La CNIL juge le RGDP conciliable avec le respect de la vie privée par l'IA
L'entraînement de modèles d'intelligence artificielle (IA), très gourmands en données de toutes sortes, "est conciliable" avec le respect de la législation européenne et la protection de la vie privée, a indiqué mercredi la CNIL.
Les "dispositions relatives à la recherche et à l'innovation dans le RGPD (règlement européen sur la protection des données, ndlr) permettent un régime aménagé pour les acteurs innovants de l'IA qui utilisent des données de tiers", estime l'institution garante de la vie privée des Français. Selon la Cnil, récemment dotée d'un service dédié à l'IA, qui a rencontré plusieurs acteurs français du secteur (dont trois entreprises qu'elle accompagne directement) et publie ses premières lignes directrices sur le sujet, "la prise en compte de cet impératif (par les acteurs du secteur, ndlr) permettra de faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes". Emboitant le pas de l'Italie, qui a temporairement bloqué ChatGPT quelques mois après son lancement en novembre, la Cnil a ouvert en avril une "procédure de contrôle" pour instruire cinq plaintes contre le robot d'intelligence artificielle d'OpenAI. L'Espagne a fait de même. Ces procédures, qui risquent selon certains experts de faire prendre un train de retard aux acteurs européens dans la course à l'IA, sont désormais coordonnées par un groupe de travail européen.
Alors que le RGPD impose d'indiquer clairement l'objectif d'un traitement de données, "en matière d'IA, la Cnil admet qu'un opérateur ne puisse pas définir au stade de l'entraînement de l'algorithme l'ensemble de ses applications futures, à condition que le type de système et les principales fonctionnalités envisageables aient été bien définies", affirme la Commission. Le règlement n'interdit pas non plus de nourrir un algorithme avec de gigantesques corpus de données. "Les données utilisées devront en revanche, en principe, avoir été sélectionnées pour optimiser l'entraînement de l'algorithme tout en évitant l'utilisation de données personnelles inutiles", précise la Cnil. La réutilisation de données publiquement accessibles est également possible pour entraîner des IA, "sous réserve de vérifier que les données n'ont pas été collectées de manière manifestement illicite et que la finalité de réutilisation est compatible avec la collecte initiale", souligne la Commission. Dernier point qui devrait rassurer les start-ups et entreprises françaises engagées dans le secteur, "la durée de conservation des données d'entraînement peut être longue", notamment si cela est justifié par "un investissement scientifique et financier important".
