La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-2°-b) ;

Après avoir entendu le rapport M. Claude Castelluccia, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement

Formule les observations suivantes :

De nombreux acteurs ont fait part, à la Commission nationale de l’informatique et des libertés (CNIL), de questionnements concernant l’application du règlement général sur la protection des données (RGPD) à l’intelligence artificielle (IA), en particulier depuis l’émergence de systèmes d’IA génératives.

La CNIL adopte une quatrième recommandation sur l’application du RGPD au développement des systèmes d’intelligence artificielle.

Cette quatrième recommandation est composée de trois fiches pratiques :

• Analyser le statut d’un modèle d’IA au regard du RGPD ;
• Annoter les données ;
• Garantir la sécurité du développement d’un système d’IA.

Décide :

Article 1^er : La recommandation figurant en annexe est adoptée.

Article 2 : La présente délibération sera publiée au Journal officiel de la République française.

La présidente,

M.-L. Denis

Annexe

Vous pouvez consulter l’intégralité du texte avec ses images à l’adresse suivante : https://www.cnil.fr/fr/les-fiches-pratiques-ia