« L’informatique doit être au service de chaque citoyen ».
Ce rappel, issu du premier article de la loi informatique et libertés, constitue l'un des fondements de cette nouvelle consultation publique, ouverte jusqu'au 1er septembre 2024.
C’est la loi informatique et liberté qui prévoit sans la nommer cette possibilité de consultation publique, laquelle relève en réalité d’une obligation pour la CNIL. En effet, l’article 8 précise que les missions de la CNIL sont exercées « (...) en concertation avec les organismes publics et privés représentatifs des acteurs concernés (…) ». En outre, ce même article 4 prévoit que la CNIL «(...) se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ; À ce titre (…) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l'évolution des technologies informatiques et numériques ». En conséquence, la consultation publique sur le thème de l’Intelligence Artificielle (IA) est aussi justifiée juridiquement par cette obligation de réflexion quant aux nouvelles technologies.
Inutile de se déplacer physiquement Place de Fontenoy à Paris pour participer à cette consultation : en effet, « Les contributions doivent se faire en répondant directement dans les formulaires « recommandations pour les systèmes d’IA » et/ou « application du RGPD aux modèles d’IA ». Inutile d’être expert en cybersécurité pour participer, mais il y a obligation pour le contributeur de mentionner : sa fonction, son adresse courriel, et de préciser son type d’organisme (administration publique, entreprise privée, chercheur, représentant de professionnels, association, cabinet d’avocat, académique, particulier, ou autre) Concernant les contributions sur les recommandations pour les systèmes d’IA, un formulaire en format .odt est proposé via le site. Une fois le tableau de la fiche complété, le formulaire doit être transmis par mail à la CNIL. Concernant les contributions sur l’application du RGPD aux modèles d’IA, elles se font via un questionnaire en ligne , qui se veut un peu plus technique et semble s’adresser à un public professionnel au regard de la complexité des notions abordées, même si tout citoyen a le droit de participer.
.En préambule de l’accès au formulaire, la CNIL propose au futur contributeur une introduction et une remise en contexte : elle balise la problématique qui se pose sous ce thème IA et RGPD en ces termes : « La CNIL invite les fournisseurs et utilisateurs de systèmes d’IA, ainsi que l’ensemble des acteurs concernés, à apporter leurs éclairages sur les conditions dans lesquelles les modèles d’IA peuvent être considérés comme anonymes ou doivent être encadrés par le RGPD. ». En outre, via la « remise en contexte », la CNIL expose dans un tableau les conséquences de l’application du RGPD à un modèle d’IA, lequel rappelle clairement que si le modèle d’IA est anonyme, le RGPD ne s’applique pas. Toutefois, in fine, il est rappelé que « même lorsqu’un modèle est considéré comme anonyme, un risque de réidentification a posteriori peut persister (notamment en raison de l’évolution des techniques d’attaque). Une réidentification des personnes à partir du modèle entraîné pourrait alors être qualifiée de violation de données personnelles nécessitant la mise en œuvre des obligations applicables du RGPD. Enfin, le questionnaire en lui-même aborde les grands thèmes suivants : les risques de réidentification, les techniques permettant d’analyser les risques de régurgitation et d’extraction de données personnelles, l’application du RGPD à un modèle d’IA ayant mémorisé des données personnelles et enfin sur la responsabilité des acteurs