juridiques de l’IA, il faut rappeler que toutes les IA ne se ressemblent pas. Si elles peuvent se classer selon leur fonction, leur performance, ou la nomenclature de la Commission européenne, il faut désormais les considérer selon leur traitement des données à caractère personnel. Cette classification concerne les IA qui collectent des informations nominatives, l’image, la voix.

Le RGPD s’applique aussi bien pour les « producteurs » que pour leurs « utilisateurs » d’IA, tel que définis par la Commission européenne (Règlement IA Act). Les 4 pans du RGPD s’appliquent alors, à savoir : les obligations informationnelles, les obligations organisationnelles, la mise en œuvre de mesures de sécurité appropriées et la tenue d’un registre des opérations de traitement (en tant que responsable de traitement ou sous-traitant) s’appliquent.

Rappelons que le RGPD ne s’applique pas qu’aux seules entreprises situées sur le territoire européen mais qu’il s’étend à toute entreprise située hors de l’EU dès lors que les données traitées portent sur des personnes qui se trouvent dans l’EU, lorsque les activités de traitement sont liées : soit à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes ; soit au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

La CNIL rappelle les règles en matière d’IA

La CNIL s’intéressait à l’IA bien avant qu’Open AI ne donne accès à cette technologie au grand public. Souvenons-nous de travaux comme la création du SIA (service de l’intelligence artificielle), la création de « bac à sable », permettant chaque année à des lauréats d’être accompagnés dans leur projet sur des thématiques spécifiques (2021 santé, 2022 outils numériques éducatifs, 2023 « services publics ») ; et la mise en ligne en 2022 d’un guide d'auto-évaluation.

Mais en octobre 2023, la CNIL a franchi une nouvelle étape dans sa démarche de régulation et d’accompagnement des acteurs de l’IA. L’autorité de contrôle française a en effet publié des « premières » fiches pratiques sur la constitution de bases de données d’apprentissage des systèmes d’intelligence artificielle. Celles-ci doivent aider les professionnels à concilier innovation technologique, et respect des droits des personnes. Ces fiches sont soumises à consultation publique jusqu’au 16 novembre prochain.

IA et Cnil, les points marquants

Parmi les points d’intérêt que soulèvent ces fiches pratiques, il convient de retenir les suivants.

D’abord, la CNIL établit une distinction entre IA en phase de développement et IA en phase de déploiement. La CNIL rappelle ainsi que même en phase de développement le RGPD a vocation à s’appliquer. Ensuite, la CNIL rappelle l’obligation ou l’importance de réaliser une analyse d’impact. Si toutes les IA ne sont pas soumises à une analyse d’impact, celles qui le sont ne pourront échapper à cette obligation. Enfin, la CNIL préconise ce qu’elle appelle une « validation des choix opérés ».

Pour ce faire la CNIL privilégie deux voies : réaliser une étude pilote, et/ou saisir un « comité d’éthique ». Celui-ci devrait animer une réflexion et élaborer une doctrine interne sur les aspects éthiques et assurer un suivi dans la durée. Pour la CNIL les maîtres-mots de la constitution et du rôle d’un tel comité sont : pluridisciplinarité, indépendance, mission précise et compétence.