La CNIL publie ses premières réponses à destination des professionnels souhaitant déployer dans leurs entités un système d’intelligence artificielle générative, qui est capable de créer des contenus (texte, code informatique, images, etc.).
En résumé, elle « recommande de :
Partir d’un besoin concret, c’est-à-dire d’éviter de déployer un système d’IA générative sans but précis, mais pour répondre à un ensemble d’usages déjà identifiés.
Encadrer les usages en définissant une liste d’utilisations autorisées et interdites compte tenu de ces risques (par exemple ne pas fournir de données personnelles au système, ou bien ne pas confier de prise de décision).
Ne pas occulter les limitations de ces systèmes, en particulier au regard des risques qu’ils peuvent engendrer pour les intérêts et droits des personnes concernées.
Choisir un système robuste et un mode de déploiement sécurisé, par exemple en privilégiant le recours à des systèmes locaux, sécurisés et spécialisés (fine-tuned en anglais). A défaut, il faut déterminer dans quelle mesure le prestataire opérant le système est susceptible de réutiliser les données fournies au système d’IA, et adapter l’usage en conséquence.
Former et sensibiliser les utilisateurs finaux tant vis-à-vis des usages interdits que des risques encourus dans le cadre des usages autorisés.
Mettre en œuvre une gouvernance adaptée pour s’assurer du bon respect du RGPD et de ces préconisations, notamment en impliquant dès le début toutes les parties prenantes (délégué à la protection des données, responsable des systèmes d’information, RSSI, responsables « métiers », etc.) ».
https://cnil.fr/fr/comment-deployer-une-ia-generative-la-cnil-apporte-de-premieres-precisions
