Privacy IA et IA Act : Protection Données
🔐 Double Réglementation, Double Risque
RGPD + AI Act = deux règlements qui s'appliquent simultanément. Les sanctions se cumulent : jusqu'à 35M€ AI Act + 20M€ RGPD. La privacy dans l'IA n'est plus optionnelle.
Vous avez un DPO pour le RGPD. Vous préparez l'AI Act. Mais comprenez-vous vraiment comment ces deux réglementations s'articulent pour vos systèmes IA ?
L'AI Act ne remplace pas le RGPD. Il s'y ajoute. Un système IA traitant des données personnelles doit respecter les deux. Privacy by Design, minimisation, droits des personnes, AIPD... tout s'entremêle.
Ce guide détaille l'articulation RGPD / AI Act et comment assurer une conformité complète de vos systèmes IA.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA & Fondateur de Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
📚 Ce que vous allez apprendre
- → L'articulation RGPD / AI Act
- → Privacy by Design dans l'IA
- → Les bases légales pour l'entraînement IA
- → Les droits des personnes (explication, accès)
- → AIPD et systèmes IA
- → Le plan d'action double conformité
Infographie : Articulation RGPD et AI Act pour les systèmes IA
🔗 L'Articulation RGPD / AI Act
Comprenons d'abord comment ces deux réglementations interagissent.
📜 Le Principe de Complémentarité
Ce que dit l'AI Act
L'AI Act précise explicitement qu'il s'applique sans préjudice du RGPD (Considérant 10). Les deux règlements coexistent et se complètent. Un système IA doit respecter BOTH simultanément.
Ce que régule chaque texte :
- 🔵 RGPD — Les données personnelles (collecte, traitement, droits)
- 🟣 AI Act — Les systèmes IA (conception, déploiement, risques)
- ⚪ Intersection — Les systèmes IA traitant des données personnelles
⚖️ Qui Supervise Quoi ?
- 🏛️ CNIL — Supervise la conformité RGPD
- 🏛️ Autorité IA (à créer) — Supervise la conformité AI Act
- 🤝 Coopération — Prévue par l'AI Act pour les cas mixtes
Les entreprises doivent donc gérer deux interlocuteurs potentiels, avec des contrôles coordonnés.
💰 Cumul des Sanctions
Risque Maximum
Les sanctions peuvent se cumuler en cas de violation des deux règlements :
- ⚠️ RGPD : jusqu'à 20M€ ou 4% CA mondial
- ⚠️ AI Act : jusqu'à 35M€ ou 7% CA mondial
- ❌ Total potentiel : 55M€ ou 11% CA mondial
"Le RGPD et l'AI Act forment un cadre cohérent. Les entreprises doivent les aborder ensemble, pas séparément."
— CNIL, Guide IA et Protection des Données, 2024
🏗️ Privacy by Design dans l'IA
Le Privacy by Design est au cœur des deux réglementations.
📋 Article 25 RGPD : Protection dès la Conception
Le RGPD impose de prendre en compte la protection des données dès la conception de tout système. Pour l'IA, cela signifie :
- 🔒 Minimisation native — Ne collecter que le nécessaire
- 🎭 Pseudonymisation — Dès que possible
- ⏰ Limitation conservation — Durées définies
- 🔐 Sécurité intégrée — Chiffrement, contrôle d'accès
📋 Article 10 AI Act : Gouvernance des Données
L'AI Act ajoute des exigences spécifiques pour les données d'entraînement :
- 📊 Pertinence — Données appropriées à l'usage prévu
- 🧪 Qualité — Données suffisamment représentatives
- ⚖️ Biais — Détection et mitigation des biais
- 📝 Documentation — Traçabilité des sources
✅ Implémentation Pratique
| Étape du Cycle IA | Exigence RGPD | Exigence AI Act |
|---|---|---|
| Collecte données | Base légale, information | Pertinence, représentativité |
| Entraînement | Minimisation, pseudonymisation | Qualité, détection biais |
| Déploiement | Droits des personnes | Transparence, supervision |
| Exploitation | Sécurité, limitation durée | Monitoring, logs |
| Retrait | Effacement données | Documentation fin de vie |
⚖️ Bases Légales pour l'Entraînement IA
L'entraînement d'un modèle IA avec des données personnelles nécessite une base légale RGPD.
📜 Les 6 Bases Légales RGPD
- 1️⃣ Consentement — Accord explicite de la personne
- 2️⃣ Contrat — Nécessaire à l'exécution d'un contrat
- 3️⃣ Obligation légale — Imposée par la loi
- 4️⃣ Intérêts vitaux — Protection de la vie
- 5️⃣ Mission publique — Autorités publiques
- 6️⃣ Intérêt légitime — Balance des intérêts
🎯 Quelle Base pour l'IA ?
Base la Plus Utilisée : Intérêt Légitime
L'intérêt légitime est la base la plus utilisée pour l'entraînement IA. Mais elle nécessite une balance des intérêts documentée entre l'intérêt de l'entreprise et les droits des personnes.
Analyse par type d'usage :
| Usage | Base Recommandée | Conditions |
|---|---|---|
| Données clients pour IA service | Contrat | Si IA = partie du service |
| Entraînement interne | Intérêt légitime | Balance documentée |
| Web scraping | ⚠️ Problématique | Souvent illégal sans base |
| Données sensibles | Consentement explicite | Article 9 RGPD |
| Recherche scientifique | Intérêt public | Avec garanties |
Les fournisseurs de solutions IA doivent documenter la base légale de leurs données d'entraînement.
🚫 Le Web Scraping : Attention Danger
Risque Majeur
Le web scraping de données personnelles sans base légale est ILLÉGAL. Les procès contre les LLMs (OpenAI, Meta) se multiplient. Les PME doivent être particulièrement vigilantes sur l'origine de leurs données d'entraînement.
🔐 Votre Privacy IA est-elle Conforme ? (Quiz 3 min)
👤 Droits des Personnes et IA
Les droits RGPD s'appliquent aux systèmes IA, avec des spécificités.
📋 Le Droit à l'Explication
Double Fondement
Article 22 RGPD : Droit de ne pas être soumis à une décision automatisée + explication de la logique.
Article 13 AI Act : Exigences de transparence et explicabilité pour les systèmes haut risque.
Concrètement, les personnes ont droit à :
- 📊 Logique — Comprendre comment la décision est prise
- 📈 Critères — Quels facteurs sont déterminants
- ⚖️ Conséquences — Impact de la décision
- 🔄 Contestation — Possibilité de recours humain
📋 Autres Droits Applicables
- 👁️ Accès — Savoir si on est dans une base IA
- ✏️ Rectification — Corriger des données erronées
- 🗑️ Effacement — "Droit à l'oubli" (limité pour modèles entraînés)
- 🚫 Opposition — Refuser le traitement IA
- 📦 Portabilité — Récupérer ses données
⚠️ Défi de l'Effacement
L'effacement de données d'un modèle déjà entraîné est techniquement complexe. Les techniques de "machine unlearning" émergent mais ne sont pas encore matures. Les déployeurs doivent anticiper ce défi.
📋 AIPD et Systèmes IA
L'Analyse d'Impact relative à la Protection des Données (AIPD) est souvent obligatoire pour les systèmes IA.
🎯 Quand l'AIPD est Obligatoire
L'AIPD est obligatoire si le traitement présente un risque élevé. Pour l'IA, c'est souvent le cas :
- 📊 Profilage — Évaluation automatisée de personnes
- ⚖️ Décisions automatisées — Impacts juridiques ou significatifs
- 🔍 Surveillance systématique — Suivi continu
- ❤️ Données sensibles — Santé, biométrie, opinions
- 📈 Grande échelle — Volume important de personnes
💡 Synergie AIPD / AI Act
La documentation AI Act et l'AIPD se recoupent largement. Une entreprise bien organisée peut mutualiser les efforts : l'AIPD documente les risques privacy, la documentation AI Act les risques système. Les deux alimentent un dossier de conformité unique.
📝 Contenu de l'AIPD pour l'IA
- 1️⃣ Description du traitement et des finalités
- 2️⃣ Évaluation de la nécessité et proportionnalité
- 3️⃣ Analyse des risques pour les personnes
- 4️⃣ Mesures pour atténuer les risques
- 5️⃣ Avis du DPO
📋 Plan d'Action Double Conformité
Voici les étapes pour assurer la conformité RGPD + AI Act de vos systèmes IA.
Cartographier les Traitements IA (Semaine 1-2)
Identifiez tous les systèmes IA traitant des données personnelles. Croisez votre registre RGPD avec votre inventaire IA.
Valider les Bases Légales (Semaine 2-3)
Pour chaque système IA, vérifiez la base légale RGPD. Documentez la balance des intérêts si intérêt légitime.
Réaliser les AIPD (Semaine 3-6)
Conduisez une AIPD pour les systèmes IA à risque élevé. Impliquez le DPO et les métiers concernés.
Implémenter Privacy by Design (Semaine 4-8)
Intégrez les mesures de protection : minimisation, pseudonymisation, sécurité, limitation conservation.
Assurer les Droits des Personnes (Semaine 5-8)
Mettez en place les processus pour répondre aux demandes : explication, accès, rectification, opposition.
Former et Documenter (Semaine 6-10)
Formez les équipes à la double conformité. Créez une documentation unifiée RGPD + AI Act.
💰 Simulateur Budget Privacy IA
❓ Questions Fréquentes - Privacy IA
Les deux règlements sont COMPLÉMENTAIRES et s'appliquent simultanément. Le RGPD régule les données personnelles, l'AI Act régule les systèmes IA. Un système IA traitant des données personnelles doit respecter les deux. L'AI Act ne remplace pas le RGPD.
OUI, doublement. L'Article 25 RGPD impose la protection dès la conception. L'AI Act (Article 10) impose des exigences similaires pour les données d'entraînement. Tout système IA doit intégrer la privacy dès sa conception, pas après.
Les bases légales RGPD s'appliquent : consentement (difficile à grande échelle), intérêt légitime (le plus utilisé, nécessite balance), contrat (si l'IA = le service), ou obligation légale. Le web scraping sans base légale est ILLÉGAL.
SOUVENT OUI. L'AIPD est obligatoire si le traitement présente un risque élevé : profilage, décisions automatisées, données sensibles, surveillance. La plupart des systèmes IA haut risque nécessitent une AIPD.
OUI, via l'Article 22 RGPD (décisions automatisées) et l'Article 13 AI Act (transparence). Les personnes ont le droit de comprendre la logique des décisions automatisées les concernant.
OUI, systématiquement. Le DPO doit être consulté pour tout projet IA traitant des données personnelles. Il valide la base légale, supervise l'AIPD, et assure la conformité RGPD. L'AI Act recommande également sa participation.
OUI, double obligation. RGPD : information sur la collecte (Articles 13-14). AI Act : information que l'utilisateur interagit avec une IA (Article 50). Les deux informations doivent être fournies clairement.
Les sanctions se CUMULENT. RGPD : jusqu'à 20M€ ou 4% CA. AI Act : jusqu'à 35M€ ou 7% CA. Une violation des deux peut entraîner des sanctions combinées atteignant 55M€ ou 11% du CA.
"La protection des données personnelles et la régulation de l'IA sont deux faces d'une même médaille : la confiance numérique."
— Marie-Laure Denis, Présidente de la CNIL
✅ Conclusion : 3 Priorités Privacy IA
La double conformité RGPD + AI Act est un défi mais aussi une opportunité de créer une IA de confiance.
🔐 Vos 3 Priorités
- 1️⃣ Impliquez le DPO : Dès la conception de tout projet IA, le DPO doit être à la table
- 2️⃣ Documentez les bases légales : Chaque système IA doit avoir sa base légale RGPD documentée
- 3️⃣ Mutualisez les efforts : AIPD et documentation AI Act peuvent partager beaucoup d'éléments
Les importateurs et distributeurs de solutions IA doivent également s'assurer de la conformité privacy des systèmes qu'ils commercialisent.
🔐 Formation AI Act : Module Privacy
Notre formation inclut un module complet sur l'articulation RGPD / AI Act. Idéal pour les DPO, responsables juridiques et équipes conformité.
Accéder à la Formation Certifiante → 500€✅ Finançable OPCO • ✅ Certificat nominatif • ✅ Module Privacy inclus
L'échéance approche. Assurez votre double conformité RGPD + AI Act !
📚 Sources Officielles
- Règlement (UE) 2024/1689 - AI Act • Journal officiel de l'UE
- Règlement (UE) 2016/679 - RGPD • Journal officiel de l'UE
- CNIL - Dossier Intelligence Artificielle • Autorité française
- EDPB - Comité Européen Protection Données • Lignes directrices