RGPD et intelligence artificielle : ce que la CNIL attend de vous

Guide RGPD et intelligence artificielle : les recommandations de la CNIL pour vos projets IA

L’intelligence artificielle fonctionne grâce aux données. Bien souvent, il s’agit de données personnelles : visages captés par caméra, extraits vocaux, textes publiés en ligne, historiques de navigation, ou encore photos partagées sur les réseaux sociaux. Ces informations, issues de personnes réelles, servent à entraîner et à améliorer de nombreux systèmes d’IA.

Cependant, mal utilisées, ces données peuvent exposer les individus à des risques importants : surveillance, discrimination, atteinte à la réputation ou à l’anonymat. C’est ici qu’intervient le Règlement général sur la protection des données (RGPD), dont le rôle est de garantir que ces risques soient pris en compte dès la conception des systèmes.

Ce cadre peut sembler contraignant et coûteux à mettre en œuvre : on peut donc craindre qu’il freine l’innovation ou la recherche en IA.

Pourtant, la CNIL l’a rappelé : le RGPD n’interdit ni l’innovation, ni la création de nouveaux services. Bien au contraire, il pose les bases d’un développement responsable de l’intelligence artificielle en Europe.

Vous êtes porteur d’un projet IA ? Voici les principales recommandations de la CNIL pour allier innovation et protection des droits.

À noter : les recommandations formulées par la CNIL concernent la phase de développement de trois types de systèmes d’IA :

• les systèmes fondés sur le machine learning : par exemple, un algorithme qui apprend à reconnaître des visages à partir de milliers de photos ;
• les systèmes à usage défini ou général : cela inclut un assistant vocal conçu uniquement pour répondre à des commandes ou une IA comme ChatGPT pouvant être utilisée dans différents contextes ;
• les systèmes avec un apprentissage figé ou continu : par exemple, un moteur de recommandation qui reste tel quel une fois entraîné, ou une IA qui s’améliore en permanence grâce aux retours des utilisateurs.

Définissez une finalité claire et précise pour votre projet IA

Dès le lancement de votre projet d’intelligence artificielle, vous devez définir précisément pourquoi cette IA sera utilisée et à quoi elle servira. En d’autres termes, vous devez définir l’objectif poursuivi par l’IA, le contexte dans lequel le système sera utilisé et les personnes ou organisations que ce système vise. C’est cela la “finalité” de votre IA.

Cette finalité constitue le fil conducteur de tout le projet. Elle permet de déterminer les données qui sont réellement nécessaires, d’encadrer les traitements réalisés et de limiter les dérives, au sens du RGPD.

Attention, pour déterminer la finalité il ne suffit pas de retenir l’intention générale de votre IA (comme "améliorer l’expérience utilisateur") : vous devez identifier l’usage concret, compréhensible et légitime de votre IA, au regard du RGPD.

Il est recommandé de procéder ainsi, même si les systèmes d’IA peuvent évoluer ou être réutilisés dans d'autres contextes : en effet, cette évolution future ne dispense pas de poser un cadre dès le départ. La CNIL insiste : un développement flou est un développement à risque, notamment en matière de données personnelles.

Dans les cas d’usages bien définis, cette exigence ne pose généralement pas de difficulté. Par exemple, si votre entreprise développe un outil pour analyser automatiquement des dossiers de candidature afin de détecter leur correspondance avec une offre d’emploi, la finalité est claire : il s’agit de faciliter le tri des CV pour un usage RH spécifique.

En revanche, les choses se compliquent lorsque le système IA est conçu pour des usages multiples, ou évolutifs. Dans ce cas de figure, il faudra malgré tout faire preuve de précision en indiquant notamment :

• le type de système développé (ex. : modèle de langage) ;
• ses fonctionnalités et capacités prévisibles ;
• les risques identifiés dès la conception ;
• les fonctionnalités exclues volontairement ;
• et enfin, les conditions d’utilisation prévues : cas d’usage, formats de distribution (open source, commercialisation, API en SaaS, etc.).

Bon à savoir : si votre système est développé dans le cadre d’un projet de recherche scientifique, la CNIL recommande d’exprimer un objectif de recherche clair, de documenter rigoureusement la démarche et de mettre à jour la finalité au fil de l’avancement. Vous devrez être capable de justifier le caractère scientifique du projet, être transparent sur les hypothèses testées et adapter la documentation en fonction des résultats.

L’identification de la finalité de votre projet IA vous permettra de vous conformer aux principes RGPD en :

• informant les personnes concernées sur les usages concrets de leurs données ;
• traitant uniquement les données strictement nécessaires à la finalité identifiée ;
• justifiant les durées de stockage pour qu’elles soient adaptées à l’objectif poursuivi ;
• encadrant ou interdisant l’utilisation ultérieure des données pour d’autres finalités.

Déterminez vos responsabilités en matière de traitement de données

Dès lors que vous traitez des données personnelles dans le cadre d’un projet d’IA, vous devez identifier votre rôle au regard du RGPD : êtes-vous responsable de traitement, sous-traitant, ou co-responsable ?

Le responsable de traitement est celui qui détermine les finalités et les moyens du traitement. Autrement dit, c’est vous qui décidez pourquoi et comment les données sont utilisées. Le sous-traitant, lui, agit pour le compte d’un autre, sur instruction uniquement, sans initiative propre.

En clair :

• si vous développez une IA pour un client selon ses instructions : vous êtes sous-traitant ;
• si vous concevez une IA pour votre propre compte en choisissant les données et les algorithmes : vous êtes responsable de traitement ;
• si vous développez un outil avec un partenaire avec lequel vous décidez ensemble des objectifs et des moyens : vous êtes coresponsables.

Comme le rappelle la CNIL, le choix du rôle ne repose pas sur une simple déclaration, mais sur une analyse concrète de votre projet. C’est à vous d’évaluer votre degré de maîtrise sur le traitement. En cas de collaboration, un contrat ou un accord écrit doit clairement répartir les responsabilités de chacun.

Bon à savoir : si vous êtes sous-traitant et pour ne pas prendre de risque, vous devez :

• signer un contrat conforme avec le responsable de traitement ;
• respecter strictement ses instructions ;
• garantir la sécurité des données ;
• l’alerter si vous constatez un manquement au RGPD.

Choisissez la bonne base légale pour le traitement des données réalisé dans le cadre de votre projet IA

Pour traiter des données personnelles, vous devez impérativement être dans le cadre d’une des bases légales prévues par le RGPD.

C’est cette base légale qui va permettre de justifier votre traitement et de déterminer les droits des personnes concernées. Il en existe six au total, mais dans le cadre du développement d’un système d’IA, seules certaines bases sont réellement pertinentes.

En apparence, le “consentement” est la base la plus simple. Elle suppose que les personnes concernées ont été clairement informées et ont accepté le traitement de manière libre, spécifique, éclairée et univoque. Mais dans les faits, cette solution est souvent inadaptée, notamment si vous utilisez des données issues du web, de bases ouvertes, ou si vous n’êtes pas en lien direct avec les individus concernés.

Il est donc souvent plus simple d’utiliser “l’intérêt légitime” comme base légale de votre traitement. Cependant, il faudra respecter les critères suivants :

• l’objectif dans lequel vous traitez les données est légal, réel et défini de manière précise ;
• les données personnelles traitées sont réellement nécessaires à la conception de votre système d’IA ;
• le traitement des données ne porte pas atteinte de manière disproportionnée à la vie privée des personnes auxquelles appartiennent ces données.

Bon à savoir : le RGPD prévoit également “l’exécution d’un contrat” et “l'obligation légale” comme base juridique pour justifier un traitement de données. Leur utilisation reste toutefois très limitée dans le cadre des projets IA.

N’oubliez pas que, quelle que soit la base retenue, vous devez l’indiquer dans votre documentation juridique et vos mentions d’information.

Réutilisez les données personnelles avec précaution

Dans le cadre d’un projet d’IA, il peut être tentant de s’appuyer sur une base de données déjà existante. Mais attention, la réutilisation de données personnelles est strictement encadrée par le RGPD.

Avant tout traitement, vous devez vous assurer que cette nouvelle utilisation est légale et compatible avec la collecte initiale. Elle doit, par ailleurs, être correctement documentée. Trois cas peuvent se présenter.

Vous réutilisez des données que vous avez vous-même collectées

Si vous avez collecté ces données dans le cadre d’un autre service ou d’un autre projet, vous ne pouvez pas les réutiliser automatiquement pour entraîner votre système d’IA. Vous devez d’abord vérifier que ce nouvel usage est compatible avec la finalité initiale.

Prenons un exemple.

Vous avez récolté des avis clients pour les afficher sur votre site. Vous souhaitez désormais utiliser ces contenus pour alimenter un modèle de génération de réponses automatiques pour votre chatbot. Avant d’aller plus loin, il est essentiel de s’assurer que ce nouvel usage est bien compatible avec la finalité pour laquelle vous avez récolté les données en premier lieu.

En d’autres termes, les personnes qui ont rédigé ces avis pouvaient-elles raisonnablement s’attendre à ce que leurs messages soient réutilisés à cette fin ? Pour le vérifier, vous devrez réaliser ce que l’on appelle un test de compatibilité, en recherchant plusieurs critères :

• l’existence d’un lien entre les deux finalités (ici, affichage d’avis vs. génération automatique de réponses) ;
• la nature et la sensibilité des données : si les données sont sensibles, il est probable que la finalité pour laquelle ces données ont été récoltées ne soit pas adaptée à la finalité pour laquelle ces données vont être réutilisées ;
• le contexte de la collecte ;
• les conséquences potentielles pour les personnes concernées ;
• les garanties que vous avez mises en place (anonymisation, limitation d’usage, etc.).

Ce test vous permettra de décider si la réutilisation est conforme, ou si des ajustements sont nécessaires avant de poursuivre.

Vous réutilisez des données accessibles publiquement

Il est possible d’utiliser des données en libre accès (open data, forums publics, réseaux sociaux), mais cela ne vous dispense pas de faire preuve de rigueur. Vous devez notamment vérifier que la base de données :

• n’a pas été constituée de manière illicite (vol de données, fuite accidentelle, etc.) ;
• ne contient pas de données sensibles ou illégales ;
• identifie clairement ses sources ;
• a des conditions d’utilisation claires et respectées par ses contributeurs.

Bon réflexe : documentez vos vérifications dans votre registre de traitement ou dans votre analyse d’impact (AIPD) pour les présenter en cas de contrôle.

Vous utilisez des données transmises par un tiers (data broker, client, partenaire, etc.)

En tant qu’utilisateur des données, vous devez vous assurer que la base est licite et que le traitement que vous comptez effectuer est conforme au RGPD. La conclusion d’un contrat avec le fournisseur est fortement recommandée pour sécuriser la relation et encadrer les obligations de chacun.

Du côté du fournisseur, si les données n’ont pas été collectées à l’origine dans le but d’entraîner un système d’IA, il lui revient de vérifier que la finalité actuelle est compatible avec celle de la collecte initiale. Cela implique également de réaliser un test de compatibilité, d’informer les personnes concernées, et de garantir leurs droits.

Appliquez le principe de minimisation des données

Le RGPD impose de ne collecter et de ne traiter que les données strictement nécessaires à la finalité poursuivie.

Ce principe, appelé minimisation, est central dans le développement de systèmes d’IA. Il permet non seulement de réduire les risques juridiques et éthiques, mais aussi d’améliorer la performance du modèle en se concentrant sur les données vraiment utiles.

Concrètement, vous pouvez utiliser de larges bases de données d'entraînement, mais vous devez toujours vous poser une question simple : ai-je vraiment besoin de cette donnée pour atteindre mon objectif ?

Voici quelques bonnes pratiques recommandées par la CNIL pour appliquer la minimisation.

Expérimentez à petite échelle

Avant de lancer un traitement à grande échelle, réalisez des tests ou des preuves de concept avec des données fictives, synthétiques ou anonymisées. Cela permet de valider la pertinence des données à utiliser, sans exposer inutilement des données réelles dès les premières phases.

Nettoyez vos données

Un jeu de données de mauvaise qualité fausse les résultats, alourdit l'entraînement de votre IA et multiplie les risques. Il est essentiel d’éliminer les doublons, les données obsolètes ou incohérentes et d’écarter les champs inutiles. Cette étape de nettoyage garantit que seules les données utiles sont conservées.

Évitez la sur-collecte

Il peut être tentant de tout collecter “au cas où” pour enrichir le modèle plus tard. C’est une erreur. Le RGPD interdit cette logique. La collecte doit toujours être justifiée par l’objectif défini au préalable.

Tenez votre documentation à jour

Notez systématiquement l’origine des données, leur contenu, la manière dont elles ont été traitées, ainsi que les éventuelles transformations (anonymisation, pseudonymisation, etc.). Cette documentation est précieuse pour assurer la traçabilité, mais aussi pour faciliter les audits internes ou les échanges avec les autorités de contrôle.

Fixez une durée de conservation limitée

Le RGPD interdit de conserver des données personnelles sans limite dans le temps. Vous devez donc prévoir, dès la phase de conception, combien de temps les données seront utilisées et à quel moment elles seront supprimées, archivées ou anonymisées. Fixer une durée de conservation vous permet de maîtriser le cycle de vie des données que vous utilisez. Vous limitez aussi les risques de fuites, de réutilisation abusive ou de perte de contrôle sur les informations traitées. En pratique, comment appliquer ce principe ?

Anticipez la suppression dès le départ

La durée de conservation doit être définie en fonction de la finalité du traitement. Si les données ne sont plus nécessaires au développement ou à l'amélioration du système, elles doivent être supprimées ou archivées de manière sécurisée. Cette planification doit figurer dans votre registre de traitement ou votre analyse d’impact.

Séparez les données actives des données archivées

Certaines données peuvent être conservées pour des besoins ponctuels : maintenance, vérification des performances, analyse des biais, loi etc. Elles doivent toutefois être stockées de manière distincte, avec des accès restreints. L’archivage doit être temporaire, sécurisé, et justifié.

Envisagez la conservation de métadonnées

Dans certains cas, il n’est pas nécessaire de conserver l’ensemble des jeux de données. Les métadonnées suffisent pour des audits ou pour suivre l’évolution du modèle dans le temps. Il s’agit, par exemple, des informations concernant la provenance, la composition ou encore les propriétés statistiques des données.

Réalisez une analyse d’impact (AIPD)

Lorsque vous développez un système d’intelligence artificielle utilisant des données personnelles, vous devez évaluer les risques que ce traitement peut faire peser sur les droits et libertés des personnes concernées. C’est tout l’objet de l’analyse d’impact sur la protection des données, ou AIPD.

Cette démarche est exigée par le RGPD dès que le traitement est susceptible d’engendrer un risque élevé pour les personnes. C’est souvent le cas dans les projets d’IA, notamment en raison du volume de données, de leur sensibilité ou des usages automatisés qui peuvent en découler.

Quand devez-vous réaliser une AIPD ?

La CNIL recommande de la réaliser dès la phase de développement, surtout si votre projet coche deux ou plus des critères suivants :

• vous traitez des données sensibles (santé, origine ethnique, opinions politiques, etc.) ;
• vous traitez des données à grande échelle ;
• vous ciblez des personnes vulnérables (mineurs, personnes en situation de handicap, etc.) ;
• vous croisez plusieurs sources de données ;
• vous utilisez une technologie nouvelle ou intrusive.

Mais même en dehors de ces cas, tout projet d’IA présentant un risque réel (discrimination, profilage, décision automatisée) doit faire l’objet d’une AIPD. L’objectif est ici d’évaluer les risques associés aux traitements de données personnelles dans le cadre des systèmes d’IA (confidentialité des données, discrimination automatisée, création d’un contenu fictif, etc.).

Comment la mettre en œuvre ?

Commencez par cartographier votre traitement. Il s’agit d'identifier les données collectées, les finalités poursuivies, les acteurs impliqués, et les flux de données. Cette étape vous permet de comprendre précisément le périmètre du projet.

Évaluez ensuite les risques pour les personnes concernées. Pour cela, posez-vous des questions concrètes : des décisions importantes seront-elles prises automatiquement ? Un biais algorithmique peut-il porter préjudice à un utilisateur ? Les données peuvent-elles être ré-identifiées ou détournées ?

Proposez des mesures correctives en fonction des risques identifiés (chiffrement, anonymisation, limitation d’accès, journalisation, recours humain en cas de décision automatisée, etc.).

Enfin, documentez tout le processus afin de vous protéger juridiquement.

Bon à savoir : si vous développez une IA à usage général, vous pouvez réaliser une AIPD limitée à la phase de développement. Elle devra ensuite être complétée par les utilisateurs finaux, en fonction des usages spécifiques qu’ils feront du système.

Les données personnelles sont devenues un actif stratégique pour les entreprises, mais aussi un sujet de vigilance réglementaire. Leur traitement, notamment dans le cadre de projets d’intelligence artificielle, suppose une attention particulière et un haut niveau d’exigence juridique.

Dans ce guide, nous vous avons présenté les grands principes à respecter pour développer un système d’IA conforme au RGPD. Pour approfondir certains points ou consulter l’intégralité des recommandations de la CNIL, vous pouvez vous référer au guide officiel publié le 8 avril 2024, intitulé “Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD”.

Mais au-delà du cadre théorique, chaque projet IA est unique. C’est pourquoi un accompagnement juridique sur mesure reste indispensable pour sécuriser vos traitements, limiter les risques et gagner la confiance de vos utilisateurs ou partenaires.

Le cabinet TLMR dispose d’une expertise reconnue en droit de la protection des données personnelles. Nous accompagnons de nombreuses entreprises dans leur mise en conformité avec le RGPD depuis son entrée en application en mai 2018. Que vous soyez en phase de développement, de commercialisation ou confronté à un contrôle ou à un litige, notre cabinet vous aide à prendre les bonnes décisions et à anticiper les risques.

Contactez-nous pour bénéficier d’un accompagnement stratégique et opérationnel adapté à votre projet IA et à votre environnement réglementaire.