Pour la CNIL, le développement d’IA peut « souvent » s’appuyer sur l’intérêt légitime
Cyberéthique et libertés numériques

Pour la CNIL, le développement d’IA peut « souvent » s’appuyer sur l’intérêt légitime

Artia13 18 Views

Circulez, y a pas grand chose à contrôler

Pour la CNIL, le développement d’IA peut « souvent » s’appuyer sur l’intérêt légitime

La CNIL a publié ce jeudi 19 juin de nouvelles recommandations sur le développement des systèmes d’intelligence artificielle. Notamment, l’autorité précise dans quelles conditions elle considère que l’intérêt légitime est une base légale possible.

La base légale de l’« intérêt légitime », c’est un peu le graal pour une entreprise qui veut utiliser des données d’utilisateurs européens sans avoir à leur demander l’autorisation avant. Par exemple, Meta s’appuie sur celle-ci pour justifier l’utilisation des données des utilisateurs de Facebook pour entrainer ses IA.

Cet intérêt légitime est encadré depuis 2016 par l’article 6 du RGPD, comme cinq autres bases légales permettant de traiter des données, dont le consentement. Mais la mise en place massive de systèmes d’IA générative depuis le succès de ChatGPT a attisé les volontés d’aller chercher par tous les moyens le plus de données possible. En décembre dernier, le Contrôleur européen de la protection des données (CEPD, organisme qui rassemble toutes les autorités de protection des données européennes) a publié un avis précisant sa vision de l’encadrement de cette base légale.

La CNIL plutôt d’accord sur l’utilisation de l’intérêt légitime

Cependant, les pays de l’Union européenne et leurs autorités de protection des données ne sont pas complètement alignés. Ainsi, la CNIL a publié ce jeudi 19 juin, après consultation de divers acteurs, deux nouvelles recommandations qui précisent les conditions pour recourir à l’intérêt légitime, notamment en cas de moissonnage.

Dans une première fiche, la CNIL affirme sans ambages que cette base légale est « souvent adaptée pour fonder le développement, par des organismes privés, de systèmes d’IA, notamment quand la base de données utilisée ne repose pas sur le consentement des personnes (souvent complexe à collecter à grande échelle ou en cas de collecte indirecte) ».

Elle y met cependant quelques conditions, mais celles-ci sont larges et demandent l’interprétation de l’entreprise qui met en place le traitement des données.

L’intérêt légitime doit être… légitime

La première de ces conditions est une tautologie, puisque l’autorité demande à ce que : « l’intérêt poursuivi [soit] « légitime » ». Ici, elle veut rappeler que « l’intérêt poursuivi, bien qu’étroitement lié à la finalité du traitement, ne doit pas être confondu avec elle ». Pour l’autorité, « le caractère légitime de l’intérêt peut s’entendre largement », mais elle indique qu’il peut être présumé s’il est « à la fois :

  • manifestement licite au regard du droit ;
  • déterminé de façon suffisamment claire et précise ;
  • réel et présent (c’est-à-dire non-hypothétique ou avéré) pour l’organisme concerné. »

Elle y liste des cas dans lesquels les intérêts « pourraient être considérés a priori comme légitimes » :

  • mener des travaux de recherche scientifique (notamment pour les organismes qui ne peuvent pas se fonder sur la mission d’intérêt public) ;
  • faciliter l’accès du public à certaines informations ;
  • développer de nouveaux systèmes et fonctionnalités pour les utilisateurs d’un service ;
  • proposer un service d’agent conversationnel pour assister les utilisateurs ;
  • améliorer un produit ou un service pour augmenter sa performance ;
  • développer un système d’IA permettant de détecter des contenus ou comportements frauduleux.

Mais elle ajoute qu’un « intérêt commercial constitue un intérêt légitime pour autant qu’il ne soit pas contraire à la loi et que le traitement soit nécessaire et proportionné ».

Elle s’oppose par contre à l’utilisation de cette base légale « quand le système d’IA envisagé n’a aucun lien avec la mission et l’activité de l’organisme ou si celui-ci ne peut pas être déployé légalement ».

Beaucoup d’exemples, mais une position peu précise

La deuxième des conditions posées par la CNIL pour utiliser cette base légale est que le traitement doit être nécessaire. En bref, si on peut faire autrement pour arriver au même résultat, le traitement ne peut pas s’appuyer sur l’intérêt légitime.

Enfin, la troisième condition est le fait de « s’assurer que l’objectif poursuivi ne menace pas les droits et libertés des individus ». L’autorité demande aux entreprises d’ « opérer une mise en balance entre les droits et intérêts en cause ». Elles doivent identifier aussi les potentielles « incidences négatives sur les personnes ».

La CNIL donne dans ce texte beaucoup d’exemples pour illustrer sa position comme celui-ci :

Exemple : un article de presse généré par un système d’IA est susceptible de présenter des informations diffamatoires sur une personne réelle, bien que la base de données ne contienne pas d’informations sur cette personne, notamment lorsque le texte a été généré à la demande d’un utilisateur qui précise l’identité de la personne concernée dans le prompt.

Si l’évocation de cas concrets permet de se faire une idée, elle laisse aux entreprises le soin d’interpréter la position de l’autorité.

Un focus sur le scraping

Une seconde fiche de l’autorité se concentre sur « les mesures à prendre en cas de collecte des données par moissonnage (web scraping) ».

Ici, l’autorité rappelle les mesures obligatoires prévues par le RGPD concernant le principe de minimisation des données : « définir, en amont, des critères précis de collecte ; exclure de la collecte certaines catégories de données lorsqu’elles ne sont pas nécessaires […] ; veiller à supprimer les données non pertinentes qui auraient pu être collectées malgré ces critères immédiatement après leur collecte […] ; exclure de la collecte les sites qui s’opposent clairement au moissonnage de leur contenu […] ».

Elle y ajoute que « le responsable du traitement doit limiter l’atteinte aux droits et libertés des personnes, en tenant compte notamment de leurs attentes raisonnables ».

La CNIL considère que, aujourd’hui et « compte tenu des évolutions technologiques des dernières années (big data, nouveaux outils d’IA, etc.) », les utilisateurs « peuvent avoir conscience que les données qu’elles publient en ligne sont susceptibles d’être consultées, collectées et réutilisées par des tiers ».

L’autorité atténue cette position en expliquant que les utilisateurs ne peuvent « s’attendre à ce que de tels traitements aient lieu dans toutes les situations et pour tous les types de données accessibles en ligne les concernant ». Elle demande aux entreprises qui scrappent le web pour récolter des données de « tenir compte » du caractère publiquement accessible des données, de la nature des sites web sources, des restrictions que ces sites imposent, par exemple dans les CGU, du robots.txt ou de l’existence d’un CAPTCHA, du type de publication, ou encore de la nature de la relation entre la personne concernée et le responsable du traitement.

Auteur : Martin Clavey

Aller à la source

Artia13

Bonjour ! Je m'appelle Cédric, auteur et éditeur basé à Arles. J'écris et publie des ouvrages sur la désinformation, la sécurité numérique et les enjeux sociétaux, mais aussi des romans d'aventure qui invitent à l'évasion et à la réflexion. Mon objectif : informer, captiver et éveiller les consciences à travers mes écrits.

Artia13 has 3549 posts and counting. See all posts by Artia13

Vous Aimerez Peut-être Aussi

☕️ Thales, Radiall et Foxconn en discussion pour produire des semi-conducteurs en France

☕️ Thales, Radiall et Foxconn en discussion pour produire des semi-conducteurs en France

Artia13
Surveillance algorithmique : punir l’intention avant l’action – Le Numérique pour Tous

Surveillance algorithmique : punir l’intention avant l’action – Le Numérique pour Tous

Sud Radio
Comprendre le RGPD en cinq questions

Comprendre le RGPD en cinq questions

Le Monde