La Commission nationale de l’informatique et des libertés (CNIL) a présenté, mardi 23 mai, son rapport d’activité annuel, mettant en avant un nombre toujours élevé de plaintes traitées par le gendarme français des données personnelles. En 2022, ce sont même 147 mises en demeure qui ont été adressées par la Commission, un record et une augmentation significative par rapport à l’année précédente (135 mises en demeure).
Au total, la CNIL a procédé, en 2022, à 345 contrôles et prononcé 21 sanctions pour un montant d’amendes cumulé de 101 millions d’euros. Elle a enfin inauguré une procédure simplifiée de sanctions qui devrait lui permettre à terme d’adopter « une centaine de sanctions supplémentaires » par an, et a examiné 18 projets de sanctions proposés par ses homologues européens.
Elle se félicite ainsi de faire partie des quatre autorités ayant demandé à l’autorité irlandaise de prononcer une sanction financière contre Meta, avec à la clé l’amende record de 1,2 milliard d’euros annoncée lundi.
« En tout, 850 décisions ont été prises au niveau des CNIL européennes dans cette logique de régulation concertée », énumère la présidente de la Commission, Marie-Laure Denis, dans un entretien accordé à l’Agence France-Presse (AFP). Avec, selon elle, « des incidences concrètes sur les plus gros acteurs du numérique ».
L’intelligence artificielle surveillée de près
Dans cet entretien préalable, ainsi qu’au cours d’une conférence de presse, la présidente de la Commission a également souligné que l’institution surveillait de près les récents progrès des outils basés sur l’intelligence artificielle (IA). « On essaye de faire en sorte que l’IA qui se développe en France, et qui doit se développer d’une façon harmonisée au niveau européen, soit respectueuse de la vie privée », a-t-elle expliqué à l’AFP.
L’entreprise américaine OpenAI, à l’origine du robot conversationnel ChatGPT, fait déjà l’objet de cinq plaintes auprès de la CNIL, qui lui a adressé un premier questionnaire dans le cadre d’une procédure de contrôle.
Le règlement général sur la protection des données « s’applique à l’IA. Et on ne peut pas attendre parce que c’est une technologie qui est très consommatrice en données personnelles, de l’entraînement des algorithmes aux interactions avec les utilisateurs », a expliqué Marie-Laure Denis à l’AFP.
« Vous devez pouvoir avoir accès [à vos données personnelles], vous devez pouvoir demander un effacement. Et pour les IA génératives qui, comme leur nom l’indique, génèrent des textes, des sons ou des vidéos, il peut y avoir un risque sur l’exactitude des données, parce que c’est un système probabiliste qui n’est pas nécessairement fiable », souligne Marie-Laure Denis.
L’institution a lancé en début d’année un « service de l’intelligence artificielle » et vient d’annoncer son plan d’action. « Dans les prochains mois », elle soumettra à consultation publique sa doctrine sur les règles applicables en matière d’entraînement des algorithmes et d’exercice du droit des personnes sur leurs données.
Sur d’autres domaines liés à l’IA, elle mène actuellement des contrôles sur les caméras de vidéosurveillance algorithmique utilisées par des collectivités locales ou sur les outils technologiques de lutte contre la fraude sociale. « On contrôlera très probablement certaines des caméras augmentées utilisées dans le cadre des Jeux olympiques » de Paris, assure la Commission.