— 107 —
– que la CNCTR est informée du champ et de la nature des essais effectués et
qu’un registre recensant les opérations réalisées dans le cadre de ces campagnes de
qualification lui est communiqué à sa demande.
��� La loi prévoit déjà une dérogation aux durées de conservation de
droit commun s’agissant des données cryptées
Si la loi prévoit déjà la possibilité d’utiliser des données personnelles à des
fins de recherche-développement, le législateur a également déjà prévu la
possibilité de déroger aux durées de conservation des données de droit commun,
dès lors que ces dernières sont cryptées. Comme on l’a vu en première partie,
l’article L. 822-2 du code de la sécurité intérieure prévoit que :
– la durée maximale de conservation est de six ans à compter du recueil
pour les renseignements chiffrés ;
– dans une mesure strictement nécessaire aux besoins de l’analyse
technique et à l’exclusion de toute utilisation pour la surveillance des
personnes concernées, les renseignements collectés qui contiennent des éléments
de cyberattaque ou qui sont chiffrés, ainsi que les renseignements déchiffrés
associés à ces derniers, peuvent être conservés au-delà des durées de droit
commun fixées au I de l’article L. 822-2.
● La définition d’un régime dérogatoire à des fins d’apprentissage des
outils d’IA doit être impérativement assortie de garanties spécifiques.
Tout d’abord, comme nous l’avons souligné plus haut, si le législateur
décidait d’établir un régime dérogatoire aux durées légales de conservation des
données à des fins d’apprentissage des outils d’intelligence artificielle, il lui
faudrait impérativement bien distinguer entre le régime juridique applicable aux
données nécessaires en phase d’apprentissage de l’intelligence artificielle et le
régime juridique actuellement applicable au traitement de données.
Ensuite, en contrepartie de la définition d’un régime juridique assoupli en
matière de conservation des données en phase d’apprentissage, il conviendrait de
prévoir des garanties spécifiques telles que :
– l’exclusion de tout usage opérationnel des données d’entraînement ;
– la conservation de ces données par un tiers de confiance indépendant des
services investigateurs ;
– la pseudonymisation des données – pour autant qu’elle soit compatible
avec la finalité d’apprentissage.
Le coordonnateur ministériel en matière d’intelligence artificielle a
indiqué à la mission que « dans la plupart des cas, le principe d’anonymisation
n’est pas pertinent : il aboutit en pratique à appauvrir ou à détruire au préalable
l’information précisément utile à l’opération de modélisation par apprentissage.