Aujourd’hui, la protection des données est devenue une préoccupation majeure pour les utilisateurs. Dans ce contexte, le Règlement Général sur la Protection des Données (RGPD) se présente comme une norme fondamentale.
En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) joue un rôle central en tant qu’autorité de régulation chargée de veiller à l’application du RGPD au sein des entreprises.
Quels sont les principes fondamentaux du RGPD, les nouvelles directives émises par la CNIL et leurs implications pour les organisations ? Comment intégrer ces exigences dans les activités quotidiennes des entreprises ?
Quels sont les principes fondamentaux du RGPD ?
Licéité, loyauté et transparence : | Les organisations doivent traiter les données personnelles des individus en conformité avec les lois et règlements en vigueur, tout en garantissant une communication claire et transparente sur les processus de traitement des données. |
Finalité du traitement : | Les données personnelles ne peuvent être obtenues que pour des finalités déterminées, explicites et légitimes. Tout écart par rapport à ces finalités expose l’organisme à des sanctions en raison de la non-conformité aux réglementations en vigueur. |
Minimisation des données : | Ce principe consiste à limiter la collecte d’informations strictement nécessaires de l’activité de l’entreprise. Il est aussi recommandé de les supprimer, de les anonymiser ou de mettre en place des mécanismes pour limiter la collecte aux données nécessaires uniquement. |
Exactitude des données : | Ce principe vise à garantir l’intégrité des informations utilisées. Les organisations doivent donc mettre en place des mesures de sécurité pour prévenir les fuites de données et leur utilisation par des tiers non autorisés. |
Durée de conservation des données : | Avant de collecter les données personnelles, les entreprises doivent déterminer une période de rétention qui peut être définie par une durée spécifique (par exemple, 2 ans) ou en référence à un cadre précis (comme la fin d’un contrat). Cette période doit être en accord avec la finalité du traitement des données. En cas d’incertitude, il est conseillé de se référer aux recommandations de la CNIL concernant les durées de conservation. |
Sécurité des données : | Chaque responsable de traitement ou sous-traitant doit mettre en place des mesures de sécurité adaptées pour minimiser le risque de violation des données. Ces mesures peuvent être de nature organisationnelle, technique ou physique, comme le prouve l’article 32 du RGPD. |
Accountability et responsabilité : | Les responsables de traitement et les sous-traitants sont tenus de documenter tous leurs efforts en matière de conformité. Le principe d’accountability se focalise sur la création d’un registre des traitements de données personnelles, comme exigé par l’article 30 du RGPD, qui permet de répertorier toutes les informations pertinentes sur les traitements de données. |
Les nouvelles directives de la CNIL sur l’IA : 7 fiches pour une IA éthique
Toujours dans le même contexte, la CNIL vient de publier des fiches pratiques pour aider à intégrer le RGPD dans le développement de l’IA, favorisant ainsi une innovation responsable dans l’espace numérique de l’UE.
Ces directives sont le résultat d’une consultation publique lancée dans le cadre du « plan IA » de la CNIL, lancé en mai 2023, visant à répondre aux préoccupations des acteurs de l’IA qui considèrent que le RGPD peut parfois être un obstacle à l’innovation.
Ces fiches pratiques, affinées grâce à 42 contributions variées, fournissent des recommandations adaptées aux développeurs et utilisateurs de l’IA. Elles offrent également aux acteurs de l’IA des outils essentiels pour développer une technologie respectueuse des droits des personnes.
Cette démarche représente une preuve de l’engagement de la CNIL à promouvoir une innovation technologique équilibrée, prenant en compte à la fois le potentiel de l’IA et l’importance de la vie privée.
Voici un descriptif des 7 fiches publiées par la CNIL :
Fiche introductive – Le périmètre des fiches pratiques sur l’IA :
La CNIL a défini ce périmètre en se basant sur la définition de l’IA du Parlement européen dans la proposition de règlement IA. Cette fiche se concentre sur la phase de développement des systèmes d’IA, en couvrant également les traitements de données soumis au RGPD.
Fiche 1 – Déterminer le régime juridique applicable :
Afin de clarifier l’incompréhension de l’objectif et du périmètre de la fiche, en raison de l’absence de définition de “régime juridique”, l’absence d’indications sur l’applicabilité du RGPD ou la directive “police-justice”, la CNIL a précisé la notion de « régime juridique » et a ajouté des illustrations supplémentaires pour les systèmes d’IA à usage général.
L’objectif de cette fiche est d’aider le responsable du traitement à déterminer quelles règles de protection des données s’appliquent lorsqu’il développe des systèmes d’IA.
Fiche 2 – Définir une finalité :
Certains contributeurs ont exprimé des inquiétudes concernant les critères de définition de la finalité pour les systèmes d’IA à usage général, certains les trouvant soit trop flexibles soit trop rigides. La CNIL a pris en compte ces préoccupations et a clarifié les critères dans la version finale de la fiche 2, en faisant une distinction claire entre les recommandations relevant ou non de bonnes pratiques.
Pour la réutilisation des données de recherche scientifique à d’autres fins, la CNIL a souligné que l’utilisation de données anonymisées ou de modèles ne comportant pas de données personnelles ne pose pas de problème. Cependant, réutiliser des données personnelles initialement collectées à des fins de recherche pour d’autres objectifs est légal uniquement si ces objectifs sont compatibles et respectent les principes du RGPD.
Fiche 3 – Déterminer la qualification juridique des fournisseurs de systèmes d’IA :
Plusieurs contributeurs ont demandé des éclaircissements sur les rôles et les qualifications en sens du RGPD, en lien avec la proposition de règlement sur l’IA. Dans ce contexte, la CNIL a ajouté des explications pour clarifier ce que signifie être un « fournisseur de système d’IA » selon le RGPD, et a donné un exemple pour illustrer le cas où un modèle a été ajusté en utilisant des données personnelles. Certains contributeurs ont trouvé les critères et les exemples de qualification trop restrictifs. La CNIL a répondu que la qualification juridique des fournisseurs de systèmes d’IA doit être évaluée au cas par cas, et que cette fiche vise à fournir des indications pour cette analyse, conformément aux lignes directrices 07/2020 du Comité européen de protection des données.
Fiche 4 – Assurer que le traitement est licite :
Les systèmes d’IA existants peuvent être utilisés pour répondre à des obligations légales sous certaines conditions. En cas de traitement incident de données sensibles, notamment par le web scraping, il est crucial de limiter la collecte et de supprimer rapidement ces données. Pour la réutilisation de bases de données publiques, la CNIL souligne l’importance d’évaluer la légalité de leur utilisation au cas par cas, mettant en avant la responsabilité du responsable du traitement de s’assurer de cette légalité.
Fiche 5 – Réaliser une analyse d’impact si nécessaire :
Les contributeurs ont exprimé le besoin de clarifications concernant l’obligation de réaliser une AIPD (Analyse d’Impact relative à la Protection des Données) pour les systèmes présentant un haut risque selon la proposition du règlement sur l’intelligence artificielle (RIA), ainsi que pour les modèles provenant de tiers. La CNIL a confirmé que l’AIPD serait obligatoire pour les systèmes classés à un haut risque, et a recommandé aux créateurs de modèles de réaliser une AIPD afin de la transmettre aux réutilisateurs. Des précisions ont également été apportées sur les critères nécessitant la réalisation d’une AIPD, tels que les « usages innovants » et les « traitements à grande échelle », sans toutefois fournir de seuils précis.
Fiche 6 – Tenir compte de la protection des données dans la conception du système :
Les contributeurs ont soulevé des obstacles à appliquer le principe de minimisation lors du développement d’un système d’IA, notamment en ce qui concerne la préparation de l’architecture appropriée avant les tests sur les données. La CNIL a clarifié que le principe de minimisation ne définit pas de seuil explicite et n’interdit pas la collecte de grandes quantités de données, mais souligne l’importance d’anticiper la collecte de données et de n’utiliser que ce qui est strictement nécessaire. A propos le rôle d’un comité éthique, la CNIL estime que sa consultation est une bonne pratique, mais ne doit pas se substituer aux autorités compétentes. Une alternative peut être de consulter ou de mobiliser un « référent IA ».
Fiche 7 – Tenir compte de la protection des données dans la collecte et la gestion des données :
Certains contributeurs ont exprimé leurs préoccupations concernant la limitation de la durée de conservation des données d’apprentissage, qui peut compliquer la réalisation des audits du système d’IA et l’évaluation des biais. La CNIL a souligné l’importance de ces analyses pour la sécurité des systèmes en phase de déploiement et a clarifié sa position en modifiant la fiche pour indiquer qu’il est possible de conserver les données d’apprentissage à des fins d’audit après avoir effectué une sélection, à condition de mettre en place des mesures de sécurité adéquates.
Nouvelles directives de la CNIL : Principales implications pour les entreprises
L’ensemble de ces nouvelles directives de la CNIL, visant à intégrer le RGPD dans le développement de l’IA, peut avoir un impact significatif sur les pratiques des entreprises, en leur présentant à la fois des défis et des opportunités.
Commençons par les principaux défis
Coûts et ressources : La mise en place de mesures de protection des données adéquates nécessite des investissements significatifs en termes de ressources internes, de coûts et de temps. Cet enjeu inclut notamment la formation aux bonnes pratiques de sécurité, qui engendre des coûts de formation, ainsi que la mobilisation de ces ressources pendant ces sessions. De plus, il faut prévoir le temps nécessaire pour accomplir les diverses tâches liées à la mise en place et à la maintenance de ces mesures. Ces efforts sont indispensables pour garantir la sécurité des données, mais ils représentent un engagement considérable de la part des entreprises en termes de temps, de coûts et de ressources internes.
Exploitation de données limitée : La non-conformité réglementaire limite considérablement l’exploitation des données par les entreprises, les exposant à des risques tels que des sanctions et des amendes. Cette situation limite leur capacité à tirer pleinement parti des données disponibles, ce qui impacte leur potentiel d’innovation et de compétitivité sur le marché.
Complexité de la conformité : La nature complexe des technologies d’IA rend parfois difficile la compréhension et la mise en œuvre des exigences réglementaires du RGPD, ce qui pose un défi supplémentaire pour les entreprises.
Voici les principales opportunités :
Renforcement de la confiance : Les nouvelles directives de la CNIL offrent des opportunités significatives pour les pratiques de l’entreprise, en renforçant la confiance entre les différents acteurs. En clarifiant les normes et en fournissant des lignes directrices précises, ces directives contribuent à établir un cadre transparent et fiable pour la collecte et le traitement des données.
Innovation responsable : Cette notion repose sur l’utilisation éthique de cette technologie, en développant des systèmes d’IA qui respectent des normes éthiques élevées, garantissant ainsi la transparence et la responsabilité sociale des entreprises.
Avantage concurrentiel : La capacité à gérer efficacement les risques liés à la protection des données peut constituer un avantage concurrentiel majeur pour les entreprises. En démontrant leur engagement envers la confidentialité et la sécurité des données, les entreprises peuvent renforcer leur réputation en termes de crédibilité.
Conformité réglementaire : La conformité réglementaire, permet aux entreprises d’éviter les amendes et sanctions potentielles liées à une non-conformité. Les entreprises réduisent donc les risques juridiques et financiers associés à d’éventuelles violations de données.
Comment intégrer le RGPD au sein des pratiques des entreprises ?
Pour intégrer les exigences de conformité RGPD dans leurs pratiques, les entreprises doivent comprendre que le RGPD s’applique à tous les professionnels, indépendamment de leur taille ou de leur secteur d’activité. Cependant, son application varie en fonction de la nature, du contexte, des finalités et des risques des traitements de données.
Dans ce contexte, la CNIL adopte une approche pragmatique en accompagnant les acteurs dans leur conformité. Reconnaissant les défis de sensibilisation pour les TPE et PME, elle a élaboré un plan d’action spécifique, mettant en place des outils adaptés, des fiches pratiques et une démarche d’accompagnement bien définie afin de faciliter la compréhension et la mise en œuvre des exigences du RGPD pour l’ensemble des entreprises.
Pour assurer une conformité efficace au RGPD, il est également crucial de promouvoir une collaboration fluide entre les équipes juridiques, techniques et opérationnelles. Cette collaboration permet de combiner une compréhension approfondie des exigences réglementaires avec une identification précise des risques associés. Cette collaboration permet aux équipes de mettre en place des solutions adaptées à l’ensemble de l’organisation, garantissant ainsi une conformité continue et robuste aux normes de protection des données.
Pour conclure, nous constatons qu’aujourd’hui la protection des données des utilisateurs est une pratique fondamentale pour les entreprises pour garantir la sécurité des informations personnelles. Ces entreprises doivent donc prendre des mesures bien définies pour se conformer aux directives de la CNIL et au RGPD en général et renforcer la confiance des utilisateurs en évitant les risques de répercussions juridiques.
Dans ce contexte, TOP s’implique et s’engage envers ces avancées, en proposant une solution conforme à l’AI Act et au RGPD pour réduire le taux du turnover au sein des entreprises, en faisant évoluer continuellement ses algorithmes et ses pratiques de traitement des données pour se conformer à ces normes réglementaires essentielles et donc générer des résultats fiables et non biaisés.
Pour en savoir plus sur l’engagement de TOP envers la protection de données qu’elle mobilise, vous pouvez consulter nos contenus relatifs à ce sujet à travers les liens suivants :