Nous avons pu aborder dans un précédent article les plaintes contre ChatGPT concernant les violations de la réglementation sur les données personnelles, notamment en raison des méthodes de scraping généralisé utilisées lors de sa phase de développement1.
Compte tenu des risques que font peser ces systèmes d'IA sur la vie privée des individus, la CNIL a publié le 8 avril 2024 une première salve de fiches pratiques mettant en exergue une méthodologie de conformité de l'IA2. Dans le prolongement de ces travaux, la CNIL a ouvert une nouvelle consultation publique dans l'objectif de les compléter.
La consolidation des fiches pratiques
La CNIL invite chacun des acteurs du marché à mutualiser leurs efforts en regroupant leurs observations au sein d'une contribution unique, qui demeurera confidentielle afin de consolider les fiches mentionnées ci-après :
- Base légale de l'intérêt légitime et développement de système d'IA3;
- Intérêt légitime : focus sur la diffusion des modèles en source ouverte4;
- Intérêt légitime : focus sur le moissonnage5;
- Information des personnes concernées6;
- La gestion de l'exercice des droits des personnes concernées7;
- L'annotation des données8;
- Garantir la sécurité du développement d'un système d'IA9.
Il est à noter que, bien que chacune des contributions transmises demeure confidentielle, elles peuvent, en tant que document administratif, faire l'objet d'une demande d'accès conformément au code des relations entre le public et l'administration.
Il importe alors de signaler dans chacune de ces contributions les éléments qui sont couverts par un secret protégé légalement ou par des droits de propriété littéraire ou artistique.
Au-delà de ces précautions, la CNIL se réserve également le droit de publier, au terme de la consultation publique, une synthèse regroupant le résumé de chacune des contributions qui lui ont été adressées.
Un questionnaire sur l'application du RGPD aux modèles d'IA
Les modèles d'IA font référence à la modélisation d'un ensemble de données d'apprentissage permettant d'entraîner le système d'IA.
Ce questionnaire permet aux acteurs du marché de l'IA d'indiquer les circonstances dans lesquelles ces modèles d'IA peuvent être amenés à collecter des données personnelles et donc, à entrer dans le périmètre de la réglementation applicable en matière de protection des données personnelles.
Il y a lieu de préciser que la CNIL relève le risque que ces modèles d'IA mémorisent les données personnelles utilisées lors de l'apprentissage ce qui l'expose notamment au risque de les révéler :
- Lors de leurs utilisations courantes ;
- Lorsqu'elles sont ciblées par des attaques cyber complexes.
Cette seconde consultation publique doit être saluée dès lors qu'elle permet à la CNIL d'obtenir le retour de toutes les parties prenantes du secteur de l'IA quand bien même elle se réserve le droit de ne pas suivre leurs préconisations dans le cadre de l'élaboration de sa doctrine.
Footnotes
1. La protection des données personnelles à l'épreuve de ChatGPT (haas-avocats.com)
2. La CNIL dévoile son référentiel dédié à l'IA (haas-avocats.com)
3. Base légale de l'intérêt légitime et développement de systèmes d'IA
4. Intérêt légitime : focus sur la diffusion des modèles en source ouverte (open source)
5. Intérêt légitime : focus sur le moissonnage (web scraping)
6. Informer les personnes concernées
7. Respecter et faciliter l'exercice des droits des personnes concernées
9. Garantir la sécurité du développement d'un système d'IA
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.