Actualités

Après avoir mené une consultation auprès des différents acteurs du secteur, la CNIL a publié ce 8 avril 2024 ses premières recommandations de mise en conformité des systèmes d’IA. Le 2 avril dernier, la CNIL a également publié des recommandations sur l’apport des normes ISO/IEC 27701 et 42001 en matière d’IA.

1. Aperçu des différentes fiches de la CNIL relatives au développement des IA

• Détermination du régime juridique applicable : dès la phase de développement, il convient de déterminer si l’IA implique un traitement de données à caractère personnel, et le cas échéant, à quelle règlementation est soumis le traitement de données personnelles résultant du développement du système d’IA (RGPD, directive police justice, lois intéressant la défense nationale ou la sureté de l’état).
• Définition de la finalité du traitement : les modalités de définition de la finalité seront différentes selon que l’usage opérationnel de l’IA est identifié ou non dès la phase de développement. À cet égard, les systèmes d’IA à visée générale peuvent avoir des finalités qui sont difficiles à identifier au stade du développement. Les finalités devront alors contenir le type de système d’IA développé (modèle de langage, vision, etc.) et les fonctionnalités et capacités qui peuvent être techniquement envisageables lors du déploiement.
• Qualification des acteurs au sens du RGPD : la qualification des acteurs impliqués (responsable de traitement, sous-traitant, co-responsable de traitement) dans le développement d’un système d’IA doit faire l’objet d’une analyse au cas par cas :

– Par exemple, un fournisseur qui est à l’initiative du développement d’un système d’IA et qui produit la base de données d’apprentissage à partir de données qu’il a sélectionnées pour son propre compte peut être qualifié de responsable de traitement ;
– À l’inverse, un fournisseur de système d’IA peut être sous-traitant lorsqu’il développe un système d’IA pour le compte de l’un de ses clients dans le cadre d’une prestation.

• Choix d’une base légale : la base d’apprentissage du système d’IA doit répondre aux exigences de licéité du traitement. Plusieurs bases légales peuvent être alternativement mobilisées (consentement, intérêt légitime, mission d’intérêt public, contrat, obligation légale). Le choix de la base légale dépendra notamment de la façon dont les données d’apprentissage ont été obtenues (directement auprès de la personne, base de données publique, collectées initialement pour une autre finalité, obtenues auprès d’un tiers, etc.).
• Réalisation d’une éventuelle analyse d’impact sur la protection des données (AIPD) : la réalisation d’une AIPD peut être rendue obligatoire s’agissant de traitements impliquant un profilage ou une prise de décision automatisée, collecte de données sensibles, collecte à large échelle, collecte de données de personnes vulnérables, etc. La réalisation d’une AIPD, pour conformité au RGPD, sera présumée nécessaire pour le développement d’un produit qualifié de système d’IA à haut risque au sens du règlement IA lorsque son développement ou déploiement implique un traitement de données à caractère personnel.
• Conception de l’IA : Le responsable de traitement doit respecter dès la conception du système d’IA le principe de minimisation des données. Ce principe doit être respecté lors de la détermination de l’objectif du système d’IA et du choix des sources des données.
• Collecte et gestion des données d’entraînement : La constitution de la base de données d’apprentissage doit respecter dès sa conception le principe de protection des données personnelles dit « privacy by design ». Les données collectées doivent être pertinentes, « nettoyées » afin de corriger les erreurs et constituer une base de qualité, et intégrer des procédés de généralisation et randomisation limitant l’association d’une donnée à une personne spécifique. Des mesures de sécurité doivent être prévues. Une durée de conservation doit être fixée pour le développement mais également pour la maintenance et l’amélioration du système d’IA.

2. Focus sur les normes ISO/IEC 27701 et 42001

Dans une publication du 2 avril 2024, la CNIL est revenue sur l’évolution de la norme internationale ISO/IEC 27701. Cette norme, publiée en août 2019, prévoit des règles concernant la gestion unifiée des risques informatiques et pour la vie privée, la sensibilisation du personnel, les conditions des transferts de données intégrant le « privacy by design » et « privacy by default ». La norme reprend également des mesures spécifiques aux traitements de données personnelles prévues par le RGPD (finalité, base légale, registre de traitement, AIPD, droits des personnes concernées, contrats de sous-traitance, partage de données etc.).

Cette norme a été adaptée par le Comité européen de normalisation en électronique et électrotechnique (CEN-CENELEC) afin de rendre obligatoire toutes les mesures imposées par le RGPD (telles que la mise en œuvre des droits des personnes concernées, la sécurité des données, etc.).

La CNIL est également revenue sur la norme ISO/IEC 42001, publiée en décembre 2023, qui permet quant à elle de mettre en place des processus répondant aux exigences de fiabilité, sécurité, équité transparence, qualité des données et gestion du cycle de vie des systèmes d’IA.