Introduction au guide d'auto-évaluation pour les systèmes d'IA
Le guide d'auto-évaluation proposé dans les pages suivantes a pour objectif de rappeler les grandes questions relatives à la protection des données dans la plupart des cas rencontrés.
La CNIL invite tous les organismes (fournisseurs ou utilisateurs de système d’IA) prévoyant de mettre en place un traitement utilisant des technologies d'intelligence artificielle (IA), ou ayant déjà initié cette démarche, à se poser les questions proposées dans cette grille d'analyse.
Cette liste a été élaborée de manière aussi exhaustive que possible d'après les bonnes pratiques et les signaux émergents tirés de la recherche scientifique dans le domaine. Afin de s'appliquer à tous les secteurs et à tous les types de systèmes d'IA, ces fiches ont été élaborées de manière à couvrir le plus de cas possible, sans exclure les risques liés à des techniques particulières comme l'apprentissage continu ou l’annotation automatique.
L'objectif de cette grille est de permettre une auto-évaluation de l'ensemble des aspects pertinents en matière de données personnelles et d'éthique d'un projet de traitement. Une analyse de fonctionnement par la CNIL ne pourra être réalisée qu'à l'occasion d'une demande formelle dans le cadre d'une demande de conseil par exemple. Cette grille remplit un objectif informatif principalement sous l’angle de la protection des données personnelles. Elle n’a pas vocation à supplanter les autres textes applicables : législations sectorielles, régimes de responsabilité civile, etc.
Dans ces fiches, les termes de fournisseur et d'utilisateur des systèmes d'IA sont utilisés. La CNIL en retient les définitions suivantes :
FOURNISSEUR
Une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit.
UTILISATEUR
Toute personne physique ou morale, autorité publique, agence ou autre organisme utilisant sous sa propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel.
UTILISATEUR FINAL
L'utilisateur du système d'IA ne doit pas être confondu avec l'utilisateur final, c'est à dire la personne concernée par le système : la notion d'utilisation correspond ainsi à une exploitation dans un cadre professionnel.
Rapporté aux définitions du RGPD, les fournisseurs et utilisateurs peuvent endosser les qualités de responsable de traitement et/ou de sous-traitant si le système d’IA met en œuvre des traitements de données personnelles.
Cette analyse de rôles et responsabilités est à mener au cas par cas comme indiqué dans les fiches pratiques.
Vous souhaitez contribuer ?
Écrivez à ia[@]cnil.fr