Déterminer le régime juridique applicable

11 octobre 2023

Lorsqu’elle contient des données personnelles, la constitution de bases de données pour l’apprentissage d’un système d’IA puis la phase d’apprentissage doivent respecter la réglementation en la matière. La CNIL vous aide à déterminer le régime applicable aux traitements de données en phase de développement.

Le principe

Les phases de développement et de déploiement d’un système d’IA constituent des traitements de données personnelles distincts dont il convient de déterminer le régime juridique applicable.

Différents régimes peuvent s’appliquer à ces traitements de données : le RGPD a vocation à s’appliquer à l’ensemble des traitements de données personnelles, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements relevant du régime spécifique aux secteurs « police-justice » ou du régime intéressant la défense nationale ou la sûreté de l’État.

Pour rappel : les principes et recommandations formulés dans ces fiches ne concernent que les traitements, effectués en phase de développement, qui relèvent du RGPD. Cela exclut les développements qui relèvent du régime « police-justice » ou celui des traitements intéressant la défense nationale ou la sûreté de l’État.

En pratique

Pour déterminer le régime applicable aux traitements de données en phase de développement, il faut distinguer deux cas.

Cas n°1 : l’usage opérationnel du système d’IA en phase de déploiement est défini dès la phase de développement

Dans le cas où l’usage opérationnel du système d’IA en phase de déploiement est identifié dès le développement et si les traitements mis en œuvre en phase de développement poursuivent exclusivement la même finalité que ceux en phase de déploiement, il est possible de considérer qu’ils relèvent, généralement, du même régime juridique (v. Conseil d’État, 22 juillet 2022, n° 451653).

Ce sera notamment le cas lorsque le choix du développement d’un système d’IA spécifique fait partie des moyens identifiés pour atteindre la finalité fixée pour le système à déployer.

Cas n°2 : l'usage opérationnel du système d'IA en phase de déploiement n'est pas clairement défini dès la phase de développement (système d’IA à usage général)

La phase de développement et la phase de déploiement du système d’IA peuvent être décorrélées.

Il n’est pas toujours possible d’identifier clairement la finalité du traitement en phase de déploiement dès la phase de développement. Certains systèmes d’IA (des systèmes d’IA dits « à usage général » ou « general purpose AI ») sont, en effet, développés sans qu’un usage opérationnel précis ne soit encore défini, puis éventuellement exploités dans un second temps.

Le régime juridique de la phase de développement n’est donc pas systématiquement le même que celui déterminé en phase de production.

On considère en général dans cette hypothèse, sous réserve d’une analyse au cas par cas, que les traitements en phase de développement sont soumis au RGPD.

Exemple : un organisme souhaite développer un modèle de reconnaissance vocale capable d’identifier un locuteur et sa langue afin de le commercialiser pour différents usages opérationnels en phase de production (p. ex. : des outils d’identification des personnes par des assistants vocaux ou des applications de traduction vocale sur un terminal mobile, etc.).
Dans ce cas, la constitution de la base de données pour l’apprentissage du modèle relève du RGPD.

Cela n’exclut toutefois pas, selon l’usage opérationnel du système d’IA, que les traitements de données en phase de déploiement soient soumis au régime « police-justice », s’ils sont mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

Fiche précédente : quel est le périmètre des fiches pratiques sur l'IA ? Sommaire Fiche suivante : définir une finalité