La CNIL présente son plan d’action pour des IA respectueuses de la vie privée : un équilibre entre régulation et innovation

Partant du constat que les systèmes d’Intelligence Artificielle (“IA”) se développent très vite ces dernières années avec des enjeux forts en matière de protection des données et des libertés individuelles, notamment s’agissant des IA dites “génératives”, la CNIL a souhaité publier un plan d’action[1].

A travers ce plan d’action, la CNIL souhaite établir des règles claires et protectrices des données personnelles afin de contribuer au développement de systèmes d’IA respectueux de la vie privée.

Le plan d’action se présente ainsi sous 4 axes :

  1. Appréhender le fonctionnement des systèmes d’IA et leurs impacts

Depuis plusieurs années la CNIL tente d’analyser et anticiper les enjeux et problématiques en matière de protection de la vie privée qui concerne les systèmes d’IA. A cette fin, un service dédié à l’IA au sein de la CNIL a été créé.

Ce service a priorisé plusieurs axes de réflexion à appréhender, à savoir :

  • la loyauté et la transparence des traitements de données à travers les systèmes d’IA ;
  • la protection des données publiquement accessibles sur le Web et collectées pour la conception des IA ;
  • la protection des données transmises par les utilisateurs lorsqu’ils utilisent ces outils ;
  • les conséquences sur les droits des personnes sur leurs données ;
  • la protection contre les biais et les discriminations susceptibles de survenir ; 
  • les enjeux de sécurité liés à l’IA.
  1. Permettre et encadrer le développement d’IA respectueuses de la vie privée

Afin de promouvoir le développement d’IA respectueuses de la vie privée, autrement dit des « IA responsables » la CNIL propose :

  • Des fiches sur l’IA[2] comprenant notamment des contenus pédagogiques sur les grands principes de l’IA et un guide pour accompagner les professionnels dans leur mise en conformité ;
  • son positionnement sur l’usage de la vidéosurveillance « augmentée » qui utilise l’IA sur des images de l’espace public[3].

La CNIL entend en outre poursuivre ses travaux et publier de nouvelles documentations sur :

  • les règles applicables au partage et à la réutilisation de données (proposition de guide à venir) ;
  • la constitution de bases de données pour l’apprentissage automatique des systèmes d’IA (publications à partir de l’été 2023), avec notamment des recommandations en ce qui concerne des IA comme ChatGPT.
  • les enjeux éthiques de l’utilisation et du partage des modèles d’apprentissage automatique, de la prévention et de la correction des biais et discriminations, ou encore sur de la certification des systèmes d’IA.
  1. Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe

La CNIL entend accompagner certains acteurs innovants dans le secteur de l’IA en apportant des conseils adaptés, comme par exemple lors de « bacs à sable » sur la santé ou l’éducation[4].

Prochainement un nouvel appel concernera l’usage de l’intelligence artificielle dans le secteur public.

Par ailleurs, la CNIL a lancé :

  • un programme d’accompagnement spécifique des fournisseurs de vidéosurveillance « augmentée » ;
  • un programme « d’accompagnement renforcé » dans le domaine de l’IA pour assister des entreprises innovantes dans leur conformité au RGPD[5].

Enfin, une adresse email dédiée pour contacter la CNIL existe :  ia@cnil.fr.

  1. Auditer et contrôler les systèmes d’IA et protéger les personnes

La CNIL entend mettre en place un contrôle a priori et a posteriori et, en 2023, elle sera notamment particulièrement attentive :

  • Au respect des principes et recommandations qu’elle a publié sur l’usage de la vidéosurveillance « augmentée » ;
  • À l’usage de l’intelligence artificielle pour la lutte contre la fraude (notamment fraude à l’assurance sociale), au regard des enjeux liés à l’usage de tels algorithmes ;
  • À l’instruction des plaintes qu’elle reçoit, en l’occurrence celles reçues à l’encontre de la société OpenAI qui gère le service ChatGPT (procédure de contrôle en cours).
  • Et à ce que les acteurs de l’IA veille à réaliser une analyse d’impact (AIPD), informe les personnes concernées par un traitement de leurs données et que des mesures d’exercice des droits adaptées soient prévues

Nous vous rappelons qu’une proposition de règlement européen (“IA Act”)[6] est également en cours de discussion devant la Commission européenne, les travaux de la CNIL permettent donc de préparer et d’anticiper dès à présent l’entrée en vigueur de ce règlement.


[1] https://www.cnil.fr/fr/intelligence-artificielle-le-plan-daction-de-la-cnil

[2] https://www.cnil.fr/fr/intelligence-artificielle-ia

[3] https://www.cnil.fr/fr/deploiement-de-cameras-augmentees-dans-les-espaces-publics-la-cnil-publie-sa-position

[4] https://www.cnil.fr/fr/bac-a-sable-2021 et https://www.cnil.fr/fr/bac-sable-edtech-la-cnil-accompagne-10-projets-innovants

[5] https://www.cnil.fr/fr/accompagnement-renforce-la-cnil-lance-un-nouveau-dispositif-innovant-daccompagnement

[6] https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52021PC0206&from=EN