Dans son rapport portant sur l’année 2023, la CNIL révèle avoir traité 16 433 plaintes (+ 35 % par rapport à 2022) et, pour la deuxième année consécutive, elle en a instruit autant qu’elle en a reçu. Elle a également été destinataire de 20 810 demandes d’exercice des droits indirect (pour l’accès à certains fichiers bancaires ou de police) via l’ouverture d’un téléservice dédié, ce qui représente une hausse de 217 % en un an. Le site web cnil.fr a, encore cette année, enregistré un record d’audience, avec 11,8 millions de visites, témoignant d’un intérêt toujours croissant des publics, professionnels et particuliers, pour la protection des données, en particulier concernant l’hameçonnage (phishing), les cookies ou l’intelligence artificielle.
La CNIL et le futur règlement IA
La CNIL estime qu’elle aura un rôle à jouer, car les données, souvent personnelles, sont une des trois composantes essentielles de cette technologie, avec la puissance de calcul et les talents des ingénieurs. Son expérience dans la régulation du numérique, y compris dans sa dimension éthique, « la rend légitime à apporter des réponses qui ne peuvent attendre 2026 et l’entrée en vigueur de la totalité du règlement IA », est il souligné dans le rapport.
L’interview de Marie-Laure Denis
Jeux de Paris, vidéosurveillance algorithmique, essor des IA génératives gourmandes en données personnelles : la présidente de la CNIL, Marie-Laure Denis, évoque les défis du gendarme de la vie privée des Français au cours des prochains mois.
Quel rôle joue la CNIL dans l’organisation des Jeux de Paris ?
Marie-Laure Denis : Toutes les garanties ont été prises pour qu’il y ait un bon équilibre entre la meilleure protection possible des Français, des athlètes et de toutes les personnes qui seront présentes en France à l’occasion de cet événement, et en même temps le respect des libertés publiques, notamment pour les données qui sont exploitées pour accéder à des périmètres sécurisés ou dans le cadre de la billetterie, par exemple. Nous nous intéressons à la sécurité des données parce qu’il peut y avoir des données sensibles, par exemple des données d’accréditation des forces de l’ordre, et qui peuvent, le cas échéant, favoriser des actions malveillantes. Nous veillons aussi à ce que soient uniquement collectées les données qui sont nécessaires à la finalité pour lesquelles elles sont collectées, qu’elles ne soient pas conservées trop longtemps.
Qu’en est-il des expérimentations autour de la vidéosurveillance algorithmique, qui utilise des caméras intelligentes pour surveiller les foules ?
M-L.D : Nous avons consacré beaucoup d’énergie en amont à la problématique des caméras augmentées. C’est la première fois en France, et même en Europe, que sont déployées des caméras qui embarquent de l’intelligence artificielle pour détecter des comportements suspects ou dangereux. Par exemple, quelqu’un qui arrive dans une enceinte interdite, une voiture qui circule en sens inverse, le départ d’un feu, un mouvement de foule…
Les conséquences en matière de libertés publiques sont potentiellement plus importantes puisqu’il n’y a plus de limites humaines, même si ce sont des caméras qui ont pour finalité d’aider à la décision. Elles ne décident pas à la place des forces de l’ordre. C’est peut-être un peu prématuré parce que la première expérimentation, qui était en réalité un test de paramétrage et pas une vraie exploitation, c’était le concert de Depeche Mode début mars à Paris. C’est vraiment en ce moment qu’ont lieu les premiers déploiements des caméras augmentées à travers un autre concert, un match de basket, dans des gares aussi.
La CNIL s’est dotée d’un « service à l’intelligence artificielle » en 2023. Quel rôle l’institution peut-elle jouer dans la régulation de l’IA, et notamment les IA génératives comme ChatGPT ?
M-L.D : Notre but, c’est d’accompagner cette innovation. Non pas la freiner mais l’accompagner dès l’amont avec des garanties dans la mesure où l’IA consomme un nombre considérable de données personnelles. Les développeurs d’IA veulent pouvoir conserver ces données longtemps mais, nous, nous leur disons : on comprend mais regardons les différents usages pour lesquels vous les conservez. On peut essayer de les conserver le moins longtemps possible lorsque ce n’est pas nécessaire. En matière de protection de la vie privée, c’est un enjeu tout à fait fondamental. La CNIL aura un rôle à jouer absolument incontournable en matière d’IA puisque les textes en matière de protection des données s’appliquent. Je relève qu’il y a un certain nombre d’institutions qui ont appelé à ce que la CNIL joue un rôle important en matière de régulation de l’IA. Ça me paraît naturel sur un certain nombre de missions.
