Déterminer le régime juridique applicable
Lorsqu’elle contient des données personnelles, la constitution de bases de données pour l’apprentissage d’un système d’IA puis la phase d’apprentissage doivent respecter la réglementation en la matière. La CNIL vous aide à déterminer le régime applicable aux traitements de données en phase de développement.
Le principe
Les phases de développement et de déploiement d’un système d’IA constituent des traitements de données personnelles distincts dont il convient de déterminer le régime juridique applicable.
Différents régimes peuvent s’appliquer à ces traitements de données : le RGPD a vocation à s’appliquer à l’ensemble des traitements de données personnelles, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements relevant du régime spécifique aux secteurs « police-justice » ou du régime intéressant la défense nationale ou la sûreté de l’État.
Pour rappel : les principes et recommandations formulés dans ces fiches ne concernent que les traitements, effectués en phase de développement, qui relèvent du RGPD. Cela exclut les développements qui relèvent du régime « police-justice » ou celui des traitements intéressant la défense nationale ou la sûreté de l’État.
En pratique
Pour déterminer le régime applicable aux traitements de données en phase de développement, il faut distinguer deux cas.
Cas n°1 : l’usage opérationnel du système d’IA en phase de déploiement est défini dès la phase de développement
Dans le cas où l’usage opérationnel du système d’IA en phase de déploiement est identifié dès le développement et si les traitements mis en œuvre en phase de développement poursuivent exclusivement la même finalité que ceux en phase de déploiement, il est possible de considérer qu’ils relèvent, généralement, du même régime juridique (v. Conseil d’État, 22 juillet 2022, n° 451653).
Ce sera notamment le cas lorsque le choix du développement d’un système d’IA spécifique fait partie des moyens identifiés pour atteindre la finalité fixée pour le système à déployer.
Cas n°2 : l'usage opérationnel du système d'IA en phase de déploiement n'est pas clairement défini dès la phase de développement (système d’IA à usage général)
La phase de développement et la phase de déploiement du système d’IA peuvent être décorrélées.
Il n’est pas toujours possible d’identifier clairement la finalité du traitement en phase de déploiement dès la phase de développement. Certains systèmes d’IA (des systèmes d’IA dits « à usage général » ou « general purpose AI ») sont, en effet, développés sans qu’un usage opérationnel précis ne soit encore défini, puis éventuellement exploités dans un second temps.
Le régime juridique de la phase de développement n’est donc pas systématiquement le même que celui déterminé en phase de production.
On considère en général dans cette hypothèse, sous réserve d’une analyse au cas par cas, que les traitements en phase de développement sont soumis au RGPD.
Cela n’exclut toutefois pas, selon l’usage opérationnel du système d’IA, que les traitements de données en phase de déploiement soient soumis au régime « police-justice », s’ils sont mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.
Fiche précédente : quel est le périmètre des fiches pratiques sur l'IA ? | Sommaire | Fiche suivante : définir une finalité |