Les projets d'IA déclenchent l'article 35 du RGPD plus souvent que presque tout autre traitement : entraînement de modèles sur des données personnelles, décisions automatisées, surveillance systématique, RAG sur des bases de données personnelles. Ce modèle vous fournit une analyse d'impact relative à la protection des données (AIPD) complète et spécifique à l'IA : une checklist de qualification fondée sur les critères du CEPD, une description du traitement structurée autour de l'entraînement et de l'inférence, un registre des risques pré-rempli et les enregistrements de consultation et de validation qu'une autorité de contrôle attend.
Une AIPD est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les personnes. Trois cas prévus à l'article 35(3) du RGPD l'exigent toujours, et selon les lignes directrices du CEPD, une AIPD est requise dès que deux des neuf critères de risque sont remplis. Voici les schémas d'IA qui franchissent le plus souvent ce seuil.
Règle pratique issue des lignes directrices du CEPD : deux critères ou plus parmi les neuf imposent une AIPD, et un seul peut suffire. L'ICO britannique considère l'IA comme une technologie innovante : l'IA associée à tout autre critère impose une DPIA selon sa liste. En cas de doute, réalisez l'AIPD.
Sept parties vous mènent de la qualification à la validation, avec des tableaux pré-structurés pour les traitements d'IA.
Les cas de l'article 35(3), les neuf critères du CEPD avec leur lecture spécifique à l'IA, et une décision de qualification documentée.
Finalité, base légale, catégories et sources de données, flux d'entraînement et d'inférence, fournisseur de modèle et lieux d'hébergement, conservation et sous-traitants ultérieurs.
Dix questions étayées couvrant la minimisation, les alternatives à l'IA, la transparence, les droits des personnes et les garanties de l'article 22.
Un registre pré-rempli de dix risques spécifiques à l'IA pour les personnes concernées, cotés en probabilité et en gravité : mémorisation, biais, inférences sensibles, surexposition par RAG, etc.
Un tableau de mesures rattaché à chaque risque, avec responsables, statut et cotation du risque résiduel, plus le déclencheur de consultation de l'article 36.
Enregistrement de la consultation du DPO, tableau de validation, checklist d'intégration des conclusions et calendrier de revue avec des déclencheurs propres à l'IA comme les changements de modèle.
Les deux évaluations se recoupent mais répondent à des questions différentes. La plupart des programmes de gouvernance de l'IA ont besoin des deux : l'évaluation d'impact de l'IA pour décider si et comment déployer de manière responsable, et l'AIPD pour satisfaire aux obligations du RGPD dès que des données personnelles sont en jeu.
Ce modèle
Plus large, volontaire ou imposée par des politiques internes
On ne peut pas évaluer ce qu'on ne voit pas. Aona découvre chaque outil d'IA utilisé dans votre organisation, montre quelles données personnelles y transitent et vous fournit l'inventaire prêt pour l'audit dont vos AIPD dépendent.