Aller au contenu

Développement des systèmes d’IA : Comment respecter le RGPD selon la CNIL ?

L’essor de l’intelligence artificielle (IA) bouleverse nos pratiques, mais il impose une vigilance accrue en matière de protection des données personnelles. La CNIL propose des recommandations et une liste de vérification pour garantir la conformité des systèmes d’IA au RGPD. Voici les points essentiels à intégrer dans vos projets.

Pourquoi le RGPD s’applique aux systèmes d’IA ?

Le RGPD s’applique dès lors que :

  • Les bases d’entraînement contiennent des données personnelles (y compris issues du web scraping).
  • Les modèles peuvent mémoriser ou régurgiter des informations identifiables.
  • Les invites ou sorties révèlent des données sur des personnes.

Les 11 étapes clés pour un développement conforme au RGPD

1. Déterminer le régime juridique et votre responsabilité

  • Identifier si le RGPD s’applique au modèle ou au système.
  • Évaluer le caractère anonyme du modèle via des tests de réidentification.
  • Définir les rôles : responsable de traitement, sous-traitant, co-responsable.
  • Conclure des contrats pour encadrer la responsabilité et les instructions.

2. Définir les finalités et choisir la base légale

  • Clarifier les finalités dès la conception.
  • Identifier la base légale : consentement, contrat, intérêt légitime.
  • Documenter le recueil du consentement et les preuves.

3. Évaluer la validité de l’intérêt légitime

  • Définir l’intérêt poursuivi et vérifier la nécessité du traitement.
  • Explorer des alternatives moins intrusives (anonymisation, données synthétiques).
  • Documenter les garanties (pseudonymisation, droit d’opposition).

4. Réutilisation des données : tests de compatibilité

  • Vérifier la compatibilité avec la finalité initiale.
  • Contrôler la licéité des bases tierces (pas de données issues de délits ou fuites).
  • Documenter les sources et les conditions de collecte.

5. Minimisation des données

  • Collecter uniquement les données pertinentes.
  • Justifier le volume, la granularité et la profondeur historique.
  • Prévoir des filtres pour exclure les données sensibles et sites opposés au scraping.

6. Durée de conservation

  • Définir une politique claire dès la conception.
  • Limiter l’accès aux personnes habilitées.
  • Mettre en place des mécanismes de suppression automatique après usage.

7. Transparence

  • Informer les personnes conformément aux articles 13 et 14 du RGPD.
  • Publier les catégories de sources en cas de scraping massif.
  • Informer sur les données mémorisées par le modèle.

8. Respect des droits des personnes

  • Prévoir des procédures pour rectification, effacement, opposition.
  • Informer sur le risque de régurgitation dans l’IA générative.
  • Mettre en place un processus de réentraînement ou des filtres robustes.

9. Annotation des données

  • Vérifier la pertinence et l’objectivité des annotations.
  • Former les annotateurs aux principes RGPD.
  • Renforcer la sécurité des données annotées (chiffrement, restrictions d’accès).

10. Sécurité des données

  • Appliquer les mesures du guide CNIL (contrôle des accès, traçabilité).
  • Utiliser des formats sécurisés (safetensors), filtres et watermarking.
  • Vérifier les librairies et modèles pré-entraînés.

11. Analyse d’impact (AIPD)

  • Obligatoire en cas de risque élevé (données sensibles, IA générative, large échelle).
  • Inclure les risques spécifiques IA : biais, discrimination, attaques adverses.

Checklist CNIL à intégrer dans vos projets

✔ Définir les finalités et bases légales
✔ Limiter la collecte et la conservation
✔ Garantir la transparence et les droits des personnes
✔ Sécuriser les données et le système
✔ Réaliser une AIPD pour anticiper les risques

Liens utiles CNIL

Une question ? Parlons-en, tout simplement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

* Cette case à cocher est obligatoire

*

J'accepte

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.