IA : Deuxième Recommandation de la CNIL

La Commission Nationale de l’Informatique et des Libertés (CNIL) a, par le biais de la Délibération n° 2025-010 en date du 6 février 2025, mis en place une seconde recommandation concernant l’application du Règlement Général sur la Protection des Données (RGPD) dans le cadre du développement des systèmes d’intelligence artificielle. Cette recommandation se compose de deux fiches pratiques, numérotées 8 et 9, qui portent sur deux aspects essentiels : informer les personnes concernées et respecter ainsi que faciliter l’exercice de leurs droits.

Assurer la Transparence des Traitements

Le principe de transparence impose aux organismes traitant des données personnelles d’informer les personnes concernées. Cela leur permet de comprendre les usages qui seront faits de leurs données, notamment les raisons, les méthodes et les modalités de traitement. De plus, cette transparence est cruciale pour que les individus puissent exercer leurs droits, tels que le droit d’opposition, d’accès, de rectification, entre autres.

Ce principe s’applique à tous les traitements de données personnelles, qu’elles soient :

– **Directement recueillies** auprès des personnes concernées (également appelées first party data) : par exemple, dans le cadre d’un contrat de prestation avec des acteurs volontaires pour constituer des données d’entraînement, lors de la fourniture d’un service, ou dans le cadre d’une interaction entre un citoyen et une administration.

– **Indirectement collectées** (connues sous le nom de third party data) : cela inclut les données collectées sur Internet via le téléchargement de fichiers, l’utilisation d’outils de moissonnage de données (web scraping), ou encore l’accès à des interfaces de programmation applicatives (API) fournies par des plateformes en ligne. Cela peut également impliquer l’obtention d’informations auprès de partenaires institutionnels ou commerciaux, comme des courtiers de données, ou la réutilisation d’une base de données déjà constituée.

Il est important de noter que si l’organisme responsable du traitement n’a pas directement collecté les données personnelles, il peut être exempté de l’obligation d’informer individuellement les personnes concernées si cela s’avère impraticable ou nécessiterait des efforts disproportionnés. Cependant, une information générale doit être fournie, par exemple sur le site internet de l’organisme, et doit inclure tous les éléments requis par l’article 14 du RGPD.

Quand Fournir l’Information ?

Lorsque le responsable du traitement collecte directement les données d’apprentissage auprès des personnes concernées, il doit les informer au moment de cette collecte. Si un traitement ultérieur est envisagé pour une finalité différente de celle pour laquelle les données ont été initialement collectées, il est impératif d’en informer les personnes concernées, conformément à l’article 14.4 du RGPD.

Prenons l’exemple d’une plateforme numérique qui souhaite réutiliser les données de ses utilisateurs pour entraîner un modèle d’intelligence artificielle. Dans ce cas, elle doit les informer au préalable.

En ce qui concerne la collecte indirecte, l’organisme est tenu d’informer les personnes concernées dès que possible, et au plus tard lors de la première prise de contact avec elles ou lors de la première communication des données à un autre destinataire. Dans tous les cas, l’information doit être fournie dans un délai ne dépassant pas un mois après la date de récupération des données.

La CNIL recommande également, à titre de bonne pratique, de respecter un délai raisonnable entre le moment où les personnes sont informées que leurs données sont utilisées dans une base de données d’apprentissage et l’entraînement d’un modèle sur cette base. Cela permet aux personnes concernées d’exercer leurs droits pendant ce délai, compte tenu des difficultés techniques à exercer ces droits sur le modèle lui-même et des risques associés, notamment en fonction de la nature des données mémorisées.

Comment Fournir l’Information ?

Il est essentiel de garantir l’accessibilité de l’information. Les personnes concernées ne doivent pas rencontrer de difficultés pour accéder à l’information ni pour la comprendre. Les mentions d’information doivent être clairement distinguées des autres informations sans lien avec la protection des données, telles que les conditions générales d’utilisation ou les mentions légales.

Les responsables de traitement peuvent fournir l’information de plusieurs manières :

– Pour une information individuelle, celle-ci peut figurer sur le formulaire en ligne utilisé pour collecter des données, être mentionnée dans les courriels ou courriers adressés aux personnes concernées, ou encore être délivrée via un message vocal préenregistré.

– Pour une information générale, celle-ci peut être publiée sur un site web accessible au public ou affichée sur un panneau d’affichage.

Garantir l’Intelligibilité de l’Information

Le RGPD stipule que l’information doit être fournie de manière concise, transparente, compréhensible et facilement accessible, en utilisant des termes clairs et simples. La complexité des systèmes d’intelligence artificielle ne doit pas entraver la compréhension de l’information par les personnes concernées.

Il est recommandé que les responsables de traitement définissent clairement les principales conséquences du traitement, c’est-à-dire l’effet réel du traitement spécifique. L’information pourrait ainsi inclure des schémas expliquant comment les données sont utilisées lors de l’apprentissage, le fonctionnement du système d’IA développé, ainsi que la distinction entre la base de données d’apprentissage, le modèle d’IA et les résultats générés par le modèle.

Il est à noter que même si ces informations peuvent être intégrées dans des documents existants (comme des cartes de données ou des modèles d’IA), elles doivent être facilement accessibles et compréhensibles pour les personnes concernées. Par exemple, une description technique complexe dans une publication scientifique ne suffirait pas à répondre aux exigences d’intelligibilité de l’information.

Pour atteindre ces objectifs, la CNIL recommande de mettre en place une information en plusieurs niveaux, en priorisant les informations essentielles (identité du responsable du traitement, finalités et droits des personnes) au premier niveau, tout en offrant une information complète par la suite.

Les Dérogations à une Information Individuelle

En principe, le contenu de l’information doit être communiqué aux personnes concernées de manière individuelle, c’est-à-dire directement, par exemple sur un formulaire de collecte de données ou par courriel. Cependant, le RGPD prévoit plusieurs dérogations à cette obligation d’informer individuellement les personnes.

**Situation n° 1 :** Si la personne concernée a déjà reçu les informations sur les traitements à des fins de développement, une nouvelle information n’est pas nécessaire. Il est essentiel que le responsable du traitement s’assure que toutes les informations sur son propre traitement ont déjà été fournies aux personnes concernées.

**Situation n° 2 :** Si l’information nécessiterait des efforts disproportionnés, le responsable du traitement peut se contenter de rendre les informations publiquement disponibles. Cette situation est souvent rencontrée par les organismes qui ne sont pas ou plus en contact avec les personnes dont ils traitent les données.

Une analyse au cas par cas est nécessaire pour évaluer si l’effort requis pour informer individuellement les personnes est disproportionné. L’organisme doit documenter cette évaluation en tenant compte de l’atteinte à la vie privée des personnes concernées et des efforts nécessaires pour communiquer les informations.

Cas Particulier de la Collecte de Données Accessibles en Ligne

Lorsqu’il s’agit de la collecte licite de données indirectement identifiantes publiées en ligne, une information individuelle sera souvent considérée comme disproportionnée. Cela est particulièrement vrai si la recherche des moyens de contacter les personnes nécessite la collecte de données supplémentaires ou plus identifiantes.

Dans le cas de données publiées sous pseudonyme, si ce dernier n’est pas conservé par le responsable du traitement, une information générale sera généralement suffisante. En revanche, pour les données directement identifiantes, une analyse au cas par cas est nécessaire pour déterminer si une information individuelle est requise.

Il est également important de noter que le volume des données ne peut pas à lui seul justifier le caractère disproportionné d’une information individuelle. Cela est souvent le cas pour la collecte licite de données à partir d’un grand nombre de sites web à des fins de développement d’un modèle de langage, où les personnes concernées sont conscientes que ces données sont publiquement accessibles.

Les Mesures Appropriées en Plus d’une Information Générale

Au-delà de la fourniture d’une information générale, d’autres mesures appropriées peuvent être mises en œuvre par l’organisme. Cela peut inclure la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD), même lorsque cela n’est pas imposé par l’article 35 du RGPD, l’application de techniques de pseudonymisation des données, la réduction du volume de données collectées et de la durée de conservation, ainsi que la mise en œuvre de mesures techniques et organisationnelles pour renforcer la sécurité.

Quelles Informations Fournir ?

Lorsqu’une information individuelle est fournie, le responsable du traitement doit généralement communiquer l’ensemble des informations requises par les articles 13 et 14 du RGPD. Cela inclut l’identité et les coordonnées du responsable, la finalité et la base légale du traitement, les destinataires des données, la durée de conservation, les droits des personnes concernées, ainsi que le droit d’introduire une réclamation auprès de la CNIL.

En cas de collecte indirecte, des informations supplémentaires doivent être fournies, telles que les catégories de données personnelles et, si nécessaire, des indications sur les sources des données.

En Cas de Publication d’une Notice d’Information Générale

Lorsque l’information individuelle n’est pas possible, il est nécessaire de publier une notice d’information sur un site internet, qui doit contenir les informations qui auraient été fournies en cas d’information individuelle. Cette notice doit également indiquer que le responsable du traitement ne sera pas en mesure d’identifier les personnes, y compris pour répondre à leurs demandes d’exercice de droit.

Exemples de Mentions

La CNIL recommande de fournir des exemples clairs et précis concernant les sources des données utilisées. Par exemple, une mention pourrait indiquer que les données d’entraînement proviennent d’un jeu de données publiquement accessible, ou qu’elles ont été collectées par moissonnage sur des plateformes spécifiques.

Cas Particulier des Modèles d’IA à Usage Général

En parallèle des obligations d’information prévues par le RGPD, le règlement sur l’IA impose aux fournisseurs de modèles d’IA à usage général de fournir un résumé détaillé du contenu utilisé pour l’entraînement de ces modèles. Ce résumé doit être accessible au public et doit inclure des informations sur les principaux jeux ou collections de données utilisés.

Rappel Général sur les Droits Applicables

Les personnes concernées disposent de plusieurs droits sur leurs données personnelles, notamment le droit d’accès, de rectification, d’effacement, de limitation du traitement, de portabilité des données, d’opposition, et le droit de retirer leur consentement à tout moment. Ces droits doivent pouvoir être exercés tant sur les bases de données d’apprentissage que sur les modèles d’IA, si ces derniers ne sont pas considérés comme anonymes.

Quelle est la date de la Délibération n° 2025-010 de la CNIL ?

La Délibération n° 2025-010 de la CNIL a été adoptée le 6 février 2025.

Quels sont les deux aspects essentiels abordés par la recommandation de la CNIL ?

Les deux aspects essentiels abordés par la recommandation de la CNIL sont : informer les personnes concernées et respecter ainsi que faciliter l’exercice de leurs droits.

Qu’est-ce que le principe de transparence dans le traitement des données ?

Le principe de transparence impose aux organismes traitant des données personnelles d’informer les personnes concernées sur les usages de leurs données, notamment les raisons, les méthodes et les modalités de traitement.

Quelles sont les deux catégories de données personnelles mentionnées dans le texte ?

Les deux catégories de données personnelles mentionnées sont : les données directement recueillies (first party data) et les données indirectement collectées (third party data).

Quand un organisme doit-il informer les personnes concernées lors de la collecte directe des données ?

Lors de la collecte directe des données, l’organisme doit informer les personnes concernées au moment de cette collecte.

Quel est le délai maximum pour informer les personnes concernées lors d’une collecte indirecte ?

Le délai maximum pour informer les personnes concernées lors d’une collecte indirecte est d’un mois après la date de récupération des données.

Comment les responsables de traitement peuvent-ils fournir l’information ?

Les responsables de traitement peuvent fournir l’information individuellement via des formulaires en ligne, des courriels ou des messages vocaux, et de manière générale sur un site web accessible au public.

Quelles sont les recommandations de la CNIL concernant l’intelligibilité de l’information ?

La CNIL recommande que l’information soit fournie de manière concise, transparente, compréhensible et facilement accessible, en utilisant des termes clairs et simples.

Quelles sont les dérogations à l’obligation d’informer individuellement les personnes concernées ?

Les dérogations incluent : si la personne a déjà reçu les informations ou si l’information nécessiterait des efforts disproportionnés pour être communiquée individuellement.

Quelles mesures supplémentaires peuvent être mises en œuvre par l’organisme en plus d’une information générale ?

Les mesures supplémentaires peuvent inclure la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD), la pseudonymisation des données, et la mise en œuvre de mesures de sécurité.

Quelles informations doivent être fournies lors d’une information individuelle ?

Lors d’une information individuelle, il faut fournir l’identité du responsable, la finalité du traitement, les destinataires des données, la durée de conservation, et les droits des personnes concernées.

Que doit contenir une notice d’information générale publiée sur un site internet ?

La notice d’information générale doit contenir les informations qui auraient été fournies en cas d’information individuelle et indiquer que le responsable ne pourra pas identifier les personnes.

Quels exemples de mentions la CNIL recommande-t-elle concernant les sources des données ?

La CNIL recommande de fournir des exemples clairs, comme indiquer que les données d’entraînement proviennent d’un jeu de données publiquement accessible ou qu’elles ont été collectées par moissonnage.

Quelles obligations d’information s’appliquent aux fournisseurs de modèles d’IA à usage général ?

Les fournisseurs de modèles d’IA à usage général doivent fournir un résumé détaillé du contenu utilisé pour l’entraînement de ces modèles, accessible au public.

Quels droits les personnes concernées ont-elles sur leurs données personnelles ?

Les personnes concernées disposent de droits tels que le droit d’accès, de rectification, d’effacement, de limitation du traitement, de portabilité des données, d’opposition, et le droit de retirer leur consentement.