Accès direct
Revenir aux actualités
Face à ces défis, la Commission nationale de l’informatique et des libertés (CNIL) vient de publier deux nouvelles recommandations (7 février 2025) :
- IA : informer les personnes concernées ;
- IA : respecter et faciliter l’exercice des droits des personnes concernées ;
Destinées à davantage encadrer l’information des personnes concernées et l’exercice de leurs droits dans les systèmes d’IA. Ces recommandations s’inscrivent dans la continuité de son plan d’action sur l’IA lancé en 2023 et viennent compléter les règles existantes en matière de conformité au Règlement général sur la protection des données (RGPD).
1. Renforcement des obligations d’information des personnes concernées
L’une des principales problématiques soulevées par l’IA est la transparence. Dans le secteur financier, de nombreux algorithmes exploitent des données clients issus de diverses sources (historique bancaire, comportement de navigation, transactions, bases de données externes). Or, la traçabilité et l’identification des sources ne sont pas toujours évidentes.
=> La Cnil rappelle que toute personne dont les données sont utilisées par une IA doit être informée de manière claire et accessible.
Cependant, dans le cas des modèles d’IA généralisés, qui agrègent des données provenant d’une multitude de sources, une information exhaustive destinée aux personnes concernées est difficile à mettre en œuvre. En conséquence, la Cnil admet donc, dans un souci de pragmatisme, une approche par catégories de sources (ex. « données issues d’établissements financiers, de bases de scoring et de services tiers ») peut suffire. Mentionner les principales sources de données est également recommandé.
=> Impacts pour le secteur financier
- Les établissements doivent s’assurer que leurs clients et utilisateurs reçoivent une information intelligible sur l’utilisation de leurs données dans les systèmes d’IA.
- Une mise à jour des politiques de confidentialité peut être nécessaire pour mieux refléter les usages réels de l’IA.
- Pour les banques et assureurs recourant à des modèles d’évaluation automatisée du risque, la transparence devient un critère clé pour éviter tout risque juridique.
2. Facilitation de l’exercice des droits des personnes concernées
Le RGPD garantit aux citoyens plusieurs droits fondamentaux : accès, rectification, opposition, et effacement des données personnelles. Cependant, ces droits sont parfois difficiles à mettre en œuvre dans les modèles d’IA :
- Problème d’identification des données individuelles : une IA entraîne un modèle à partir de larges bases de données et ne stocke pas nécessairement les informations de manière structurée.
- Complexité de modification ou de suppression des données : supprimer une donnée d’un modèle peut nécessiter de le remodéliser complètement, avec des coûts techniques et financiers importants.
- La Cnil appelle les acteurs du marché à adopter des solutions proactives pour limiter ces obstacles.
=> Recommandations et impacts concrets
- Renforcer l’anonymisation des données dans les bases d’apprentissage afin d’atténuer les risques de réidentification.
- Mettre en place des mécanismes de rectification et de suppression adaptés aux modèles financiers, notamment pour garantir la conformité dans les décisions automatisées (par exemple : ajustement d’un score de crédit sur demande du client).
- Évaluer les coûts et contraintes techniques liés à l’exercice des droits et, si nécessaire, justifier de manière documentée les impossibilités de mise en œuvre (par exemple, lorsqu’un modèle d’IA ne permet pas d’isoler une donnée spécifique).
Vers un cadre de gouvernance IA-RGPD plus strict dans le secteur financier
Ces recommandations s’ajoutent aux précédentes publications de la Cnil, qui encadrent des aspects essentiels du développement et du déploiement de l’IA, notamment :
✔️ Qualification juridique des acteurs (développeurs, fournisseurs, utilisateurs de systèmes d’IA).
✔️ Définition des bases légales d’utilisation des données (ex. intérêt légitime vs. consentement).
✔️ Intégration de la minimisation des données dès la conception des modèles.
✔️ Gestion des données collectées via le web scraping et impact sur la conformité.
✔️ Réalisation d’analyses d’impact sur la protection des données (AIPD) pour les systèmes IA à fort enjeu.
Le secteur financier étant fortement réglementé, ces nouvelles recommandations devraient inciter les institutions à revoir leurs dispositifs de conformité. La Cnil encourage une approche préventive et une meilleure intégration des principes RGPD dès les phases de conception des systèmes d’IA.
=> Ce qu’il faut retenir
📌 Les établissements financiers doivent revoir leurs obligations d’information afin de s’adapter aux nouvelles directives de la Cnil sur la transparence des sources de données utilisées.
📌 L’exercice des droits dans un contexte IA devient un enjeu central, nécessitant une anticipation des contraintes techniques et un renforcement des solutions d’anonymisation.
📌 Les acteurs du marché doivent intégrer ces exigences dans leurs dispositifs de gouvernance des risques, sous peine de sanctions potentielles.
Anticiper ces évolutions permettra non seulement d’assurer la conformité réglementaire, mais aussi de renforcer la confiance des clients et partenaires dans l’utilisation de l’IA dans la finance.
06 juillet 2023 
Salons Hoche
