CNIL et le RGPD : naviguer dans l’ère de l’IA et de la DATA

Dans un monde où l’intelligence artificielle (IA) évolue rapidement, la Commission Nationale de l’Informatique et des Libertés (CNIL) confronte les défis uniques posés par le RGPD.
Découvrez comment elle aborde les incertitudes et les spécificités liées à l’IA, et ce que cela signifie pour la protection des données.

L’approche de la CNIL face aux incertitudes de l’IA

Dans un univers technologique en constante évolution, l’application du Règlement Général sur la Protection des Données (RGPD) à l’intelligence artificielle (IA) présente des défis uniques. La CNIL, gardienne de la conformité en France, vient de publier une série de recommandations qui illustrent ces défis. Le principal enjeu réside dans l’intégration des systèmes d’IA dans le cadre juridique existant, tout en tenant compte des spécificités de ces technologies.

La minimisation des données et l’incertitude technologique

La première recommandation importante concerne le principe de minimisation des données. Ce principe du RGPD stipule que seules les données « adéquates, pertinentes et limitées à ce qui est nécessaire » doivent être utilisées. Pour l’IA, cela signifie un usage mesuré des données, en fonction des connaissances scientifiques actuelles. Cependant, cela soulève des questions: comment évaluer ce qui est « nécessaire » dans un domaine où l’incertitude règne sur les performances des différentes architectures d’IA?

La sélection des algorithmes et méthodes d’apprentissage

La CNIL pointe également vers la sélection des algorithmes comme moyen de favoriser la minimisation des données. Elle souligne l’importance de considérer les protocoles d’apprentissage. Si une méthode n’impliquant pas d’apprentissage automatique est capable de répondre aux objectifs, alors elle devrait être privilégiée. Cela reflète une approche prudente et mesurée dans l’application de technologies de pointe.

PIA et les Critères de réalisation des AIPD

L’analyse d’impact relative à la protection des données (AIPD), connue sous le terme PIA (Privacy Impact Assessment) en anglais, est un autre domaine d’incertitude. Le RGPD identifie 9 critères pouvant nécessiter une AIPD, dont l' »usage innovant » de l’IA. La CNIL précise que l’utilisation de systèmes d’IA ne relève pas automatiquement de cet « usage innovant ». Par exemple, les techniques d’IA qui ont été validées et éprouvées pendant plusieurs années ne seraient pas considérées comme nouvelles. À l’inverse, des techniques telles que l’apprentissage profond, encore en phase d’identification des risques, pourraient requérir une AIPD.

Systèmes d’IA à usage général : une zone grise

Les systèmes d’IA à usage général, comme les modèles de fondation, posent un défi particulier. Leur large éventail d’applications rend difficile l’identification exhaustive de leurs utilisations. La CNIL recommande donc la réalisation d’une AIPD dans la plupart des cas où il y a traitement de données par ces systèmes. Elle propose également des exemples de finalités explicites et déterminées pour ces systèmes, comme un LLM capable de répondre à des questions, ou un modèle de vision par ordinateur pour la détection d’objets.

Les bases légales et la mobilisation de l’intérêt légitime

Enfin, la CNIL aborde la question de la base légale pour le traitement des données. Le consentement, souvent difficile à obtenir, n’est pas l’unique option. L’intérêt légitime, par exemple, peut être invoqué dans certains cas, mais pas dans d’autres où les droits et libertés individuels pourraient être compromis. La CNIL prévoit de publier une fiche dédiée à l’usage de l’intérêt légitime, offrant ainsi un éclairage supplémentaire sur ce sujet complexe.


En conclusion, les recommandations de la CNIL illustrent la complexité de l’application du RGPD à l’IA. Elles mettent en évidence un équilibre délicat entre l’innovation technologique et la protection des données personnelles. Alors que l’IA continue de se développer, la CNIL et les organisations qui utilisent ces technologies doivent naviguer dans un paysage en constante évolution, s’adaptant à mesure que de nouvelles informations et compréhensions émergent.

Ces articles pourraient vous intéresser

Actualités & Veilles

Fresque de la RSE : découvrir et s'engager en 3 heures

La Fresque de la RSE, créée par la Fondation Oïkos en 2022, est un outil collaboratif destiné à éveiller les consciences des entreprises sur la Responsabilité Sociétale des Entreprises (RSE) et le développement durable. Cette initiative enco...
Actualités & Veilles

Le CPF nouveau tournant en 2024 : forfait à 100€ et revalorisation annuelle

Découvrez comment le nouveau forfait de 100 euros sur le Compte Personnel de Formation (CPF) en 2024, indexé à l’inflation, va redéfinir l’accès à la formation professionnelle. Cet article explore les enjeux, les exemptions, et les...
Actualités & Veilles

Surmenage & burn-out : voie sans issue pour les développeurs ?

Dans le secteur du jeu vidéo, les succès s’enchaînent pour les développeurs et les éditeurs à l’image d’un Rocktar Games, Ubisoft et tant d’autres. Néanmoins, ces succès commerciaux ne sont pas dénués de critiques dans le domaine des ressources humaines.