Les systèmes d’intelligence artificielle doivent-ils se conformer au RGPD ?

min de lecturemis à jour le

L’AI Act (ou RIA en Français) est entré en vigueur dans l’Union européenne le 1ᵉʳ août 2024 et sera mis en application progressivement sur une période de deux ans, s’étalant entre 2025 et 2027. Ce nouveau règlement vise à encadrer l’utilisation de l’intelligence artificielle (IA) dans l‘UE afin de protéger les libertés fondamentales des individus (notamment en interdisant le scoring des citoyens) et à classer les systèmes d’IA selon leur niveau de risque, en définissant des conditions d’utilisation pour chaque catégorie. 

Les systèmes d’IA ont besoin de millions de données pour s’entraîner et produire des résultats fiables, et peuvent être amenés, selon les usages prévus pour l’IA de se nourrir de données personnelles. Cette situation amène l’AI Act et le RGPD à s'appliquer conjointement. Les entreprises qui développent ou utilisent de l’IA doivent donc désormais se structurer pour assurer leur conformité avec ces deux réglementations 

Les systèmes d’intelligence artificielle doivent-ils se conformer au RGPD ?
Les systèmes d’intelligence artificielle doivent-ils se conformer au RGPD ?
Sommaire

RIA (AI Act) ou Règlement européen sur la Protection des Données Personnelles (RGPD) : quel cadre réglementaire appliquer à mon système d’IA ?

  • Le RGPD va s’appliquer dès lors que des données personnelles sont traitées par une organisation, que ce soit à des fins de communication, commerciales ou analytiques.   
  • L’AI Act s’appliquera lorsqu’un système d’intelligence artificielle (SIA) est mis en œuvre,  

Ce règlement définit le système d’IA comme « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ».

  • Les deux réglementations s’appliquent simultanément et sont complémentaires lorsqu’un système d’IA exploite des données personnelles.

La suite de cet article détaille les bonnes pratiques à adopter pour garantir la conformité avec ces deux réglementations d’un SIA utilisant des données personnelles.

Phase 1 : l’instauration d’une gouvernance dédiée

En amont du développement d’un SIA, l'organisation qui porte le projet doit définir un cadre de gouvernance structuré et mettre en place un comité de pilotage pour assurer sa conformité avec le RGPD et le RIA tout au long du cycle de vie du projet. Ce comité aura pour mission d’évaluer les besoins liés à la création d’un SIA, de cartographier le traitement des données, d’établir un plan d’action et de contrôler la bonne mise en œuvre des recommandations juridiques.

Phase 2 : déterminer les rôles et responsabilités de chaque partie prenante

Le développement et l’exploitation d’un SIA peuvent amener différentes typologies d’acteurs à intervenir sur le projet. Des développeurs, des éditeurs, des utilisateurs finaux, des fournisseurs de données d’entraînement… : il conviendra de déterminer pour chaque étape du cycle de vie du projet le rôle et la responsabilité de chacun dans le traitement des données. Une analyse détaillée du cycle de vie du SIA sera donc nécessaire pour attribuer à chaque intervenant le rôle de responsable de traitement ou celui de sous-traitant sur chacune des étapes du projet : développement, entraînement, déploiement et exploitation.

Prenions un exemple concret. Si un SIA est élaboré selon un cahier des charges défini par un client pour un usage interne, ce dernier sera vraisemblablement le responsable de traitement, tandis que l’équipe chargée de développer le SIA agira en qualité de sous-traitant. Dans le cas contraire, où la conception et les fonctionnalités d’un SIA sont développées par une entreprise en vue d’être commercialisé « on shelf », l’entreprise sera considérée comme responsable du traitement des données sur les phases de conception et d’entraînement.

Phase 3 : la détermination de la finalité du traitement au titre du RGPD

L’article 5 du RGPD fixe les principes clés relatifs au traitement des données personnelles. Toute utilisation de données personnelles doit en effet répondre aux critères de licéité, de limitation à ce qui est strictement nécessaire, de proportionnalité et de transparence, permettant aux individus dont les données sont utilisées de modifier de retirer leur consentement. L’usage des données doit être encadré par une finalité clairement définie. Celle-ci peut être identique tout au long du cycle de vie du SIA ou évoluer au cours de son développement et exploitation.

Selon la Commission nationale de l’informatique et des libertés (CNIL), lorsque le développement d’un SIA est spécifiquement réalisé pour un client, les finalités de traitement sont généralement similaires en phase initiale et d’utilisation. À l’inverse, si un éditeur réemploie des bases de données existantes pour entraîner un modèle avant sa mise à disposition d’un client, la finalité peut différer entre ces deux étapes.

Phase 4 : le choix de la base légale du traitement

Une fois la finalité du système d’IA précisée, il faut également choisir une des bases légales telle que définies dans le RGPD pour le traitement des données personnelles. Le RGPD en prévoit quatre principales : le consentement, le contrat, l’intérêt légitime, l’obligation légale. Dans le cas du développement d’un SIA le choix de l’intérêt légitime peut s’avérer un choix judicieux sous réserve d’en respecter les principes imposés par le RGPD et le G29 : limiter les données utilisées au strict nécessaire, faciliter l’exercice des droits des personnes concernées ou s’assurer que le SIA ne présente pas de biais discriminants.

L’exploitation de bases de données tierces requiert une vigilance accrue, notamment pour vérifier l’adéquation entre la finalité initiale de la collecte et l’usage ultérieur envisagé. Si cette compatibilité ne peut être démontrée, l’utilisation des données devient problématique. De façon générale, il est fortement recommandé lorsque des bases de données tierces sont utilisées de s’assurer au préalable que les données collectées ne contiennent pas d’informations sensibles et ont été constituées dans le respect du RGPD.

Phase 5 : Informer les individus et faciliter l’exercice de leurs droits

La transparence est un principe fondamental du RGPD. Les entreprises doivent donc mettre en place une véritable stratégie pour être en mesure de fournir aux personnes concernées des informations claires et accessibles sur le traitement de leurs données personnelles par les systèmes d’IA, et cela à chaque étape du traitement de ces données.

Par ailleurs, afin d’être conformes au RGPD de ne pas encourir de sanction, les systèmes d’IA doivent également intégrer, dès leur conception, des fonctionnalités permettant aux utilisateurs d’exercer leurs droits d’accès, de rectification ou de suppression des données.

Phase 6 : l’application des principes de minimisation et d’exactitude des données

Pour être performants, les systèmes d’IA ont besoin traiter d’importants volumes de données, ce qui peut paraître contradictoire avec l’impératif de minimisation requis par le RGPD. Pour autant, dès lors que le système d’IA collecte et traite des données personnelles, il doit s’assurer que seules les informations strictement nécessaires sont collectées et exploitées. Par ailleurs le SIA doit pouvoir apporter des garanties sur deux autres principes : celui de l’exactitude des données et celui de leur fiabilité, afin d’éviter les biais.

À cet effet, la CNIL suggère de mettre en place de bonnes pratiques, telles que :

  • Mettre en œuvre des mécanismes de « pseudonymisation », d’agrégation ou de génération de données synthétiques, 
  • S’assurer que les données sont effacées lorsqu’elles ne sont plus utiles,
  • Vérifier en continu que les données sont exactes à chaque étape du cycle de vie du SIA
  • La mise en place conjointe de systèmes d’alertes automatiques et d’une supervision humaine pour évaluer la source des données et leur exactitude 

Phase 7 : la sécurisation des données dans les SIA

La protection des données un point important du RGPD. Le non-respect des directives liées à la sécurité des données et à leur déclaration en cas de violation peut être sévèrement sanctionné.

La protection des données passe par la mise en œuvre de mesures techniques et organisationnelles adaptées, parmi lesquelles figurent :

  • Le chiffrement des données,
  • La gestion stricte des accès,
  • La réalisation d’audits de sécurité réguliers.

En cas de transferts de données en dehors de l’Espace économique européen, un encadrement contractuel est indispensable afin de garantir un niveau de protection équivalent à celui prévu par le RGPD.

Lorsqu’un SIA présente des risques élevés, une analyse d’impact sur la protection des données (AIPD) devra être menée avant son déploiement.

Instaurer une culture de la conformité et documenter les actions menées

S’assurer de la conformité de son système d’IA aux RIA et au RGPD ne doit pas être la responsabilité d’un petit nombre mais bien une démarche collective soutenue par toutes les parties prenantes impliquées dans l’élaboration de ce SIA. Ainsi il est important que chaque acteur s’oblige à bien documenter les étapes du cycle de vie de l’IA, en y faisant figurer le type de données utilisées, les rôles et devoirs de chacun. Il est aussi recommandé de proposer des sessions de sensibilisation aux enjeux et pratiques du RIA et RGPD à chaque personne impliquée dans la collecte des données ou le développement sur SIA.

Clause de non-responsabilité

Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d'information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.

L'utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Vaultinum. La demande d'autorisation doit préciser le but et l'étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu'un lien vers ce site Web.

Arbusa-Audrey
Audrey ARBUSAAvocate associée du cabinet TGS FRANCE AVOCATS, Audrey ARBUSA a développé une expertise spécifique en matière de contrats informatiques, d’e-commerce et de protection des données personnelles et exerce notamment la fonction de DPO externalisé.

Recommandés pour vous