Le gendarme français des données personnelles estime qu’il est possible d’entraîner des systèmes d’intelligence artificielle sans enfreindre le RGPD.
Les intelligences artificielles (IA) comme ChatGPT ou Bard de Google ont besoin d’être nourries avec des données pour parvenir à réaliser des tâches comme rédiger un texte ou répondre aux questions des internautes. Cela ne veut pourtant pas dire qu’il est impossible de respecter la législation européenne et la protection de la vie privée, selon la Commission nationale de l’informatique et des libertés (Cnil).
« Le développement de systèmes d’IA est conciliable avec les enjeux de protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de faire émerger des dispositifs, outils et applications éthiques et fidèles aux valeurs européennes. C’est à cette condition que les citoyens feront confiance à ces technologies », a déclaré l’autorité dans un communiqué publié mercredi.
Un entraînement conciliable avec le RGPD
Publiant ses premières lignes directrices pour un usage de l’IA respectueux des données personnelles, la Cnil précise avoir rencontré les principaux acteurs français du secteur, qui « ont fait remonter un fort besoin de sécurité juridique ». Alors que des inquiétudes sont remontées des échanges de ces derniers mois, le régulateur cherche à rassurer en affirmant que le règlement général sur la protection des données (RGPD) ne constitue ni un frein ni un blocage à certaines recherches ou applications de l’IA. Cela, « à condition de ne pas franchir certaines lignes rouges et de respecter certaines conditions », a mis en garde la Cnil.
Ainsi, bien que le RGPD impose d’indiquer à l’avance le but précis d’un traitement de données personnelles, « en matière d’IA, la Cnil admet qu’un opérateur ne puisse pas définir au stade de l’entraînement de l’algorithme l’ensemble de ses applications futures, à condition que le type de système et les principales fonctionnalités envisageables aient été bien définies », a expliqué l’autorité.
La Commission estime également que ce règlement n’empêche pas d’entraîner des algorithmes avec de très grands ensembles de données. « Les données utilisées devront en revanche, en principe, avoir été sélectionnées pour optimiser l’entraînement de l’algorithme tout en évitant l’utilisation de données personnelles inutiles », a précisé le régulateur, ajoutant que « dans tous les cas, certaines précautions pour assurer la sécurité des données sont indispensables ».
La réutilisation de données publiquement accessibles pour entraîner ces systèmes est aussi possible, selon l’autorité. Il faut cependant vérifier que celles-ci « n’ont pas été collectées de manière manifestement illicites et que la finalité de réutilisation est compatible avec la collecte initiale ». Enfin, malgré le principe de conversation limitée inclus dans le RGPD, la Cnil juge que la durée de conservation des données d’entraînement peut être longue, notamment si elles « requièrent un investissement scientifique et financier important ».
