La Commission a rappelé qu'elle a engagé depuis plusieurs années des travaux pour anticiper et répondre aux enjeux soulevés par l’IA. En 2023, elle va prolonger son action sur les caméras augmentées et souhaite élargir ses travaux aux IA génératives aux grands modèles de langage et aux applications dérivées (notamment les chatbots).
Un bilan répressif sans précédent
En 2022, la CNIL a reçu 12 193 plaintes et en a traité 13 160, ce qui représente une légère baisse par rapport à l’année précédente (13 425 plaintes traitées). Toutefois, la CNIL a renforcé son action répressive, en adressant 147 mises en demeure, contre 135 en 2021, et en prononçant 21 sanctions pour un montant total de 101 millions d’euros d’amendes. Parmi les principaux manquements sanctionnés figurent le non-respect du consentement des utilisateurs pour les cookies publicitaires, la surveillance excessive des salariés ou des clients, ou encore les failles de sécurité exposant les données personnelles à des risques de piratage ou de rançongiciels.
Envoyé par CNIL
La CNIL a également participé à la régulation concertée des géants du numérique au niveau européen, en examinant 18 projets de sanctions proposés par ses homologues et en demandant à l’autorité irlandaise de sanctionner Meta (ex-Facebook) pour ses pratiques abusives en matière de transfert de données hors de l’Union européenne. Cette demande a abouti à l’amende record de 1,2 milliard d’euros infligée à Meta le 22 mai 2023.
Envoyé par CNIL
Une vigilance accrue sur l’intelligence artificielle
La CNIL a également souligné dans son rapport qu’elle portait une attention particulière aux applications basées sur l’intelligence artificielle, notamment celles qui utilisent des techniques génératives, comme les robots conversationnels ou les générateurs de textes ou d’images. Ces technologies sont très consommatrices en données personnelles, tant pour entraîner les algorithmes que pour interagir avec les utilisateurs. Elles posent également des questions éthiques sur la fiabilité, la transparence et la responsabilité des systèmes d’IA.
La CNIL a ainsi indiqué qu’elle avait reçu cinq plaintes contre OpenAI, une entreprise américaine qui a développé ChatGPT, un robot conversationnel capable de produire des réponses cohérentes et personnalisées à partir de n’importe quelle requête. La CNIL a adressé un premier questionnaire à OpenAI dans le cadre d’une procédure de contrôle, afin de vérifier le respect du règlement général sur la protection des données (RGPD) par cette société.
La CNIL a également publié sa position sur le déploiement de caméras “augmentées” dans les espaces publics, qui utilisent l’IA pour analyser les images captées. Elle a rappelé que ces dispositifs devaient respecter le principe de proportionnalité et être soumis à une autorisation préalable de la CNIL ou du ministère de l’intérieur.
En 2023, l’action de contrôle de la CNIL portera notamment sur :
- le respect de la position sur l’usage de la vidéosurveillance « augmentée », publiée en 2022, par les acteurs publics et privés ;
- l’usage de l’intelligence artificielle pour la lutte contre la fraude, par exemple pour la lutte contre la fraude à l’assurance sociale, au regard des enjeux liés à l’usage de tels algorithmes ;
- l’instruction de plaintes déposées auprès de la CNIL. Si le cadre juridique de l’entraînement et de l’utilisation des IA génératives nécessite d’être clarifié, ce à quoi la CNIL va s’employer, des plaintes ont d’ores et déjà été déposées. La CNIL a, en particulier, reçu plusieurs plaintes à l’encontre de la société OpenAI qui gère le service ChatGPT, et a ouvert une procédure de contrôle. En parallèle, un groupe de travail dédié a été créé au sein du Comité européen de la protection des données ou CEPD (en anglais), en vue d’assurer une démarche coordonnée des autorités européennes et une analyse harmonisée des traitements de données mis en œuvre par l’outil d’OpenAI.
Son plan d’action s’articule autour de 4 volets :
- appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes ;
- permettre et encadrer le développement d’IA respectueuses de la vie privée ;
- fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe ;
- auditer et contrôler les systèmes d’IA et protéger les personnes.
Un accompagnement renforcé des acteurs du numérique
Parallèlement à son action répressive, la CNIL a poursuivi sa mission d’accompagnement et de conseil des professionnels et des pouvoirs publics dans leur démarche de conformité au RGPD et à la loi Informatique et Libertés. Elle a ainsi produit en 2022 de nouveaux outils, comme des guides, des référentiels ou des recommandations, sur des thématiques variées : santé, prospection commerciale, sécurité, etc.
La CNIL a également mis à jour son MOOC Atelier RGPD, une formation gratuite et ouverte à tous sur les notions clés du RGPD. Un nouveau module inédit s’adresse plus particulièrement aux collectivités territoriales. La CNIL a également organisé une série de webinaires pour répondre aux questions des professionnels sur différents sujets liés à la protection des données personnelles.
Enfin, la CNIL a continué à informer et à protéger le grand public face aux risques liés au numérique. Elle a lancé plusieurs campagnes de sensibilisation et d’éducation au numérique. Elle a également enregistré un nouveau record d’audience sur son site web cnil.fr, avec plus de 11 millions de visites en 2022.
La CNIL face aux défis du numérique de demain
Le rapport annuel de la CNIL témoigne de l’importance et de la diversité de son action dans un contexte de transformation numérique accélérée par la crise sanitaire. La CNIL doit faire face à des défis majeurs, comme la régulation des géants du numérique, le développement de l’intelligence artificielle, ou encore la protection des données sensibles dans le domaine de la santé ou de la sécurité.
Pour relever ces défis, la CNIL dispose de plusieurs leviers, comme le renforcement de ses moyens humains et financiers, l’harmonisation de ses pratiques avec ses homologues européens, ou encore l’anticipation des évolutions technologiques et juridiques. La CNIL s’appuie également sur sa capacité d’innovation et d’expérimentation, comme en témoigne son projet de laboratoire d’éthique du numérique, qui vise à associer les citoyens et les acteurs du numérique à la réflexion sur les enjeux éthiques liés au numérique.
La CNIL entend ainsi contribuer à construire un numérique respectueux des droits et des libertés des personnes, mais aussi porteur d’opportunités et de progrès pour la société. Elle invite tous les acteurs du numérique à se mobiliser pour faire de la protection des données personnelles un atout concurrentiel et un facteur de confiance. Elle rappelle également que chaque individu a un rôle à jouer pour protéger sa vie privée et exercer ses droits face aux traitements de ses données personnelles.
Source : CNIL (1, 2)
Et vous ?
Que pensez-vous du bilan de la CNIL pour l’année 2022 ?
Quels sont les avantages et les inconvénients de l’intelligence artificielle générative ?
Comment protégez-vous vos données personnelles sur Internet ?
Quelles sont vos attentes vis-à-vis de la CNIL pour l’année 2023 ?