L’IA et la CNIL, un sujet d’actualité

Beaucoup se focalisent sur le projet de règlement IA comme s’il allait constituer l’alpha et l’omega du droit de l’intelligence artificielle.
C’est oublier que l’IA est déjà régulée par la loi (données personnelles, droit du consommateur, propriété intellectuelle, …) et par le droit des contrats (licence, conditions d’utilisation, …).
Au cas particulier des données personnelles il faut saluer les initiatives récentes de la Cnil en la matière même si leur mise en œuvre n’apparait pas évidente.
Il faut en effet rappeler que le droit des données personnelles peut s’appliquer à l’IA dans deux situations : les données traitées par l’IA (entrainement notamment) sont des données personnelles ; l’usage de l’IA permet de recueillir et traiter les données des utilisateurs de l’IA.

Le 11 octobre dernier la Cnil selon ses propres termes « Dévoile ses premières réponses pour une IA innovante et respectueuse de la vie privée ».

Initiatives clés de la CNIL en matière d’IA

La Cnil avait déjà lancé un certain nombre d’initiatives telles que :

• initiative 1 – création du SIA (service de l’intelligence artificielle) composé de juristes et d’ingénieurs spécialisés. Ce service est rattaché à la direction des technologies et de l’innovation de la Cnil ; Ce service est avant tout destiné à développer les propres compétences de la Cnil dans le domaine mais sa mission est aussi de « développer les relations avec les acteurs de l’écosystème » ;
• initiative 2 – le bac à sable. L’objectif de la Cnil est d’accompagner 3 projets utilisant de l’intelligence artificielle. Sur la base d’un appel à candidature la Cnil sélectionne des projets. En 2023 la thématique retenue est celle des solutions d’IA « au bénéfice des services » publics. Cet accompagnement est organisé sur la base d’une convention et s’articule autour de 3 phases : Phase d’accompagnement (6 mois), phase d’implémentation et phase de retour à l’écosystème (REX). En 2022 la Cnil a accompagné des projets d’outils numériques éducatifs et en 2021 elle s’était focalisée sur l’IA dans le domaine de la santé.

Le concept du bac à sable expliqué

Il faut cependant rappeler ce que recoupe et ne recoupe pas cette notion de « bac à sable ». Pour la Cnil les choses sont claires il ne s’agit pas d’un « bac à sable juridique ». De fait il ne s’agit pas de « tester » le droit des données personnelles mais bien de s’assurer de son respect total par les lauréats.
Cette démarche de bac à sable s’accompagne de retour d’expérience qui visent les lauréats mais qui vise aussi indirectement l’ensemble de la communauté IA, car ce qui est vrai pour les uns, est nécessairement vrai pour les autres.

Autres initiatives notables

• Initiative 3 – mise en ligne en 2022 d’un guide d’auto-évaluation dont l’objectif était de rappeler les grandes questions relatives à la protection des données dans la plupart des cas rencontrés et aux utilisateurs de pouvoir se questionner https://www.cnil.fr/fr/intelligence-artificielle/guide
• Initiative 4 – la Cnil propose une adresse mel dédiée ia[@]cnil.fr pour recevoir des contributions. Rappelant que le service destiné à obtenir des réponses se concentre surtout sur le service à destination des DPO ;
• Initiative 5 – La Cnil a publié en une liste de traitements qui doivent nécessairement faire l’objet d’un PIA (analyse d’impact). Bien qu’elle n’utilise par les termes d’intelligence artificielle, la Cnil précise dans cette liste que sont soumis à PIA : les « traitements visant à faciliter le recrutement, notamment grâce à un algorithme de sélection » ; les « traitements visant à proposer des actions de formations personnalisées grâce à un algorithme » et les algorithmes de prise de décision médicale dans le cadre de traitements « de santé » mis en œuvre par les établissements de santé (hôpital, CHU, cliniques, etc.).

Un pas de plus en octobre 2023

La Cnil a franchi une nouvelle étape dans sa démarche de régulation mais aussi d’accompagnement des acteurs de l’IA.
Elle a en effet publié le 11 octobre des premières fiches pratiques sur la constitution de bases de données d’apprentissage des systèmes d’intelligence artificielle. Ces fiches doivent aider les professionnels à concilier innovation et respect des droits des personnes.

Les fiches pratiques de la CNIL

Elles se déclinent en 7 fiches pratiques et un modèle de « fiche descriptive de jeu de données ».
Les 7 fiches traitent des principaux enjeux du RGPD appliqué à l’IA

La Consultation Publique sur l’IA par la CNIL

Dans le cadre d’une démarche qui n’est pas rare pour la Cnil, ces premières fiches sont soumises à une consultation publique jusqu’au 16 novembre 2023. C’est le moyen le plus efficace pour les acteurs de l’IA de faire entendre leur voix et éventuellement que les questions propres à l’IA soient traitées avec plus de profondeur.

Gageons simplement qu’il y ait plus de contributions que sur les précédentes consultations publiques.

La CNIL s’impose-t-elle comme le futur régulateur de l’IA ?

Au regard de l’ensemble de ces moyens on ne peut s’empêcher de penser que la Cnil se positionne pour devenir l’autorité de contrôle nationale en matière d’IA telle que définie par le futur Règlement IA mais c’est oublier que l’IA ne rime pas nécessairement avec données personnelles et que nombre d’’acteurs ne sont pas impactés par le RGPD.