Avec l'essor exponentiel de l'Intelligence Artificielle, la Cnil a eu fort à faire ces derniers mois. Après avoir dévoilé cet été les grands axes de son plan d'encadrement, elle publie aujourd'hui ses premières réponses pour une IA innovante et respectueuse de la vie privée.
Une approche innovante mais responsable
Le premier objectif était de clarifier la situation et de montrer -après un premier retour auprès des professionnels du secteur- que le règlement général sur la protection des données soutient une approche innovante mais responsable. Autrement, elle estime possible -et normal- de créer des IA mais surtout de les entrainer en collectant des données tout en respectant le RGPD !
Par ce biais, elle pose les premiers éléments de réponse concernant ChatGPT ou Midjourney. Les dispositions relatives à la recherche et à l'innovation dans le RGPD (Règlement européen sur la protection des données) permettent un régime aménagé pour les acteurs innovants de l'IA qui utilisent des données de tiers.
En effet, l’entraînement des algorithmes consomme beaucoup de données, notamment de données personnelles, dont l’usage est encadré pour protéger la vie privée des personnes. L’usage des algorithmes ainsi entraînés peut, dans certains cas, porter atteinte aux droits des personnes, par exemple en facilitant la création de fausses informations, en multipliant les processus de décisions entièrement automatisés ou en permettant de nouvelles formes de suivi et de surveillance des individus.
Mais comment contrôler le traitement des données ?
En effet, grâce à son tout jeune service dédié à l'IA créé en janvier 2023, elle a rencontré plusieurs acteurs français du secteur, la commission fait part de ses premières lignes directrices sur le sujet (avant de possibles contrôles plus poussés ?). La prise en compte de cet impératif (par les acteurs du secteur, ndlr) permettra de faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes.
Elle rappelle d'ailleurs que cette démarche doit aussi reposer sur la responsabilité et la responsabilisation des acteurs. Elle dément les craintes (critiques) selon lesquelles le respect des principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte résultant du RGPD freineraient voire empêcheraient certaines recherches ou applications de l’intelligence artificielle.
Si la réutilisation de données, notamment celles librement accessibles sur internet, est possible pour entraîner des IA, la CNIL émet toutefois des réserves : pouvoir vérifier qu’elles n’ont pas été collectées de manière manifestement illicite et que la finalité de réutilisation est compatible avec la collecte initiale. Il reste à savoir comment -en pratique- les firmes pourront vérifier cela et comment la Commission va pouvoir le contrôler…
