Enjeux lA et évolution du rôle du DPO - compte-rendu de la journée RGPD de la CNIL du 12/06/24 à Nancy

Dans un contexte de numérisation de la société, la Commission Nationale de l’Informatique et des Libertés (CNIL) - autorité de contrôle des données personnelles en France - a deux objectifs principaux : apporter de la sécurité juridique et créer de la confiance. En effet, son but est de redonner aux citoyens le contrôle sur leurs données en rendant les systèmes d’information moins opaques et plus transparents. Pour cela, elle a notamment décidé d’organiser des évènements récurrents ayant lieu partout en France, à diverses périodes, pour parler des actualités en droit du numérique : les journées RGPD (journées dédiées au règlement général sur la protection des données - RGPD -, mais pas que !)

Le 12 juin dernier, la CNIL a animé une journée RGPD à Nancy, en collaboration avec l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP). Au programme, plusieurs thématiques ont été abordées, que nous déclinerons sous forme de 6 publications :

• Recommandations sur les enquêtes de mesure de la diversité en milieu professionnel
• Ouverture et réutilisation des données publiées sur internet
• Enjeux lA et évolution du rôle du DPO
• IA et éthique : connaître les biais pour fixer les règles
• Cybermalveillance et remédiation
• Écosystème des programmes malveillants et présentation des travaux au Loria dans le cadre du PEPR cybersécurité

Dans ce troisième article relatif à la journée RGPD de la CNIL à Nancy, concentrons-nous sur les enjeux de l’intelligence artificielle (IA) et l’évolution du rôle de data protection officer (DPO).

1/ Le rôle de la CNIL

L’IA comporte des risques, notamment avec l’essor de ChatGPT, et le rôle du DPO est important afin de guider les entreprises qui utilisent ces nouvelles technologies.

Par conséquent, la CNIL dispose de plusieurs outils pour aider les DPO dans leurs activités, qui s’organisent en quatre thématiques :

• Appréhender : comprendre les enjeux et les risques. La CNIL a plusieurs publications à son actif pour appréhender les risques ;
• Guider : la CNIL illustre son rôle de guide pour les entreprises notamment par la proposition de webinaires et la publication de contenu ;
• Fédérer : la CNIL met à disposition beaucoup de résultats de recherches et de dispositifs d’accompagnement : avis, conseils, accompagnement renforcé, bac à sable sur l’utilisation de l’IA par les services publics ;
• Auditer : en amont des opérations de contrôle dont elle a la charge, la CNIL met à disposition une auto-évaluation via un guide d’autoévaluation sur le développement de l’IA.

Dans la région Grand-Est, il y a eu deux expériences avec les IAs avec des approches différentes :

• Recherche de projets où l’IA peut apporter quelque chose aux agents : ce fut un échec malgré plusieurs tentatives, notamment par le fait que les agents utilisent déjà des IAs. Ainsi, seul un ChatBot a pu être mis en place dans la région.
• Les IAs “aventurières” : du fait que certains agents utilisent déjà les IAs, il a donc fallu travailler sur des IAs qui apportent un réel bonus dans les activités des agents, en recourant à de l’IA Générative .

2/ Le rôle du DPO et les impacts sous le versant du Règlement sur l’intelligence artificielle

Avec l’apparition de l’IA, lorsqu’il s’agit de répondre aux obligations mentionnées dans le RGPD lors d’un traitement de données, le DPO a plusieurs missions :

• Il détermine les personnes responsables, la base légale, la finalité ;
• Il tient un registre de traitement ;
• Il réalise une analyse d’impact relative à la protection des données (AIPD), ce qui peut s’avérer complexe au regard de la mise en œuvre des obligations ou des termes employés.
• Il doit se préparer à faire face aux évolutions des techniques en recensant les besoins des utilisateurs et mettre en œuvre une méthodologie pour la mise en œuvre du traitement et l’adoption du système informatique.

Avec l’arrivée du règlement sur l’intelligence artificielle (RIA), le nouvel enjeu du DPO est de concilier les exigences du RGPD avec celles du RIA, et ses tâches pourront devenir de plus en plus complexes.

Le RIA adopte une approche par les risques et chaque risque est associé à des obligations différentes.

Les risques sont évalués sur 4 niveaux :

• Pratique interdite : utilisation interdite de l’IA ;
• Haut risque : obligations les plus importantes avec un contrôle de conformité en amont, ce qui doit permettre d’assurer la qualité du développement de l’IA ;
• Risques faibles : obligation de transparence ;
• Risques minimes : application volontaire des codes de conduite.

Dans ce nouveau cadre, les missions du DPO sont de divers ordres. Il doit notamment :

• Identifier les systèmes concernés et identifier les risques au regard de l’AI Act ;
• Attribuer les rôles des acteurs lors de la conception d’une AI (fournisseur, sous-traitant ou déployeur) ;
• Communiquer les risques connus en fonction du système d’IA;
• Vérifier les documentations des développeurs lorsqu'ils ont recours à une IA…

Ainsi, à l’avenir, le DPO devra également éviter les redondances qu’il pourra y avoir entre les analyses d’impact relatives à la protection des données (AIPD) et les analyses de risques mentionnées dans le RIA.

3/ Les outils de la CNIL

Il est primordial de rappeler les bases sur l’IA, tant son accès est aujourd’hui facile, pour appréhender les risques qu’elle peut causer, puis de suivre les expérimentations de l’IA afin de disposer de conseils d’utilisation respectueux du RGPD.

A ce titre, la CNIL disposera prochainement de lignes directrices sur l’articulation entre RGPD et IA, ce qui est absolument nécessaire au regard du nombre conséquent de données personnelles qu’elle génère.

Il est donc en outre nécessaire et urgent de sensibiliser les agents sur les risques que peuvent engendrer les IAs face à l’utilisation de données personnelles.

Des publications sont aussi proposées sur le site du Laboratoire d’Innovation Numérique de la CNIL, dont la mission est de porter des réflexions et de partager sur les tendances des usages du numérique et des données. Il conduit également des projets d’expérimentation, de prototypage d’outils, de service ou de concept autours des données.

La CNIL porte une attention particulière aux biais : ils peuvent en effet engendrer des conséquences dramatiques sur les personnes.

A) Outils de la CNIL sur l’IA

Les outils de la CNIL sur l’IA permettent de vulgariser les termes afin d'aider à la compréhension de l’IA pour les professionnels et le grand public.

Pour les chercheurs en IA, la CNIL a édité des publications sur les risques, ce qui permet de réfléchir en amont de l'intervention du système d’IA (SIA) aux risques potentiels pour les personnes.

La CNIL a également publié un guide d’auto-évaluation des risques les plus importants sur les SIA, qui se compose de plusieurs thèmes :

• Se poser les bonnes questions avant l’utilisation de l’IA ;
• Collecter et qualifier les données d'entraînement ;
• Développer et entraîner un algorithme ;
• Utiliser un système d’IA en production ;
• Sécuriser le traitement ;
• Permettre le bon exercice de leurs droits par les personnes ;
• Se mettre en conformité.

Enfin, la CNIL a mis en place une foire aux questions sur l’utilisation de l’IA générative afin d’apporter des réponses concrètes et précises.

B) Fiche AIPD

Une analyse d’impact relative à la protection des données (AIPD) est un outil permettant de construire un traitement de données conforme aux exigences du RGPD.

La fiche AIPD permet donc d’informer les personnes sur les cas où sa réalisation est obligatoire, notamment pour les traitements et SIA considérés comme à hauts risques.

Pour être reconnu comme à haut risque, il faut que le traitement et le SIA remplissent deux des critères suivants :

• Collecte de données hautement personnelles ;
• Traitement de données à grande échelle ;
• Traitement de données concernant des personnes vulnérables ;
• Croisement d’ensembles de données.

Dans les cas, il n’est pas nécessaire de réaliser une AIPD, ceci-dit c’est toujours une bonne pratique à adopter.

La fiche AIPD propose également une liste de risques à évaluer pour ces types de traitement, comme :

• L’utilisation abusive ou détournée des données ;
• La discrimination automatisée ;
• La production de faux contenus sur une personne réelle ;
• La prise de décision automatisée ;
• La perte de contrôle sur les données en ligne ;
• L’extraction des données d'entraînement à partir du modèle.

Enfin, pour certains cas, la fiche AIPD prévoit de mettre en place un plan d’action incluant plusieurs types de mesures concernant :

• La sécurité ;
• La minimisation ;
• La protection des données dès la conception (anonymisation ou pseudonymisation), facilitant l’exercice des droits des personnes ;
• L’audit et le test du système ;
• Les processus et l’organisation ;
• La gouvernance ;
• La journalisation et la documentation.

C) Autres outils

La CNIL ne dispose pas uniquement des outils présentés : elle met en place d’autres moyens afin de s’informer sur le RGPD, notamment via un MOOC (Massive Open Online Course, formation en ligne) sur le RGPD, des pages thématiques sur les principes du RGPD (base légale, finalité) ou encore des guides spécifiques.

Speakers :

• Alexis LEAUTIER, Ingénieur IA au Service de l'intelligence artificielle de la CNIL
• Jean-Sébastien FIEGEL, délégué à la protection des données de la Région Grand-Est

Remerciements :

Merci à Christelle BERGÉ et Estelle HUBÉ-LAURENT pour leur relecture attentive.