Traitement de données personnelles lors du développement d’un système d'IA : la CNIL publie des fiches pratiques sur le recours à l'intérêt légitime

Intérêts présumés légitimes

Intérêts ne pouvant être considérés comme légitimes

Mener des travaux de recherche scientifique (notamment pour les organismes qui ne peuvent pas se fonder sur la mission d’intérêt public)

Le système d’IA envisagé n’a aucun lien avec la mission et l’activité de l’organisme

Faciliter l’accès du public à certaines informations

Le système d’IA envisagé ne peut pas être déployé légalement (par ex. traitement interdit par le DSA, etc.)

Développer de nouveaux systèmes et fonctionnalités pour les utilisateurs d’un service

Le système d’IA envisagé est catégoriquement interdit par d’autres réglementations que le RGPD (par ex. art 5 règlement sur l’IA sur les pratiques interdites en matière d’IA)

Proposer un service d’agent conversationnel pour assister les utilisateurs

Améliorer un produit ou un service pour augmenter sa performance

Développer unsystème d’IApermettant de détecter des contenus ou comportements frauduleux

Tout intérêt commercial, pour autant qu’il ne soit pas contraire à la loi et que le traitement soit nécessaire et proportionné.

Identification des bénéfices apportés par le systèmes d’IA

Identification des incidences négatives sur les personnes concernées

Ampleur et nature des bénéfices attendus du SIA pour le responsable de traitement et/ou des tiers (e.g. utilisateurs finaux du SIA), l’intérêt public ou de la société. Ex.: SIA permettant l’accessibilité à certains services pour des personnes en situation de handicap.

Nature des données: sensibles ou hautement personnelles?

Utilité du SIA pour se conformer à d’autres réglementations. Ex.: SIA permettant d’améliorer le processus de modération de contenu en ligne, conformément aux dispositions du DSA.

Statut des personnes concernées: personnes vulnérables? mineurs?

Développement du modèle en source ouverte

Statut de l’entreprise ou de l’administration développant et/ou déployant l’IA: plus le SIA sera déployé à large échelle plus le risque est important

Précision des intérêts poursuivis: plus la description de l’intérêt est précise, plus il pèsera dans la mise en balance.

Manière dont les données sont traitées (par ex. croisement de données envisagés?)

Type de système d’IA et usage opérationnel envisagé

Les incidences liées au développement du modèle d’IA

Les incidences liées à l’utilisation du modèle d’IA

Les risques relatifs à la collecte de données accessibles en ligne, notamment à l’aide d’outils de scraping, tels que l’atteinte à la vie privée des personnes et aux droits garantis par le RGPD, le droit de propriété intellectuelle ou certains secrets, et la liberté d’expression au regard du sentiment de surveillance que peut induire la collecte massive et généralisée des données

Les risques de mémorisation, d'extraction ou de régurgitation (pour les systèmes d'IA générative) de données personnelles lors de l’utilisation de certains systèmes d’IA, susceptibles de porter atteinte à la vie privée

Les risques de perte de confidentialité des données contenues dans la base de données ou dans le modèle, notamment la sécurité des bases de données d’apprentissage en cas de violation de données ou attaques spécifiques aux systèmes d’IA

Les risques d’atteinte à la réputation, de propagation de fausses informations ou encore d’usurpation d’identité, lorsque le système d’IA (particulièrement d’IA générative) produit du contenu sur une personne physique identifiée ou identifiable

Les risques liés à la difficulté de garantir l’effectivité de l’exercice des droits des personnes liés à aux obstacles techniques à l’identification des personnes concernées et à la difficulté de transmettre des demandes d’exercice des droits.

Les risques d’atteinte à certains droits ou secrets prévus par la loi (par exemple, le droit de propriété intellectuelle, comme le droit d'auteur, le secret des affaires ou encore le secret médical) en cas de mémorisation ou de régurgitation de données protégées

Les risques liés à la difficulté d’assurer la transparence des traitements auprès des personnes concernées, notamment au regard de la technicité des mécanismes d’apprentissage et l’opacité structurelle du développement des certains SIA.

Les risques éthiques graves, qui portent atteinte à certaines règles générales de droit ou au bon fonctionnement de la société dans son ensemble, liés au développement de certains systèmes d’IA (par ex. l’amplification de biais discriminatoires dans la base de données d’apprentissage, le défaut de transparence ou d’explicabilité, de robustesse ou encore les biais d’automatisation, etc.)

Données collectées directement auprès des personnes

Données collectées en ligne (web scraping)

Nature de la relation entre la personne concernée et le responsable de traitement

Nature de la relation entre la personne concernée et le responsable de traitement

Paramètres de confidentialité choisis des données partagées

Restrictions explicites imposées par les sites internet (CGU, fichiers robots.txt, CAPTCHA, etc.). L’absence de respect de ces restrictions exclut que le traitement relève des attentes raisonnables

Contexte et nature du service où les données ont été collectées (IA ou non)

Nature des sites sources (réseaux sociaux, forums, etc.)

Finalité du traitement pour lesquelles les données sont collectées (ex : si une entreprise collecte les données collectées de ses clients afin de développer un outil qu’elle utilise seule mais qui n’est pas commercialisé par ailleurs)

Type de publication: publication publique (ex : blog) vs publication avec accès restreint (ex : post privé sur un réseau social)

Accessibilité publique ou non des données