Fort de son expérience reconnue en tant que premier laboratoire privé Européen en intelligence artificielle, le Criteo AI Lab est idéalement positionné pour participer aux consultations de la CNIL sur la façon dont le RGPD appréhende l’IA. Rappelons en effet que les algorithmes d’IA sont entraînés sur des données qui peuvent être des données personnelles et donc relever du RGPD. La CNIL mène depuis plusieurs mois des travaux de rédaction de fiches pratiques ayant pour objectif d’accompagner les acteurs de l’IA dans la mise en place d’une IA respectueuse de la vie privée. Criteo avait déjà participé à la consultation lancée par la CNIL en 2023 ayant abouti à la publication des premières recommandations de la CNIL sur la constitution de bases de données d’apprentissage des systèmes d’IA.
Avec ce deuxième appel à contribution, la CNIL sollicite les retours d’expérience et les recommandations des parties prenantes non seulement sur 7 nouvelles fiches relatives au développement des systèmes d’IA, mais pose aussi des questions novatrices telles que la possible qualification d’un modèle en tant que donnée personnelle.
En ligne avec sa culture d’ouverture et de partage, le Criteo AI Lab est fier de publier un résumé des contributions faites à la CNIL afin d’alimenter les discussions sur des questions qui touchent bien souvent au cœur de problématiques scientifiques non résolues. Selon Criteo, Celles-ci devraient également faire l’objet de discussions par le biais de comités représentatifs de la communauté scientifique afin de définir l’état du consensus scientifique.
Ce résumé présente les réponses de Criteo aux questions fondamentales posées par la CNIL relatives au développement d’un modèle ou d’un système d’IA telles que :
- L’intérêt légitime du développeur d’un système d’IA peut-il servir de base juridique valable au sens du RGPD ? faut-il à ce titre distinguer entre les travaux de recherche scientifique et les activités de nature commerciale ?
- Le développement de modèles en open source présente-t-il des avantages ou des contraintes supplémentaires pour la mise en conformité au RGPD ?
- Comment les droits des personnes dont les données personnelles ont été utilisées pour entrainer un modèle trouvent-ils à s’exercer dans le contexte de l’IA ? certaines limitations techniques sont-elles à prendre en compte ?
- Quel test appliquer pour déterminer si un modèle d’IA est anonyme ou peut au contraire être assimilé à une donnée personnelle ? le risque de régurgitation est-il pertinent dans ce cadre ?
La contribution conclut que les modèles entraînés par Criteo ont pour fonction d’effectuer des tâches de prédiction publicitaires en ligne (et non de générer du contenu), pour un usage strictement interne, en n’utilisant que des données pseudonymisées non re-identifiables. Il ne serait donc pas nécessaire d’exiger une analyse afin de déterminer si ces modèles peuvent être qualifiés de donnée personnelle.
Cliquez ici pour accéder à l’intégralité du Résumé de la contribution du Laboratoire d’Intelligence Artificielle de Criteo à la consultation de la CNIL sur l’application du RGPD au développement des systèmes d’intelligence artificielle et aux modèles d’intelligence artificielle.
