IA et RGPD : la CNIL publie ses nouvelles recommandations
en matière d’information des personnes et d’exercice de droits
La CNIL a publié le 7 février dernier ses deux nouvelles recommandations pour décliner les principes du RGPD aux spécificités de l’IA.
Les deux nouvelles recommandations de la CNIL s’illustrent par des solutions concrètes
pour informer les personnes dont les données sont utilisées et faciliter l’exercice de leurs droits.
Le présent article fait le point sur les implications de ces recommandations.
IA et RGPD : Recommandation n° 1
Informer les personnes concernées (RGPD, art. 5 ; art. 13 et 14)
Les responsables des traitements de données, utilisées pour entraîner un modèle d’IA et mémorisées par celui-ci, doivent informer les personnes sur l’utilisation ou la réutilisation de leurs données personnelles, conformément au principe de transparence. L’objectif est que les personnes comprennent les usages qui seront faits de leurs données (pourquoi, comment, de quelle manière).
► Quand ? L’information doit être délivrée au moment de la collecte (collecte directe) ou dans le délai d’un mois suivant la collecte lorsqu’elles proviennent d’une autre source que la personne elle-même – sous réserve de la compatibilité de cette réutilisation (collecte indirecte).
► Comment ? Une information accessible et intelligible doit être fournie, malgré la complexité des systèmes d’IA. La Cnil recommande un schéma pour illustrer « la manière dont les données sont utilisées lors de l’apprentissage, le fonctionnement du système d’IA développé, ainsi que la distinction qui doit être faite entre la base de données d’apprentissage, le modèle d’IA et les sorties du modèle. » L’information individuelle pourra figurer dans un formulaire en ligne, un courrier ou encore un courriel.
► Quid en santé ? Si la Cnil n’aborde pas ici le domaine de la recherche en santé, il convient de noter que l’information dans ce domaine devra non seulement respecter les exigences de l’article 13 (en cas de collecte directe) ou 14 (en cas de collecte indirecte) mais encore celles de la méthodologie de référence (MR) choisie par le promoteur (en l’absence de demande d’autorisation). En pratique, cette mention d’information sera le plus souvent délivrée par l’investigateur pour le compte du promoteur de la recherche (établissement ou professionnel de santé par exemple).
IA et RGPD : Recommandation n° 2
Respecter et faciliter l'exercice des droits des personnes concernées (RGPD, art. 15 et s.)
Les responsables des traitements de données utilisées pour entraîner un modèle d’IA et mémorisées par celui-ci doivent également informer les personnes sur leurs droits sur leurs données, qu’elles soient issues des bases de données d’entraînement et/ou des modèles d’IA.
Sur l’exercice des droits des personnes sur les bases de données d’apprentissage
► Le responsable de traitement qui conservera dans sa base des données d’apprentissage identifiantes devra répondre aux demandes d’exercice des droits sur ces données dans les délais habituels.
- ► Sur le contenu de la réponse
- • la Cnil recommande de fournir les données personnelles, y compris les annotations et métadonnées associées dans un format compréhensible, ainsi que les sources utilisées en cas de collecte indirecte,
- • elle recommande d’anticiper des difficultés d’identification en indiquant les informations complémentaires susceptibles d’être demandées aux personnes concernées pour permettre leur identification.
Sur l’exercice des droits des personnes sur les modèles d’IA non anonymes
► Le responsable de traitement qui conservera des données dans ses modèles d’IA, devra répondre aux demandes d’exercice des droits sur ces données dans les délais habituels, sauf s’il démontre qu’il n’est pas en mesure d’identifier les personnes au sein de son modèle d’IA.
► La Cnil retient que, de manière générale, il ne semble, aujourd’hui, pas possible, pour un responsable de traitement, d’identifier, pour une personne en particulier, l’ensemble des données la concernant ayant été mémorisées par le modèle d’IA, sans que cette personne ne fournisse d’informations supplémentaires. La Cnil note qu’il existe toutefois des cas particuliers, comme lorsque les paramètres du modèle contiennent explicitement certaines données d’apprentissage.
► La CNIL recommande au fournisseur du modèle d’indiquer aux personnes concernées les informations complémentaires à fournir pour les identifier.
• Lorsque le responsable du traitement dispose encore des données d’entrainement, la CNIL recommande qu’il réponde à la personne en lui confirmant que ses données ont été traitées pour l’apprentissage et qu’elles sont susceptibles d’avoir été mémorisées. Le cas échéant des informations portant spécifiquement sur le modèle devront lui être communiquées, comme l’information sur les destinataires du modèle (15.1.c), sa durée de conservation ou les critères utilisés pour la déterminer (15.1.d), les droits qui peuvent être exercés sur le modèle (15.1.e et f), ainsi que sa provenance lorsqu’il n’a pas été conçu par le responsable de traitement (15.1.g).
• Lorsque le responsable du traitement ne dispose plus des données d’entrainement, il peut s’appuyer sur leur typologie pour anticiper les catégories de données ayant été susceptibles d’être mémorisées, afin de faciliter les tentatives d’identification de la personne (par exemple par des tests et requêtes sur le modèle d’IA en question).
Les nouvelles recommandations de la Cnil
en matière d’information des personnes et d’exercice de droits
► Quid en santé ? La Cnil aborde ici le domaine de la recherche en santé, visant la réutilisation d’un jeu de données médicales pour créer une IA d’analyse d’imageries médicales.
► Une analyse au cas par cas est nécessaire pour déterminer s’il peut être fait droit à la demande et, si oui, les informations à communiquer.
Notre cabinet vous assiste en rédigeant des mentions d’information adaptées et conformes au RGPD pour les traitements de données liés à l’IA.
Contactez-nous pour bénéficier d’un accompagnement personnalisé !
Pour en apprendre davantage
À l'aube d'une ère où l'intelligence artificielle (IA) est en passe de devenir un compagnon quotidien...
La cobotique juridique #3 : Les malfaçons. Ce troisième épisode détaille les différents facteurs de malfaçons et comment les corriger...
