🎙⏯ RGPD, IA & Cybersécurité : Prochains webinaires et replays 🎙⏯ RGPD, IA & Cybersécurité : Prochains webinaires et replays 🎙⏯ RGPD, IA & Cybersécurité : Prochains webinaires et replays 🎙⏯ RGPD, IA & Cybersécurité : Prochains webinaires et replays
Appelez-nous au +(33)4 28 70 91 81
Se connecter

RGPD & IA Générative : ce que dit la CNIL

Accueil Actualités RGPD & IA Générative : ce que dit la CNIL

Sommaire

Qu’est-ce qu’un système d’IA générative ?

L’IA générative désigne les systèmes capables de produire automatiquement du contenu : texte, image, audio, code, vidéo… Ces modèles, comme les LLM (Large Language Models), sont qualifiés d’IA à usage général. Leur fonctionnement repose sur l’analyse de grandes quantités de données, souvent issues d’internet, de bases de données sous licence ou de conversations utilisateurs.

Quels sont les avantages de l’IA générative ?

  • Créer rapidement du contenu (textes, visuels, code…)
  • Traduire, reformuler ou améliorer des contenus existants
  • Analyser de grandes quantités de données (ex. : résumés, catégorisation)
  • Améliorer la productivité des collaborateurs

Quels sont les risques de l’IA générative au regard du RGPD ?

  • Hallucinations : contenus faux mais crédibles
  • Boîte noire : manque d’explicabilité des résultats
  • Biais algorithmiques : discrimination possible
  • Usages malveillants : deepfakes, phishing, création de malware
  • Risque juridique : si des données personnelles sont utilisées sans base légale

Quels types de systèmes d’IA générative peut-on utiliser ?

  • Modèle sur étagère : déjà entraîné, prêt à l’emploi (ex. : API GPT, LLaMA, Mistral)
  • RAG (Retrieval-Augmented Generation) : connecté à une base de données interne
  • Fine-tuning : réentraînement du modèle sur des données internes
  • Modèle développé en interne : réservé aux acteurs disposant de fortes ressources

Comment choisir un système d’IA générative conforme au RGPD ?

  • Sa sécurité (rejet des requêtes illégales, pas de fuite de données)
  • Sa robustesse (peu d’hallucinations, citations de sources)
  • L’existence d’une documentation et d’une évaluation RGPD
  • La conformité de sa licence et des données d’entraînement

On-premise, cloud ou API : quel mode de déploiement est le plus conforme au RGPD ?

  • On-premise : plus sécurisé, pas de transfert vers des tiers
  • Cloud sécurisé : acceptable si encadré par un contrat de sous-traitance RGPD
  • API publique : à éviter pour les données personnelles ou confidentielles

Pour les données sensibles, le déploiement sur site (on-premise) est à privilégier.

Comment encadrer l’usage d’une IA générative en entreprise ?

  • Rédiger une charte d’usage interne
  • Former les utilisateurs à la vérification des résultats
  • Restreindre les données fournies au système (pas de données sensibles)
  • Désactiver la réutilisation des prompts par le fournisseur
  • Effectuer une analyse d’impact (AIPD) si nécessaire

Comment former les utilisateurs d’un système d’IA générative ?

  • Sensibilisés aux limites de l’IA (hallucinations, biais, confidentialité)
  • Formés à vérifier la qualité des réponses
  • Incités à ne jamais copier-coller une sortie sans relecture
  • Informés sur les prompts types autorisés par l’entreprise

Quel rôle pour le DPO dans la gouvernance de l’IA générative ?

  • Il participe à l’analyse de risques (AIPD)
  • Il encadre les traitements de données personnelles
  • Il forme les utilisateurs et peut alerter la direction en cas de problème

Un comité éthique IA ou un référent peut être utile pour les usages sensibles.

Comment garantir la conformité au RGPD et au règlement IA européen ?

RGPD

  • Vérifiez si des données personnelles sont traitées
  • Interrogez le fournisseur sur l’origine et la base légale de ses données
  • Réalisez un AIPD si le système a un impact significatif sur les personnes

Règlement IA (à partir du 1er août 2024)

  • Respectez les exigences de transparence (ex. : mentionner si un contenu est généré par l’IA)
  • Évaluez si le système est à haut risque, auquel cas des obligations supplémentaires s’appliquent
  • Évitez les systèmes interdits (ex. : surveillance biométrique à distance en temps réel dans l’espace public)

Ressources utiles

 

D'autres articles
sur le même sujet