Intelligence artificielle : la CNIL publie son plan d’action

Le 16 mai 2023, la CNIL a publié son plan d’action relatif à l’Intelligence artificielle.

La CNIL souhaite instaurer des règles claires, protectrices des données personnelles des citoyens français afin de contribuer au développement de systèmes d’IA respectueux de la vie privée.  Ce plan d’action s’articule autour de 4 volets :

‍

Appréhender le fonctionnement des systèmes d’IA et leurs impacts sur les personnes

Selon la CNIL, le fonctionnement des systèmes d’IA pose des questions nouvelles relatives à la protection des données personnelles, en particulier sur :

• La loyauté et la transparence des traitements de données sous-jacents ;
• La protection des données publiquement accessibles sur le Web face à l’utilisation du moissonnage, ou scraping, de données pour la conception des outils ;
• La protection des données transmises par les utilisateurs lorsqu’ils utilisent ces outils ;
• Les conséquences sur les droits des personnes sur leurs données, tant en ce qui concerne celles collectées pour l’apprentissage de modèles que celles qui peuvent être fournies par ces systèmes, dans le cas d’IA génératives ;
• La protection contre les biais et les discriminations ;
• Les enjeux de sécurité de ces outils.

Ces aspects constitueront un des axes de travail prioritaires pour le nouveau service de l’intelligence artificielle de la CNIL et son laboratoire d’innovation numérique (LINC).

‍

Encadrer le développement d’IA respectueuses des données personnelles

La CNIL publiera prochainement (i) un guide sur les règles applicables au partage et à la réutilisation de données incluant notamment la question de la réutilisation de données librement accessibles sur internet et utilisées pour l’apprentissage de nombreux modèles d’IA ainsi que (ii) plusieurs documents relatifs à la conception de systèmes d’IA et la constitution de bases de données pour l’apprentissage automatique.

‍

Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe

Après avoir lancé (i) un « bac à sable » pour accompagner les projets et acteurs innovants reposant sur l’IA, (ii) un programme d’accompagnement spécifique des fournisseurs de vidéosurveillance « augmentée » dans le cadre de l’expérimentation prévue par la loi relative aux Jeux olympiques et paralympiques de 2024 et (iii) ouvert un nouveau programme « d’accompagnement renforcé » pour assister des entreprises innovantes dans leur conformité au RGPD, la CNIL souhaite désormais engager un dialogue avec les équipes de recherche, centres de R&D et entreprises françaises développant, ou souhaitant développer, des systèmes d’IA.

‍

Auditer et contrôler les systèmes d’IA et protéger les personnes

La CNIL annonce qu’en matière d’IA, son pouvoir de contrôle portera en 2023 sur :

• L’usage de la vidéosurveillance « augmentée » par les acteurs publics et privés, sa position sur le sujet ayant été publiée en 2022 ;
• L’usage de l’intelligence artificielle pour la lutte contre la fraude, par exemple contre la fraude à l’assurance sociale ;
• L’instruction de plaintes déposées auprès de la CNIL. En effet, la CNIL a déjà été saisie de plusieurs plaintes contre la société OpenAI, visant le fonctionnement de son robot conversationnel ChatGPT.

La CNIL sera particulièrement attentive à ce que les acteurs traitant des données personnelles afin de développer, d’entraîner ou d’utiliser des systèmes d’intelligence artificielle aient :

• réalisé une analyse d’impact relative à la protection des données (AIPD) pour documenter les risques et pris des mesures permettant de les diminuer ;
• pris des mesures d’information des personnes ;
• prévu des mesures d’exercice des droits des personnes adaptées à ce contexte particulier.