30 jours d'essai gratuit, risques IA générative :Commencer
Demander une démo
ActiveEuropean UnionLawEn vigueur : 2018-05-25

Règlement général sur la protection des données, dispositions relatives à l'IA

La loi phare de l'UE en matière de protection des données contient des dispositions essentielles pour les systèmes d'IA qui traitent des données à caractère personnel, notamment des règles relatives à la prise de décision automatisée.

Vue d'ensemble

Le Règlement général sur la protection des données (RGPD), en vigueur depuis le 25 May 2018, est la loi globale de l'UE en matière de protection des données. Bien qu'il ne s'agisse pas spécifiquement d'une réglementation sur l'IA, le RGPD contient plusieurs dispositions qui ont des implications profondes pour les systèmes d'IA qui traitent des données à caractère personnel, ce qui en fait l'une des réglementations les plus déterminantes pour la conformité de l'IA à l'échelle mondiale.

L'article 22 du RGPD confère aux personnes le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou l'affectant de manière significative de façon similaire. Cette disposition régit directement les systèmes de prise de décision fondés sur l'IA utilisés dans des domaines tels que la notation de crédit, la tarification en assurance, le recrutement et la fourniture de services publics. Les organisations doivent fournir des informations utiles concernant la logique sous-jacente, l'importance et les conséquences prévues d'un tel traitement.

Les exigences relatives à la base légale au titre des articles 6 et 9 sont particulièrement délicates pour les systèmes d'IA. Le consentement doit être libre, spécifique, éclairé et univoque, des exigences difficiles à satisfaire lorsque le traitement par l'IA est complexe et opaque. Les évaluations de l'intérêt légitime doivent mettre en balance les besoins de l'organisation et les droits des personnes, ce qui requiert de comprendre comment les systèmes d'IA affectent les personnes concernées.

La minimisation des données (article 5, paragraphe 1, point c)) présente une tension fondamentale avec le développement de l'IA, qui bénéficie souvent de vastes ensembles de données. Les organisations doivent veiller à ne collecter que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité déterminée. Cela a une incidence sur les stratégies relatives aux données d'entraînement de l'IA et requiert une justification soigneuse de l'étendue des ensembles de données.

Le droit à l'explication et les exigences de transparence (articles 13 à 15) imposent aux organisations de fournir des informations utiles sur la prise de décision automatisée. Pour les modèles d'IA complexes, en particulier les systèmes d'apprentissage profond, fournir des explications compréhensibles sur la manière dont les décisions sont prises constitue un défi technique et juridique de taille.

Les analyses d'impact relatives à la protection des données (AIPD) au titre de l'article 35 sont obligatoires pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes. La plupart des systèmes d'IA traitant des données à caractère personnel à grande échelle déclencheront les exigences d'AIPD. L'AIPD doit évaluer la nécessité et la proportionnalité du traitement, les risques pour les personnes et les mesures destinées à traiter ces risques.

La limitation des finalités (article 5, paragraphe 1, point b)) restreint l'utilisation des données à caractère personnel aux finalités pour lesquelles elles ont été collectées. Les développeurs d'IA doivent examiner attentivement si l'entraînement de modèles d'IA constitue une finalité compatible, et les récentes modifications du RGPD ainsi que les orientations réglementaires ont apporté une certaine souplesse pour la recherche scientifique et les finalités statistiques.

Les dispositions relatives aux transferts internationaux (chapitre V) affectent également les systèmes d'IA, en particulier les services d'IA en nuage et les modèles entraînés sur des données provenant de plusieurs juridictions. Les organisations doivent garantir des garanties adéquates pour tout transfert de données à caractère personnel en dehors de l'EEE.

Les autorités de protection des données dans toute l'Europe se montrent de plus en plus actives dans l'application du RGPD à l'encontre des systèmes d'IA. Des actions répressives notables ont visé des entreprises de reconnaissance faciale, des systèmes publicitaires pilotés par l'IA et la notation de crédit automatisée, établissant des précédents qui façonnent la manière dont les organisations doivent encadrer le traitement de données à caractère personnel par l'IA.

Exigences clés

1

Établir une base légale pour le traitement des données à caractère personnel dans les systèmes d'IA (article 6)

2

Mettre en œuvre des garde-fous pour la prise de décision individuelle automatisée (article 22)

3

Fournir des informations utiles sur la logique de l'IA, l'importance et les conséquences (articles 13 à 15)

4

Permettre le droit à une intervention humaine dans les décisions automatisées

5

Réaliser des analyses d'impact relatives à la protection des données pour les traitements d'IA à haut risque (article 35)

6

Appliquer les principes de minimisation des données aux données d'entraînement et opérationnelles de l'IA

7

Garantir la limitation des finalités pour l'entraînement et l'inférence des modèles d'IA

8

Mettre en œuvre la protection des données dès la conception et par défaut dans les systèmes d'IA (article 25)

9

Tenir un registre des activités de traitement faisant intervenir l'IA (article 30)

10

Permettre les droits des personnes concernées : accès, rectification, effacement, portabilité pour les données traitées par l'IA

11

Désigner un délégué à la protection des données si cela est requis pour les activités de traitement par l'IA

12

Garantir des transferts internationaux de données licites pour les services d'IA (chapitre V)

13

Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées (article 32)

14

Signaler les violations de données à caractère personnel impliquant des systèmes d'IA dans un délai de 72 hours (article 33)

Dates clés et calendrier

25 May 2018
Le RGPD entre en application
2018–2023
Les autorités de protection des données publient des orientations sur l'IA et la prise de décision automatisée
2020
Mise à jour des lignes directrices de l'EDPB sur la prise de décision individuelle automatisée et le profilage
2023
L'autorité italienne de protection des données interdit temporairement ChatGPT en raison de préoccupations liées au RGPD
2024
Le groupe de travail de l'EDPB sur ChatGPT publie ses conclusions
2024–2025
Des orientations de l'EDPB sont attendues sur l'articulation entre le RGPD et l'EU AI Act
December 2024
L'EDPB publie un avis sur les modèles d'IA et la protection des données, acceptant l'intérêt légitime comme base légale pour l'entraînement de l'IA sous certaines conditions
November 2025
L'EDPS publie des orientations sur la gestion des risques des systèmes d'intelligence artificielle
February 2026
L'avis conjoint de l'EDPB et de l'EDPS approuve partiellement les modifications du RGPD prévues par le Digital Omnibus pour l'IA, mais s'oppose aux changements apportés à la définition des données à caractère personnel ; l'action coordonnée de l'EDPB pour 2026 cible les obligations de transparence (articles 12 à 14)

Qui est concerné

  • Toute organisation traitant des données à caractère personnel de personnes de l'UE/EEE à l'aide de l'IA
  • Les développeurs d'IA entraînant des modèles sur des données à caractère personnel de personnes de l'UE
  • Les organisations utilisant l'IA pour la prise de décision automatisée concernant des personnes
  • Les fournisseurs de services d'IA en nuage traitant des données à caractère personnel de l'UE
  • Les organisations transférant des données à caractère personnel à l'international à des fins de traitement par l'IA
  • Les sous-traitants fournissant de l'IA en tant que service faisant intervenir des données à caractère personnel

Questions fréquentes

Puis-je entraîner des modèles d'IA sur des données à caractère personnel au titre du RGPD ?

Oui, mais vous avez besoin d'une base légale valable (par exemple, l'intérêt légitime, le consentement ou l'exemption pour la recherche). Vous devez également appliquer la minimisation des données, réaliser des AIPD lorsque cela est requis et garantir la transparence quant à l'utilisation des données à caractère personnel à des fins d'entraînement.

Dois-je expliquer le fonctionnement de mon modèle d'IA au titre du RGPD ?

Pour les décisions automatisées au titre de l'article 22, vous devez fournir des informations utiles sur la logique sous-jacente. Cela ne nécessite pas forcément une explicabilité technique complète, mais les personnes concernées doivent comprendre les principaux facteurs influençant les décisions ainsi que la logique générale du système.

Comment le RGPD s'articule-t-il avec l'EU AI Act ?

L'EU AI Act complète le RGPD sans le remplacer. Les systèmes d'IA traitant des données à caractère personnel doivent se conformer aux deux. L'EU AI Act ajoute des exigences en matière de gestion des risques, d'évaluation de la conformité et de transparence qui vont au-delà de la protection des données. Les AIPD au titre du RGPD et les analyses d'impact sur les droits fondamentaux au titre de l'EU AI Act peuvent se recouper.

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.