La CNIL a publié ce 8 avril ses premières recommandations sur l’application du RGPD au développement des systèmes d’IA. Elaborées après une consultation publique de deux mois et une série de rencontres avec des acteurs publics et privés pour recueillir leurs interrogations sur le sujet, elles visent à éclairer les décisions stratégiques de développement ou d’utilisation que ces derniers devront prendre dans les prochains mois.

Pour la CNIL, le RGPD a vocation à s’appliquer à l’ensemble des traitements de données personnelles, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements relevant du régime spécifique aux secteurs “police-justice” ou du régime intéressant la défense nationale ou la sûreté de l’État.

Les principaux acteurs français de l’IA, qu’il s’agisse d’entreprises, de laboratoires ou encore des pouvoirs publics, rencontrés par la CNIL, ont fait remonter un fort besoin de sécurité juridique mais aussi des inquiétudes liées au RGPD : selon certains, ses principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte freineraient voire empêcheraient certaines recherches ou applications de l’intelligence artificielle.

Cependant pour la CNIL :

“L’idée reçue selon laquelle le RGPD empêcherait l’innovation en intelligence artificielle en Europe est fausse. En revanche, il faut avoir conscience que les bases d’entraînement comprennent parfois des « données personnelles », des informatiques sur des personnes réelles. L’utilisation de ces données fait courir des risques aux personnes, qu’il faut prendre en compte, afin de développer des systèmes d’IA dans des conditions qui respectent les droits et libertés des personnes, et notamment leur droit à la vie privée”.

Les 7 premières recommandations de la CNIL

Ces premières recommandations, élaborées en prenant en compte le RGPD mais également l’AI Act, concernent la phase de développement de systèmes d’IA, (conception du système, constitution de la base de données et entraînement) et non celle de déploiement. Les systèmes d’IA concernés sont ceux qui impliquent un traitement de données personnelles, à savoir :

• Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
• Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (« general purpose AI »).
• Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en utilisant des données d’utilisation pour son amélioration.

Définir une finalité pour le système d’IA

Le principe de finalité exige de n’utiliser des données personnelles que pour un objectif précis défini à l’avance, ce qui permet de limiter les données personnelles que l’on va pouvoir utiliser pour l’entraînement d’un système d’IA. Il doit également être légitime, c’est-à-dire compatible avec les missions de l’organisme.

Alors qu’il est parfois objecté que l’exigence de définir une finalité est incompatible avec l’entraînement d’IA, qui peut développer des caractéristiques non anticipées, la CNIL estime qu’il n’en est rien et que l’exigence de définition d’une finalité doit être adaptée au contexte de l’IA, sans disparaître pour autant.

Elle identifie trois types de situations qu’elle éclaire par des exemples:

• Lorsque l’usage opérationnel d’un système d’IA est clairement défini, la définition de finalité va guider les phases de développement, de déploiement et d’utilisation. Par exemple, si un organisme constitue une base de données de photos de rames de trains en service pour entraîner un algorithme mesurant l’affluence et la fréquentation des trains à quai dans les gares, l’objectif est déterminé, explicite et légitime en phase de développement.

Pour les SIA à usage général, où le système pourrait être utilisé dans divers contextes et applications, ou pour des fins de recherche scientifique, la définition de la finalité est plus complexe.

• Dans le cas des systèmes d’IA à usage général, par exemple, la constitution d’une base de données pour l’entraînement d’un modèle de classification d’images sans usage opérationnel spécifique prévu, la CNIL recommande de ne pas définir la finalité de manière trop générale mais plutôt de spécifier le type de système développé et ses fonctionnalités et capacités potentielles. Elle invite également à préciser les capacités prévisibles les plus à risque, les fonctionnalités exclues par conception, ainsi que les conditions d’utilisation du système d’IA, comme les cas d’usage connus ou les modalités de diffusion ;
• Pour les SIA développés à des fins de recherche scientifique, l’objectif peut être moins détaillé au début du projet, mais elle recommande de documenter la démarche scientifique et de fournir des informations complémentaires au fur et à mesure de l’avancement du projet.

Déterminer ses responsabilités

Les développeurs doivent déterminer leur rôle conformément au RGPD et au règlement européen sur l’IA.

Selon le RGPD, les développeurs de SIA sont soit responsables de traitement (RT) s’ils  déterminent les objectifs et les moyens de traitement des données personnelles, soit sous-traitants (ST) s’ils traitent ces données pour le compte d’un responsable du traitement. L’AI Act distingue de son côté les fournisseurs de système d’IA des importateurs, distributeurs et utilisateurs (ou déployeurs) de ces systèmes.

Le degré de responsabilité (RT ou ST) des fournisseurs de SIA dépend d’une analyse au cas par cas en fonction de leur implication dans le développement du système.

Définir la base légale autorisant le traitement des données personnelles

Les développeurs de SIA utilisant des données personnelles doivent disposer d’une base légale autorisant leur traitement. Le RGPD prévoit six bases légales possibles : le consentement, le respect d’une obligation légale, l’exécution d’un contrat, l’exécution d’une mission d’intérêt public, la sauvegarde des intérêts vitaux et la poursuite d’un intérêt légitime.

Selon la base légale retenue, leurs obligations et les droits des personnes pourront varier, d’où l’importance de la déterminer en amont et de l’indiquer dans la politique de confidentialité des données.

En pratique, le choix de la base légale dépend de la manière dont les données sont collectées et de leur nature. Par exemple, le consentement est souvent approprié lorsque les personnes fournissent directement leurs données et peuvent accepter ou refuser sans préjudice. Cependant, dans d’autres cas, par exemple lors de la collecte de données en ligne ou l’utilisation de bases de données open source, d’autres bases légales sont plus adaptées.

Pour les acteurs privés, l’intérêt légitime peut être utilisé sous réserve de certaines conditions, notamment que l’intérêt soit légal et défini, que les données soient réellement nécessaires et que l’atteinte à la vie privée soit proportionnée. La CNIL publiera d’ailleurs prochainement une analyse spécifique à la base légale de l’intérêt légitime.

Pour les acteurs publics, le traitement des données doit s’inscrire dans leur mission d’intérêt public définie par la loi et contribuer de manière pertinente et appropriée à cette mission.

Les bases légales du contrat et de l’obligation légale peuvent être mobilisées de manière exceptionnelle, lorsque le traitement des données est nécessaire pour l’exécution d’un contrat ou pour respecter une obligation légale précise.

Vérifier s’il est possible de réutiliser certaines données personnelles

La réutilisation de bases de données par un fournisseur de SIA est possible dans de nombreux cas, sous réserve de certaines conditions, notamment qu’elles n’aient pas été collectées de manière manifestement illicite (données open source) et, pour les données acquises auprès d’un tiers, que la finalité de réutilisation soit compatible avec la collecte initiale. Il revient aux responsables de traitement d’effectuer certaines vérifications complémentaires afin de garantir que cette utilisation est légale.

Minimiser les données personnelles utilisées

Le principe de minimisation n’interdit pas l’utilisation de vastes bases de données, mais les données doivent être sélectionnées de manière à optimiser l’entraînement de l’algorithme tout en évitant l’utilisation de données personnelles inutiles. Il est important de respecter ce principe et l’appliquer de manière rigoureuse lorsque les données traitées sont sensibles (données concernant la santé, données relatives à la vie sexuelle aux opinions religieuses ou politiques…).

La CNIL recommande de mettre en œuvre des moyens techniques pour ne collecter que les données réellement utiles au développement du SIA, de mener une étude pilote avec des données fictives, synthétiques, anonymisées pour valider les choix de conception et de consulter un comité éthique pour garantir que les enjeux en matière d’éthique et de protection des droits et libertés des personnes sont bien pris en compte.

Pour la collecte des données, elle suggère entre autres de mettre en œuvre dès la conception des mesures de protection des données : anonymisation, généralisation, randomisation…Elle conseille également d’analyser régulièrement les données pour assurer leur suivi et leur mise à jour et de garantir la traçabilité des jeux de données utilisés en tenant une documentation à jour.

Définir une durée de conservation

Le RGPD impose de définir une durée au bout de laquelle les données doivent être supprimées ou, dans certains cas, archivées.

Pour la phase de développement, la conservation des données doit être planifiée à l’avance et suivie dans le temps. Les personnes concernées doivent être informées de la durée de conservation des données, par exemple dans les mentions d’information.

Une fois que les données ne sont plus nécessaires pour les tâches quotidiennes liées au développement du système d’IA, elles doivent en principe être supprimées. Cependant, elles peuvent être conservées pour la maintenance ou l’amélioration du produit, à condition que des garanties appropriées soient mises en place, telles que des restrictions d’accès aux personnes habilitées.

Il est à noter que la conservation prolongée des données d’apprentissage peut être justifiée dans certains cas, comme pour effectuer des audits ou mesurer certains biais. Cependant, cette conservation doit être limitée aux données strictement nécessaires et accompagnée de mesures de sécurité renforcées.

Réaliser une analyse d’impact sur la protection des données

L’analyse d’impact sur la protection des données (AIPD) est une démarche essentielle pour évaluer et réduire les risques liés au traitement des données personnelles dans le développement des SIA.

La CNIL recommande de réaliser une AIPD lorsque des critères spécifiques sont remplis, tels que la collecte de données sensibles ou à grande échelle, la combinaison de différents ensembles de données, ou l’utilisation de nouvelles solutions technologiques.

Le périmètre de l’AIPD dépend de l’objectif du système d’IA. Si l’usage opérationnel est clair, une AIPD générale pour l’ensemble du cycle de vie (développement et déploiement) est recommandée. Pour les systèmes d’IA à usage général, seule une AIPD pour la phase de développement est nécessaire.

En fonction des résultats de l’AIPD, des mesures doivent être prises pour réduire les risques, telles que des mesures de sécurité (chiffrement, environnement sécurisé), de minimisation des données, d’anonymisation ou de pseudonymisation, de protection des données dès le développement, d’exercice des droits pour les personnes, d’audit et de validation, ainsi que des mesures organisationnelles, de gouvernance et de traçabilité.

La CNIL publiera prochainement de nouvelles fiches permettant d’expliquer comment concevoir et entraîner des modèles dans le respect du RGPD : récupération de données sur internet, comment mobiliser l’intérêt légitime comme base légale, exercice des droits d’accès, de rectification et d’effacement, recours ou non à des licences ouvertes…

Ces fiches seront soumises à consultation publique. Retrouver les fiches concernant ses premières recommandations ici

La villa numeris, think tank indépendant, a récemment publié son plaidoyer “Pour une IA à impact positif” réalisé avec Rakuten France. Pour elle, il est urgent de faire de la culture de l’IA une priorité en France et en Europe ainsi que de structurer l’écosystème européen de l’IA, elle propose donc des recommandations allant dans ce sens.

Faire de la culture de l’IA une priorité nationale

Selon le plaidoyer, l’Etat à un rôle majeur à jouer dans la démocratisation de l’IA en France, notamment via le système éducatif, il propose d’introduire des modules sur le numérique dès le collège, voire de transformer la méthode pédagogique en encourageant une pratique collaborative et en développant l’esprit critique. Des cours d’initiation gratuits dès le plus jeune âge pourraient également être envisagés.

La mise en place d’un site web dédié à l’IA, similaire à AI.gov aux Etats-Unis, est également recommandée pour informer le grand public et fournir des ressources pour l’éducation, la recherche et les entreprises. Il permettrait à tous les citoyens de comprendre ce qu’est l’IA, comment elle fonctionne et peut être utilisée de manière bénéfique. Cette démarche d’acculturation pourrait y être facilitée via des vidéos ludiques et immersives.

Fabien Versavau, PDG de Rakuten France et Executive Officer de Rakuten Group, qui a dirigé les travaux, rappelle :

“Les outils d’IA générative sont accessibles à tous, sans nécessité de programmer, et constituent une formidable base de connaissances et de savoirs. Un grand effort d’acculturation est nécessaire pour éviter une nouvelle fracture numérique, et permettre à tous les citoyens d’avoir les cartes en main pour jouer pleinement leur rôle dans notre société, participer à cette nouvelle grande conversation mondiale”. 

Pour La villa numeris, se confronter à l’IA est essentiel pour dédramatiser son utilisation et comprendre ses implications. Le plaidoyer souligne ses impacts positifs dans différents domaines, tels que la santé et la transition environnementale et l’importance de soutenir les initiatives visant à promouvoir une IA responsable et éthique.

Elle estime nécessaire la création de normes plus techniques, notamment sur les algorithmes ou la conformité à l’AI Act, pour accompagner les entreprises sur le sujet règlementaire.

Structuration de l’écosystème de l’IA

Le plaidoyer propose la création, par des entreprises soutenues par l’Etat, d’un grand campus sur l’IA, à l’image du projet allemand de grand campus européen pour l’innovation dans l’intelligence artificielle ( Innovation Park Artificial Intelligence -IPAI), dont l’objectif est de soutenir la souveraineté allemande.

Ses objectifs seraient de soutenir la recherche, notamment sur les outils permettant de contrôler l’IA et d’accélérer le développement d’applications pour les PME, d’être un point de rencontre, de décision, d’expérimentation et d’innovation.

Pour La villa numeris, l’Etat doit débloquer des financements plus massifs pour accompagner les start-ups dans leur croissance et développement.

Créer un géant européen en IA

La souveraineté européenne dépendra de la capacité à faire émerger des champions européens, sans que ceux-ci ne soient obligés de s’allier aux géants américains faute de moyens technologiques selon La villa numéris.

Elle plaide en faveur d’un champion européen de l’IA : “Un groupe conséquent d’entreprises européennes qui collaborent autour d’un projet commun peut y arriver. Ce fer de lance pourrait prendre la forme d’un géant du numérique européen à travers un consortium de différents pays”.

Elle souligne également la nécessité d’un cadre réglementaire qui ne bride pas l’innovation tout en respectant les valeurs et la souveraineté européennes.

David Lacombled, Président de La villa numeris, conclut :

“Nous encourageons l’élaboration de cadres législatifs adaptés à l’évolution rapide de l’IA – ni trop, ni trop peu – qui puissent à la fois stimuler l’innovation et prévenir les risques potentiels. L’Europe se distingue par son souci des êtres. En cela, elle peut servir de modèle. L’IA à impact positif est un vecteur d’avancement sociétal, économique et environnemental. Nous appelons à une action collective des gouvernements, des entreprises et de la société civile pour réaliser cet objectif ambitieux”.

Retrouver le plaidoyer ici

Elisabeth Borne, alors Première Ministre, avait mis en place le premier comité de l’intelligence artificielle générative le 19 septembre 2023. Il avait six mois pour présenter des propositions concrètes afin d’adapter la stratégie nationale. Mission remplie : rebaptisé “Commission de l’intelligence artificielle”, il a remis hier à Emmanuel Macron un rapport contenant 25 recommandations pour faire de la France un acteur majeur de la révolution technologique de l’IA.

Co-présidée par Anne Bouverot, Présidente du conseil d’administration de l’ENS et Philippe Aghion, Professeur au Collège de France et économiste, la Commission compte notamment parmi ses membres Luc Julia, expert en IA générative, Yann Le Cun, VP et Chief AI Scientist chez Meta, Arthur Mensch, PDG et cofondateur de Mistral AI et Cédric O, consultant, ancien Secrétaire d’Etat au Numérique.

Dans ce rapport intitulé “IA: Notre ambition pour la France”, la Commission considère “qu’une approche autarcique de la souveraineté n’est pas opportune, ni au regard de nos valeurs ni au regard de nos intérêts. D’une part, la France promeut un cadre ouvert et démocratique de société. D’autre part, il serait techniquement et financièrement impossible de maîtriser l’ensemble des biens et services composant la chaîne de valeur de l’IA“.

Elle identifie quatre piliers pour renforcer la souveraineté européenne : le financement, la puissance de calcul, l’accès aux données et les talents.

Un plan à 27 milliards d’euros sur cinq ans

Les 25 recommandations du plan proposé par la Commission représentent un engagement annuel d’environ 5 Md€ au cours des cinq prochaines années répartis selon cinq grandes catégories :

• l’appropriation collective ;
• la formation et la recherche ;
• le déploiement de l’IA au service des citoyens ;
• les investissements technologiques et industriels ;
• la diffusion de l’IA dans l’économie ;
• la gouvernance française, européenne et mondiale.

Création d’un fonds d’investissement “France & IA” de 10 Mds€

Alors que les financements actuels de l’écosystème de l’IA sont insuffisants pour faire émerger des acteurs de rang mondial, la Commission recommande de réorienter une partie de l’épargne vers l’innovation : “À richesse comparable, nous investissons environ trois ou quatre fois moins que les Américains et l’écart risque d’augmenter. À moyen terme, un accroissement structurel de l’allocation de l’épargne vers l’innovation est indispensable. Des actions volontaristes doivent être rapidement prises en ce sens, par exemple en matière de fiscalité de l’assurance vie, afin de disposer d’ici quelques années d’une capacité de financement significativement accrue”.

A court terme, elle préconise la création d’ici fin 2024 d’un fonds d’investissement baptisé “France & IA”, pour faire émerger des start-ups spécialisées dans l’IA appliquée et accélérer la transformation du tissu économique de PME et ETI. Il mobiliserait 7 Md€ de capital investissement d’entreprise et 3 Md€ de soutien public

Repenser la gouvernance de la donnée

Pour tirer pleinement parti des bénéfices de l’IA générative, la Commission estime essentiel de :

• Faciliter l’accès aux données personnelles : elle propose de simplifier les procédures d’autorisation préalable d’accès aux données de santé et de réduire les délais de réponse de la Commission nationale de l’informatique et des libertés (CNIL). Dans ce but, elle suggère une réforme du mandat de la CNIL pour inclure un objectif d’innovation, de réviser la composition de son collège et de renforcer ses moyens ;
• Appliquer le principe de transparence des données d’entraînement : La commission souligne l’importance de garantir la transparence des données d’entraînement des grands modèles d’IA pour respecter le droit de la propriété littéraire et artistique. Des standards pour la publication des informations sur les modèles d’IA et la mise en œuvre du droit de retrait sont recommandés pour simplifier ce processus ;
• Concevoir une nouvelle gestion collective des données : Pour la Commission, il est nécessaire d’explorer de nouveaux modèles de gouvernance commune des données, sans pour autant affaiblir la protection des individus.

Faire de la France un pôle majeur de la puissance de calcul

Les datacenters et les supercalculateurs sont les piliers technologiques sur lesquels repose l’IA générative. Sans ces infrastructures massives et performantes, il serait impossible de réaliser les avancées aujourd’hui dans ce domaine.

Pour la Commission, la France et l’Europe doivent impérativement devenir un pôle majeur de la puissance de calcul pour :

• fournir une puissance de calcul publique pour les cas d’usage sensibles ;
• fournir une puissance de calcul accessible et abordable pour stimuler la recherche et le développement des start-ups en IA ;
• être en mesure d’entraîner et d’utiliser sur le sol européen les modèles d’IA les plus avancés.

Elle propose d’accélérer le développement de supercalculateurs exascales français et européens, d’initier des achats groupés pour renforcer l’écosystème de la puissance de calcul et de favoriser l’implantation de centres de calcul en Europe. Elle recommande également la mise en place d’un crédit d’impôt pour soutenir les projets de R&D utilisant la puissance de calcul des centres de calcul établis sur le territoire.

On trouve parmi les autres recommandations prioritaires:

• Assurer le rayonnement de la culture française en permettant l’accès aux contenus culturels dans le respect des droits de propriété intellectuelle ;
• Assumer le principe d’une expérimentation dans la recherche publique en IA pour en renforcer l’attractivité ;
• Structurer une initiative diplomatique cohérente et concrète visant la fondation d’une gouvernance mondiale de l’IA.

Télécharger le rapport ici