Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD

08 avril 2024

La CNIL a publié ses premières recommandations sur l’application du RGPD au développement des systèmes d’intelligence artificielle pour aider les professionnels à concilier innovation et respect des droits des personnes. Voici ce qu’il faut en retenir.

Les concepteurs et développeurs de systèmes d’intelligence artificielle font souvent remonter à la CNIL que l’application du RGPD leur pose des difficultés, notamment pour l’entraînement des modèles.

L’idée reçue selon laquelle le RGPD empêcherait l’innovation en intelligence artificielle en Europe est fausse. En revanche, il faut avoir conscience que les bases d’entraînement comprennent parfois des « données personnelles », des informations sur des personnes réelles. L’utilisation de ces données fait courir des risques aux personnes, qu’il faut prendre en compte, afin de développer des systèmes d’IA dans des conditions qui respectent les droits et libertés des personnes, et notamment leur droit à la vie privée.

Périmètre des recommandations

Quels sont les systèmes d’IA concernés ?

Ces recommandations concernent le développement de systèmes d’IA impliquant un traitement de données personnelles (pour plus d’informations sur le cadre juridique, voir la fiche n°1). En effet, l’entraînement des systèmes d’IA nécessitent régulièrement l’utilisation d’importants volumes d’informations sur des personnes physiques, qu’on nomme « données personnelles ».

Sont concernés :

  • Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
  • Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général qui pourront être utilisés pour nourrir différentes applications (« general purpose AI »).
  • Les systèmes dont l’apprentissage est réalisé « une fois pour toutes » ou de façon continue, par exemple en utilisant des données d’utilisation pour son amélioration.

Quelles sont les étapes concernées ?

Ces recommandations concernent la phase de développement de systèmes d’IA, et non celle de déploiement.

La phase de développement comprend toutes les étapes préalables au déploiement du système d’IA à savoir : la conception du système, la constitution de la base de données et l’apprentissage

Phase de développement préalable au déploiement du système d'IA : conception du système, constitution de la base de données, apprentissage

Comment ces recommandations s’articulent-elle avec le règlement européen sur l’IA ?

Les recommandations formulées prennent en considération le nouveau règlement européen sur l’intelligence artificielle. En effet, lorsque des données personnelles sont utilisées pour le développement d’un système d’IA, le RGPD et le règlement sur l’IA s’appliquent tous les deux. Les recommandations de la CNIL ont donc été élaborées pour compléter ces dernières de manière cohérente sur le volet relatif à la protection des données.

► Pour plus d’informations, voir la fiche n° 0

1ère étape : Définir un objectif (finalité) pour le système d’IA


2e étape : Déterminer vos responsabilités


3e étape : Définir la « base légale » qui vous autorise à traiter des données personnelles


4e étape : Vérifier si je peux réutiliser certaines données personnelles


5e étape : minimiser les données personnelles que j’utilise


6e étape : Définir une durée de conservation


7e étape : Réaliser une analyse d’impact sur la protection des données (AIPD)


À suivre… La CNIL continue ses travaux pour aider les concepteurs de systèmes d’IA

Elle publiera prochainement de nouvelles fiches permettant d’expliquer comment concevoir et entraîner des modèles dans le respect du RGPD : récupération de données sur internet ; comment mobiliser l’intérêt légitime comme base légale, exercice des droits d’accès, de rectification et d’effacement ; recours ou non à des licences ouvertes…

Ces fiches seront soumises à consultation publique.