Entreprendre dans l’IA : comment tirer parti du RGPD ?

Par Haas Avocats

En effet, selon le Mapping 2023 des start-ups françaises de l’IA de France Digitale, on dénombre déjà 590 start-ups dans l’IA dont 76 dans l’IA générative et 3,2 Mds d’euros de levée de fonds.

Face à cette effervescence, le parlement a d’ores et déjà adopté un projet de règlement visant à encadrer l’IA (IA Act).

Pour autant, les entreprises développant des projets dans l’IA doivent se conformer à d’autres législations à la première desquelles vient le règlement n°2016/679 du 27 avril 2016 dit Règlement Général sur la Protection des Données (RGPD). La CNIL a par ailleurs publié le 11 octobre 2023 des fiches pratiques dont l’objet est d’accompagner les acteurs de l’écosystème IA dans leurs démarches de mise en conformité.

Le régime applicable aux traitements de données d’un système IA

Pour déterminer le régime applicable aux traitements de données d’un système IA, selon la phase de développement ou de déploiement, il faut opérer une distinction selon que l’usage opérationnel est d’ores et déjà défini ou non.

Si l’usage opérationnel de l’IA est défini dès la phase de développement

La CNIL considère qu’il en est ainsi lorsque le développement de l’IA est un moyen identifié par l’entrepreneur pour atteindre la finalité qu’il a assigné à son système d’IA.

Ainsi, si le système d’IA est développé, et déployé, à des fins de prévention et de détection des infractions pénales, alors le traitement des données lors la phase de développement et de déploiement relèvera de la directive n°2016/680 du 27 avril 2016 dite « Police-Justice ».

En revanche, si le système d’IA a pour objet d’apporter des réponses personnalisées selon les profils des clients, alors le RGPD s’appliquera aux traitements en phase de développement et en phase de déploiement.

Par exemple, une IA conversationnelle telle que Cyberbank Konecta, dont l’objet est d’apporter des réponses personnalisées en matière financière, a été entraînée à travers de réels profils clients pour pouvoir répondre en situation réelle. En conséquence, des données à caractère personnel ont été traitées lors de la phase de développement afin d’apporter des conseils personnalisés à des clients, ce dans l’optique de réitérer l’opération auprès de vrais clients, c’est-à-dire en phase de déploiement.

Si l’usage opérationnel de l’IA n’est pas clairement défini dès la phase de développement

Un tel système est destiné à exécuter des fonctions génériques qui peuvent être utilisées et adaptées à un large éventail d’applications pour lesquelles il n’a pas été conçu intentionnellement et spécifiquement. Le régime juridique du traitement en phase de développement n’est donc pas systématiquement le même que celui déterminé en phase de production.

Sous réserve d’une analyse au cas par cas, il sera considéré dans cette hypothèse que les traitements en phase de développement sont soumis au RGPD. Cependant, cela n’empêche pas l’application de la directive « Police-Justice » aux traitements en phase de déploiement si ceux-ci sont mis en œuvre par une autorité compétente, à des fins de prévention et de détection des infractions pénales par exemple.

Comment déterminer la finalité du traitement de données d’un système IA ?

L’exigence d’une finalité déterminée, explicite et légitime conditionne l’application d’autres principes du RGPD dont le principe de transparence, de minimisation et de limitation des durées de conservation. Il est donc important de pouvoir la déterminer de manière précise.

Toutefois, les entrepreneurs qui développent des systèmes d’IA dits à usage général n’identifient pas clairement l’usage opérationnel qui en sera fait. Cela pose des questions en matière de conformité au RGPD. En effet, comment déterminer une finalité dans ce cadre ?

La finalité du traitement sera considérée comme déterminée, explicite et légitime si elle est suffisamment précise. Il est donc nécessaire que la finalité se réfère cumulativement au « type » de système développé et aux fonctionnalités et capacités techniquement envisageables.

Par exemple, en ce qui concerne le « type » de système, il sera possible de faire référence à un système de « vision par ordinateur » comme la solution Ericsson Safe Work ou encore d’un système d’IA générative d’images, de vidéos ou de sons.

Comment s’assurer que le traitement de données d’un système IA est licite ?

Les considérations à prendre en compte divergent selon que les données sont collectées directement auprès des personnes ou indirectement à partir de sources ouvertes sur Internet ou de données collectées par un autre responsable de traitement. Dans ce dernier cas, il faudra prendre des précautions complémentaires.

Définir une base légale en cas de collecte directe

En fonction des caractéristiques du traitement, la CNIL considère que les bases légales envisageables sont les suivantes :

- Le consentement : pour rappel, celui-ci doit être libre, spécifique, éclairé et univoque. Il appartiendra alors au responsable du traitement d’en démontrer la validité ;

- L’intérêt légitime : pour être valable, cette base légale sous-entend la légitimité de l’intérêt, la nécessité du traitement de données pour y répondre et l’absence d’atteinte disproportionnée aux intérêts et droits des personnes concernées ;

- Le contrat : cette base légale sera valable si un contrat valide est conclu entre le responsable et la personne concernée et que le traitement soit objectivement nécessaire à son exécution.

Les précautions complémentaires en cas de réutilisation des données

Tout d’abord, l’entrepreneur pourrait être amené à réutiliser des données déjà collectées à d’autres fins. Dans ce cas, les personnes concernées n’ont probablement pas été informées de la réutilisation de leurs données personnelles à des fins d’apprentissage d’un système IA.

Dans ce cas, cette réutilisation ne sera possible que si ce traitement est considéré comme compatible avec la finalité initiale. Il est alors nécessaire de procéder à ce « test de compatibilité » qui doit alors prendre en compte :

• L’existence d’un lien entre la finalité initiale et la finalité du traitement ultérieur ;
• Le contexte dans lequel les données ont été collectées notamment par rapport aux attentes raisonnables des personnes concernées ;
• Le type et la nature des données ;
• Les éventuelles conséquences du traitement ultérieur pour la personne concernée ;
• L’existence de garanties appropriées.

Ensuite, l’entrepreneur pourrait réutiliser une base de données publiquement accessible. Dans ce cas, il sera nécessaire de s’assurer que l’entrepreneur n’est pas en train de réutiliser une base de données dont la constitution était manifestement illicite.

Pour ce faire, la CNIL recommande alors aux « ré-utilisateurs » de s’assurer :

• Que la description de la base de données mentionne leur source ;
• Que la constitution de la base de données ne résulte pas manifestement d’un crime ou d’un délit ou a fait l’objet d’une condamnation ou d’une sanction publique ;
• Qu’il n’y ait pas de doutes flagrants sur le fait que la base de données est licite (via la documentation des conditions de collecte de données par exemple) ;
• Que la base de données ne contienne pas de données sensibles ou de données d’infractions.

Il ne fait pas de doute que ces premières recommandations seront ultérieurement corroborées par une législation assurant l’encadrement des traitements de données opérés par l’intelligence artificielle. Afin d’anticiper ces changements, il est nécessaire de garder un œil sur les travaux de la CNIL en matière d’encadrement des systèmes d’IA.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.