Bases Légales IA : RGPD Traitement
⚖️ Pas de Base Légale = Traitement Illicite
Votre IA traite des données personnelles. Sur quelle base légale ? Si vous ne savez pas répondre, votre traitement est potentiellement illicite. Sanction : jusqu’à 20M€ ou 4% du CA mondial.
Avant même de parler d’AI Act, toute IA qui traite des données personnelles doit respecter le RGPD. Et le RGPD impose une règle fondamentale : chaque traitement doit s’appuyer sur une base légale valide.
Le problème ? Beaucoup d’entreprises utilisent l’IA sans avoir jamais identifié leur base légale. Elles s’exposent à des sanctions majeures et à l’invalidation de tous leurs traitements.
Ce guide vous explique les 6 bases légales du RGPD, comment les appliquer à l’IA, et comment l’AI Act renforce ces exigences.
Par Loïc Gros-Flandre
Directeur de Modernee – Agence IA & Fondateur de Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
📚 Ce que vous allez apprendre
- → Les 6 bases légales du RGPD expliquées
- → Comment les appliquer à l’IA
- → Le test de mise en balance pour l’intérêt légitime
- → Quand le consentement est obligatoire
- → L’articulation RGPD + AI Act
- → La documentation requise
- → Les erreurs à éviter absolument
Infographie : Les 6 bases légales du RGPD applicables à l’IA
⚖️ Les 6 Bases Légales du RGPD Expliquées
L’Article 6 du RGPD définit 6 bases légales pour traiter des données personnelles. Une seule suffit, mais vous devez la choisir et la documenter avant de commencer le traitement.
Photo par Campaign Creators sur Unsplash
1️⃣ Le Consentement (Article 6.1.a)
Le consentement est la base la plus connue, mais pas toujours la plus adaptée à l’IA.
- ✅ Libre — Sans pression ni conditionnement
- ✅ Éclairé — Information claire sur le traitement
- ✅ Spécifique — Pour chaque finalité distincte
- ✅ Univoque — Acte positif clair (pas de case pré-cochée)
- ✅ Retirable — À tout moment, aussi facilement qu’il a été donné
⚠️ Limite pour l’IA
Le consentement est rarement la meilleure option pour l’IA car : il peut être retiré à tout moment, il crée un déséquilibre dans la relation (employeur/employé), et il est difficile à obtenir pour l’entraînement sur données existantes.
2️⃣ L’Exécution d’un Contrat (Article 6.1.b)
Si le traitement IA est nécessaire pour exécuter un contrat avec la personne, cette base s’applique.
Exemples pour l’IA :
- 📱 Recommandations personnalisées dans une app payante
- 🏦 Scoring crédit pour une demande de prêt
- 🛒 IA de recherche dans un service e-commerce
3️⃣ L’Obligation Légale (Article 6.1.c)
Quand une loi impose le traitement au responsable.
Exemples pour l’IA :
- 🔍 Détection de fraude bancaire (obligation LCB-FT)
- 📊 Reporting réglementaire automatisé
- 🔐 Sécurité des systèmes d’information
4️⃣ La Sauvegarde des Intérêts Vitaux (Article 6.1.d)
Quand la vie de la personne est en danger. Usage exceptionnel.
Exemples pour l’IA :
- 🏥 IA de diagnostic en urgence médicale
- 🚨 Détection d’accidents en temps réel
5️⃣ La Mission d’Intérêt Public (Article 6.1.e)
Pour les administrations et organismes publics.
Exemples pour l’IA :
- 🏛️ IA dans les services publics
- 🔬 Recherche en santé publique
- 📈 Statistiques nationales
6️⃣ L’Intérêt Légitime (Article 6.1.f)
La base la plus flexible, mais qui nécessite un test de mise en balance documenté.
« L’intérêt légitime est souvent la base la plus adaptée pour l’IA en entreprise, mais elle exige une analyse rigoureuse et documentée. »
— DPO, groupe CAC 40
⚡ L’Intérêt Légitime : Le Test de Mise en Balance
L’intérêt légitime est la base la plus utilisée pour l’IA en entreprise. Mais elle impose un test en 3 étapes que vous devez documenter.
Photo par Scott Graham sur Unsplash
📋 Les 3 Étapes du Test
Identifier l’Intérêt Légitime
Quel intérêt poursuivez-vous ? Il doit être réel, licite, et clairement formulé. Exemples : amélioration du service client, sécurité du système, optimisation des processus.
Vérifier la Nécessité
Le traitement IA est-il nécessaire pour atteindre cet intérêt ? Existe-t-il une alternative moins intrusive ? Si oui, vous devez la privilégier.
Mise en Balance
Vos intérêts l’emportent-ils sur les droits et libertés des personnes ? Tenez compte : de la nature des données, des attentes raisonnables, de l’impact potentiel, des garanties mises en place.
📊 Grille d’Évaluation Intérêt Légitime
| Critère | Favorable (+) | Défavorable (-) |
|---|---|---|
| Données traitées | Non sensibles, publiques | Sensibles, privées |
| Attentes personnes | Traitement attendu/prévisible | Surprise, pas d’attente |
| Impact | Faible, réversible | Fort, décisions automatisées |
| Garanties | Anonymisation, opt-out facile | Pas de garanties |
| Personnes vulnérables | Non concernées | Enfants, patients |
💡 Conseil Pratique
Documentez votre test de mise en balance dans un LIA (Legitimate Interest Assessment). Ce document sera votre preuve en cas de contrôle CNIL. Conservez-le avec votre registre des traitements.
✅ Quand le Consentement Est Obligatoire pour l’IA
Le consentement n’est pas toujours la bonne solution, mais il est obligatoire dans certains cas.
🔴 Consentement Obligatoire
- ❤️ Données sensibles — Santé, biométrie, opinions politiques, orientation sexuelle
- 🎯 Profilage avec effets juridiques — Scoring affectant l’accès à un service
- 🌍 Transfert hors UE — Sans garanties adequates
- 📧 Prospection commerciale — B2C par email/SMS
- 🍪 Cookies non essentiels — Analytics, publicité
🟢 Consentement Non Recommandé
- 👔 Relation employeur/employé — Déséquilibre de pouvoir
- 🏛️ Administration/administré — Idem
- 📊 Entraînement sur données existantes — Impossible rétroactivement
- 🔄 Service essentiel — Le refus empêcherait l’usage
⚠️ Erreur Fréquente
Ne choisissez pas le consentement par défaut « parce que c’est plus sûr ». Un consentement non valide (pas vraiment libre, pas vraiment éclairé) est pire que pas de consentement : il invalide tout le traitement.
🎯 Cas Pratiques : Quelle Base Légale Choisir ?
Voici des exemples concrets pour différents cas d’usage IA.
💬 Chatbot Service Client
| Contexte | Base Recommandée | Justification |
|---|---|---|
| Chatbot inclus dans un service payant | ✅ Contrat | Nécessaire à l’exécution |
| Chatbot sur site gratuit | ✅ Intérêt légitime | Amélioration service client |
| Chatbot collectant des données santé | ✅ Consentement | Données sensibles |
👥 IA Ressources Humaines
| Contexte | Base Recommandée | Justification |
|---|---|---|
| Tri automatique de CV | ✅ Intérêt légitime | Optimisation recrutement + intervention humaine |
| Analyse émotions en entretien | ⚠️ Consentement explicite | Données biométriques sensibles |
| Formation personnalisée employés | ✅ Contrat (de travail) | Développement compétences contractuel |
🏦 IA Scoring Crédit
| Contexte | Base Recommandée | Justification |
|---|---|---|
| Évaluation demande de prêt | ✅ Contrat + Obligation légale | Mesures précontractuelles + LCB-FT |
| Décision 100% automatisée | ✅ Consentement | Article 22 RGPD (profilage) |
⚖️ Simulateur : Quelle Base Légale pour votre IA ?
🔗 Articulation RGPD + AI Act
L’AI Act ne remplace pas le RGPD. Il le complète. Vous devez respecter les deux.
Photo par Carlos Muza sur Unsplash
📊 Comparatif RGPD vs AI Act
| Aspect | RGPD | AI Act |
|---|---|---|
| Objet | Données personnelles | Systèmes IA |
| Base légale | Obligatoire (6 options) | N/A (classification risque) |
| Transparence | Information sur le traitement | Information sur l’IA + explicabilité |
| Droits personnes | Accès, rectification, effacement | Droit à l’explication, contestation |
| Sanctions max | 20M€ ou 4% CA | 35M€ ou 7% CA |
🔑 Point Clé
L’AI Act renforce les exigences de transparence et d’explicabilité du RGPD. Si votre IA utilise des données personnelles, vous devez avoir une base légale RGPD ET respecter les exigences AI Act selon le niveau de risque.
⚙️ Exemple Concret : IA RH
Un système de tri automatique de CV :
- 📋 RGPD — Base légale : intérêt légitime (avec LIA documenté)
- ⚖️ AI Act — Classification : haut risque (Annexe III)
- 📝 RGPD — Information candidats sur le traitement
- 🔍 AI Act — Documentation technique, explicabilité
- 👤 RGPD — Droit d’accès aux données
- 🗣️ AI Act — Droit à l’explication de la décision
- 👁️ Les deux — Supervision humaine obligatoire
📋 Documentation Obligatoire
Votre base légale doit être documentée. Voici ce que vous devez formaliser.
📄 Documents Requis
| Document | Contenu | Conservation |
|---|---|---|
| Registre des traitements | Base légale + finalité + données | Durée du traitement + 3 ans |
| LIA (si intérêt légitime) | Test de mise en balance complet | Durée du traitement + 5 ans |
| Preuves de consentement | Qui, quand, quoi, comment | Durée du traitement + 5 ans |
| AIPD (si haut risque) | Analyse d’impact complète | 10 ans (AI Act) |
| Mentions d’information | Base légale communiquée aux personnes | Versions historiques |
« Un traitement sans documentation de la base légale est un traitement vulnérable. En cas de contrôle, vous n’avez rien à montrer. »
— DPO, entreprise du CAC 40
🚫 Les 7 Erreurs Fatales sur les Bases Légales
❌ Erreur 1 : Choisir le consentement par défaut
Le consentement n’est pas « plus sûr ». S’il n’est pas vraiment libre (relation de pouvoir), il est invalide et fragilise tout le traitement.
❌ Erreur 2 : Ne pas documenter l’intérêt légitime
Sans test de mise en balance écrit, votre intérêt légitime est une affirmation sans preuve. Non recevable en cas de contrôle.
❌ Erreur 3 : Utiliser plusieurs bases « au cas où »
Choisir plusieurs bases légales « en backup » est interdit. Vous devez identifier LA base légale applicable et vous y tenir.
❌ Erreur 4 : Changer de base légale en cours de route
Passer du consentement à l’intérêt légitime quand les gens se désabonnent ? C’est du détournement de finalité.
❌ Erreur 5 : Oublier d’informer sur la base légale
Les personnes doivent être informées de la base légale utilisée. C’est obligatoire dans vos mentions RGPD.
❌ Erreur 6 : Ignorer les données sensibles
Données de santé, biométrie, opinions = consentement explicite obligatoire. Pas d’exception pour l’IA.
❌ Erreur 7 : Ne pas réviser périodiquement
Votre base légale était valide il y a 3 ans. L’est-elle encore avec vos nouveaux usages IA ? Révisez annuellement.
❓ Questions Fréquentes – Bases Légales IA
Les 6 bases légales (Article 6 RGPD) : 1) Consentement, 2) Contrat, 3) Obligation légale, 4) Intérêts vitaux, 5) Mission publique, 6) Intérêt légitime. Chaque traitement IA doit s’appuyer sur une seule base, documentée avant le démarrage.
OUI, c’est souvent la base la plus adaptée. Mais elle nécessite un test de mise en balance en 3 étapes : identifier l’intérêt, vérifier la nécessité, peser avec les droits des personnes. Ce test doit être documenté dans un LIA (Legitimate Interest Assessment).
NON. Le consentement est obligatoire pour : données sensibles, profilage avec effets juridiques, transfert hors UE sans garanties. Sinon, d’autres bases peuvent être utilisées. Attention : le consentement doit être libre, éclairé, spécifique et univoque.
L’AI Act complète le RGPD, il ne le remplace pas. RGPD = traitement des données personnelles. AI Act = systèmes IA. Si votre IA utilise des données personnelles, vous devez respecter les DEUX : base légale RGPD + exigences AI Act selon le niveau de risque.
Dépend du contexte. Contrat si le chatbot fait partie d’un service contractuel. Intérêt légitime si amélioration du service client (avec test de mise en balance). Consentement si collecte de données sensibles.
Documents requis : registre des traitements (base légale + finalité), LIA si intérêt légitime, preuves de consentement si applicable, AIPD si haut risque, mentions d’information mises à jour. Conservation : 10 ans minimum pour l’AI Act.
NON, sauf cas exceptionnels. Changer de base légale (ex: du consentement à l’intérêt légitime) remet en cause la légitimité initiale. Vous devez justifier pourquoi et documenter. Recommandation : choisir la bonne base dès le début.
Sanctions RGPD : jusqu’à 20M€ ou 4% CA mondial. Sanctions AI Act : jusqu’à 35M€ ou 7% CA mondial. Sans base légale valide, le traitement est illicite. Toutes les données doivent être supprimées.
✅ Conclusion : La Base Légale, Fondation de votre Conformité
La base légale est le premier pilier de votre conformité IA. Sans elle, tout le reste s’effondre. Choisissez-la avec soin, documentez-la rigoureusement, et révisez-la régulièrement.
🎯 Les 3 Points à Retenir
- ⚖️ 6 bases légales — Une seule par traitement, documentée
- ⚡ Intérêt légitime — Souvent adapté à l’IA, mais test obligatoire
- 🔗 RGPD + AI Act — Les deux s’appliquent simultanément
Identifiez et documentez vos bases légales avant l’entrée en vigueur de l’AI Act.
🎓 Maîtrisez le RGPD et l’AI Act
La formation Article 4 inclut les bases légales, l’articulation RGPD/AI Act, et la documentation requise.
Formation Certifiante → 500€✅ Certification Article 4 • ✅ RGPD inclus • ✅ Finançable OPCO
📚 Sources et Références
- RGPD — Règlement (UE) 2016/679 • Article 6 – Licéité
- AI Act — Règlement (UE) 2024/1689 • Articulation avec RGPD
- CNIL — Guide Bases Légales • Autorité française
- CNIL — Recommandations IA • Spécifique à l’IA