Modèles d’IA et RGPD : le CEPD publie son avis pour une IA responsable

19 décembre 2024

Le Comité européen de la protection des données (CEPD), qui réunit les CNIL européennes, a adopté un avis sur le traitement de données personnelles pour le développement et le déploiement de modèles d’IA. Il s’agit de la première position européenne et harmonisée en la matière.

Un premier avis européen sur les modèles d’IA

Si l’IA est porteuse de grandes opportunités et d’enjeux majeurs en termes de compétitivité et d’innovation, elle pose également des questions inédites en matière de protection des données. Dans ce contexte, l’autorité irlandaise de protection des données a demandé au CEPD d’adopter une position harmonisée à l’échelle européenne au regard du développement rapide de l’intelligence artificielle (IA) en Europe et dans le monde.

Précédemment à l’adoption de son avis, le CEPD avait organisé un évènement le 5 novembre 2024 afin que les parties prenantes puissent faire valoir leur point de vue. Le CEPD a également coopéré avec le Bureau de l’IA de la Commission européenne. L’objectif était de recueillir des contributions en amont de cet avis, qui traite des technologies évoluant rapidement et ayant une incidence importante sur la société et l’innovation en Europe.

Dans cet avis, le CEPD rappelle que le RGPD est un cadre juridique qui encourage une innovation responsable, qui soutient les opportunités technologiques tout en protégeant les droits et libertés fondamentales des personnes.

Le CEPD se prononce ensuite sur trois points :

  • les conditions dans lesquelles les modèles d’IA peuvent être considérés comme anonymes ;
  • si l’intérêt légitime peut être utilisé comme base juridique pour développer ou utiliser des modèles d’IA ;
  • les conséquences du développement illicite d’un modèle d’IA sur son utilisation.

Tous les modèles d’IA ne sont pas anonymes par nature

Le CEPD considère que les modèles d’IA entrainés à partir de données personnelles ne peuvent pas par principe être considérés comme anonymes, et que cette appréciation devrait se faire au cas par cas.

Pour qu’un modèle soit anonyme, il doit être très peu probable :

  • d’identifier directement ou indirectement les personnes dont les données ont été utilisées pour créer le modèle ; et
  • d’obtenir des données personnelles du modèle par le biais de requêtes.

L’avis fournit une liste non exhaustive de mesures permettant de démontrer l’anonymat.

L’intérêt légitime peut être envisagé pour développer ou déployer des modèles d’IA

Le CEPD considère que l’intérêt légitime peut constituer une base légale valable pour l’utilisation de données personnelles pour le développement et le déploiement de modèles d’IA. Le consentement des personnes concernées n’est donc pas toujours obligatoire.

L’avis contient des considérations générales sur les éléments à prendre en compte pour évaluer si le traitement remplit les conditions de validité de l’intérêt légitime, dans le cadre du test en trois étapes, dont les éléments suivants :

  • des exemples d’intérêts qui peuvent être considérés a priori comme légitimes, tels que le développement d’un agent conversationnel pour assister les utilisateurs, ou l’utilisation de l’IA pour améliorer la cybersécurité.
  • un certain nombre de critères pour déterminer si les personnes peuvent raisonnablement s’attendre à certaines utilisations de leurs données. Il s'agit par exemple de prendre en compte :
    • le caractère publiquement accessible ou non des données personnelles ;
    • la nature de la relation entre la personne et le responsable du traitement ;
    • le type de service ;
    • le contexte dans lequel les données ont été collectées ou encore la source à partir de laquelle elles ont été collectées,
    • les utilisations ultérieures potentielles du modèle ; et enfin
    • si les personnes avaient effectivement connaissance du fait que leurs données étaient accessibles en ligne.
  • une liste d’exemples de mesures et garanties permettant d’atténuer les risques pour les personnes. Elles peuvent être de nature technique, juridique ou organisationnelle (par exemple permettre aux personnes concernées d’exercer plus facilement leurs droits ou accroître la transparence).

L’entrainement illicite d’un modèle d’IA sur des données personnelles peut avoir un impact sur son utilisation

Lorsqu’un modèle d’IA a été développé avec des données personnelles traitées illégalement, cela peut avoir des conséquences sur la licéité de son déploiement et de son utilisation, à moins que le modèle n’ait été anonymisé de manière effective.

Compte tenu de la grande diversité des modèles d’IA couverts par cet avis et de leur évolution rapide, l’avis fournit des éléments pour guider une analyse au cas par cas.

La CNIL poursuit ses travaux sur l’IA

Depuis le lancement de son plan d’action sur l’IA en mai 2023, la CNIL a déjà adopté un certain nombre de recommandations pour le développement de modèles et systèmes d’IA. Elle avait notamment publié une nouvelle série de fiches pratiques soumise à consultation publique.

L’avis du CEPD confirme la pertinence de ces questionnements s’agissant de l’anonymat des modèles d’IA et les positions déjà envisagées sur la mobilisation de la base légale de l’intérêt légitime.

La CNIL poursuit son travail pour finaliser ses recommandations en assurant la cohérence de ses travaux avec cette première position européenne harmonisée.

Elle continue à participer activement aux travaux du CEPD en lien avec l’IA, en particulier sur le projet de lignes directrices sur le moissonnage (ou web scraping) de données pour l’entrainement d’IA et le projet de lignes directrices sur l’articulation entre le RGPD et le Règlement européen sur l’IA.