La CNIL vient de publier ses recommandations suite à une consultation publique. Ces recommandations précisent les conditions pour recourir à l’intérêt légitime et éviter l’obtention du consentement explicite des personnes concernées.
La CNIL souhaite aider les acteurs à identifier les cas où ils pourront justifier le traitement des données des personnes concernées par le biais d’un système d’IA par la base légale de l’intérêt légitime. Le recours à l’intérêt légitime est soumis à trois conditions :
- L’intérêt poursuivi par l’organisme doit être « légitime » ;
- Le traitement envisagé doit être nécessaire pour la réalisation de l’intérêt légitime poursuivi ;
- Le traitement ne doit pas porter une atteinte disproportionnée aux droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables. Une « mise en balance » des droits et intérêts en cause doit donc être réalisée au regard des conditions concrètes de sa mise en œuvre.
La CNIL rappelle que le responsable du traitement doit examiner la conformité de son traitement à ces trois conditions et doit, à titre de bonne pratique, la documenter.
Lorsqu’une AIPD (Analyse d’Impact sur la Protection des Données) est nécessaire, les garanties apportées pour limiter l’atteinte susceptible d’être portée aux droits des personnes doivent y être décrites par le responsable de traitement.La CNIL fait un focus sur la collecte des données accessibles en ligne par moissonnage (web scraping) qui doit être accompagnée de mesures visant à garantir les droits des personnes concernées. Les mesures obligatoires sont les suivantes:
- définir, en amont, des critères précis de collecte ;
- exclure de la collecte certaines catégories de données lorsqu’elles ne sont pas nécessaires ;
- lorsque c’est possible, par l’intermédiaire de filtres (par exemple, si elles ne sont pas nécessaires, les données de transaction bancaire, données de géolocalisation, etc.) ;
lorsqu’il n’est pas possible de les filtrer, exclure de la collecte certains types de sites (par exemple, les sites ou réseaux sociaux utilisés majoritairement par des personnes mineures) qui contiennent structurellement ces catégories de données (par exemple les données concernant des personnes vulnérables comme des mineurs ou encore certaines données sensibles) ; - veiller à supprimer les données non pertinentes qui auraient pu être collectées malgré ces critères immédiatement après leur collecte ou dès qu’elles sont identifiées comme telles (par exemple si, sur un forum public, les pseudonymes de personnes sont collectés alors que seul le contenu des commentaires est nécessaire);
- exclure de la collecte les sites qui s’opposent clairement au moissonnage de leur contenu à des fins de constitution de bases de données pour d’entrainement, par l’utilisation des protocoles d’exclusion robots.txt ou la mise en place de CAPTCHA, qui, en imposant une action qui ne peut être effectuée que par un être humain, vise à interdire l’accès aux pages à des robots.
La CNIL poursuit aussi les travaux au sein du Comité européen de la protection des données (CEPD) sur l’articulation entre le RGPD et le RIA ainsi que sur le moissonnage de données dans le contexte de l’IA générative ainsi que les travaux du bureau de l’IA de la Commission européenne pour l’élaboration d’un code de bonnes pratiques sur l’IA à usage général et s’articule avec le travail de clarification du cadre légal mené au niveau européen.