Peut-on utiliser des données sensibles pour entraîner l'IA ?

Oui, sous conditions strictes. L'Article 9 du RGPD interdit en principe le traitement des données sensibles, sauf exceptions : consentement explicite, nécessité pour la santé publique, recherche scientifique. L'IA Act ajoute des exigences spécifiques pour la détection des biais.

Comment documenter la base légale pour l'IA Act ?

Le dossier technique IA Act doit inclure : base légale choisie, justification détaillée, balance des intérêts (si intérêt légitime), preuves de consentement (si applicable), analyse d'impact (si haut risque), mesures de garantie des droits des personnes.

consentement - formation-ia-act

⚖️

Double réglementation : RGPD + IA Act

73% des entreprises confondent les obligations RGPD et IA Act. Votre système IA doit respecter les DEUX. Une base légale RGPD valide ne suffit pas pour la conformité IA Act.

Votre IA utilise des données personnelles ? Vous devez avoir une base légale valide. Consentement, intérêt légitime, contrat... Laquelle choisir ?

L'erreur courante : penser que le consentement est obligatoire partout. Faux. Les 6 bases légales du RGPD s'appliquent aux traitements IA. Mais le choix dépend du contexte.

Ce guide clarifie l'articulation entre RGPD et IA Act pour vos bases légales.

6 Bases légales RGPD

20M€ Sanction max RGPD

227 jours avant l'obligation

Par Loïc Gros-Flandre

Directeur de Modernee - Agence IA et Fondateur de Soignant Voice. Expert en conformité IA et protection des données.

🎯 Spécialiste AI Act • 🔒 Expert RGPD

📚

                    Ce que vous allez apprendre
                    → Les 6 bases légales RGPD appliquées à l'IA
→ Quand utiliser le consentement vs l'intérêt légitime
→ 3 cas pratiques : scoring, profilage, décision automatisée
→ Articulation RGPD et IA Act
→ Guide en 7 étapes pour choisir et documenter

                

Infographie : Les 6 bases légales RGPD applicables aux traitements IA

⚖️ Les 6 Bases Légales du RGPD pour l'IA

L'Article 6 du RGPD définit les 6 bases légales pour tout traitement de données personnelles. Ces bases s'appliquent aux systèmes IA.

✅ Base 1 : Le Consentement

La personne a donné son accord explicite pour le traitement.

📋 Libre : Pas de pression, pas de conséquence négative si refus
🎯 Spécifique : Pour une finalité précise, pas un consentement global
💡 Éclairé : Information claire sur ce qui sera fait
✍️ Univoque : Action positive claire (pas de cases pré-cochées)

Pour l'IA : Expliquer que l'IA est utilisée, sa logique, et les conséquences potentielles.

📝 Base 2 : Le Contrat

Le traitement est nécessaire à l'exécution d'un contrat avec la personne.

Exemple : Un système IA de recommandation de produits pour personnaliser l'expérience client dans le cadre d'un abonnement.

⚖️ Base 3 : L'Obligation Légale

Le traitement est imposé par une loi ou un règlement.

Exemple : Systèmes IA de détection de fraude imposés par la réglementation anti-blanchiment.

🆘 Base 4 : Les Intérêts Vitaux

Le traitement est nécessaire pour protéger la vie de la personne ou d'un tiers.

Usage rare pour l'IA, mais applicable aux systèmes médicaux d'urgence.

🏛️ Base 5 : La Mission de Service Public

Le traitement est nécessaire à l'exécution d'une mission d'intérêt public.

Applicable aux administrations utilisant l'IA pour leurs missions.

⚖️ Base 6 : L'Intérêt Légitime

Le responsable de traitement a un intérêt légitime qui ne prévaut pas sur les droits des personnes.

⚠️

Balance des intérêts obligatoire

L'intérêt légitime exige une balance des intérêts documentée. Sans ce document, la base légale est invalide.

Pour comprendre les obligations IA Act des entreprises, cette base légale est souvent la plus complexe.

"Le choix de la base légale n'est pas une question administrative. C'est un choix stratégique qui impacte vos droits et obligations."
— Me Anne-Sophie Parisot, Avocate spécialisée RGPD

🏢 3 Cas Pratiques de Base Légale IA

💳 Cas 1 : Scoring Crédit

Une banque utilise un système IA pour évaluer les demandes de crédit.

💳

Base légale recommandée : CONTRAT

Le scoring est nécessaire pour évaluer la capacité à rembourser dans le cadre de la demande de crédit.

Pourquoi pas le consentement ?

❌ Le consentement n'est pas libre : refuser = pas de crédit
✅ Le contrat est plus adapté : c'est nécessaire pour évaluer la demande

Attention : L'Article 22 RGPD s'applique (décision automatisée). Garanties obligatoires : intervention humaine possible, droit de contester.

🎯 Cas 2 : Profilage Marketing

Un e-commerce utilise l'IA pour personnaliser les recommandations produits.

🎯

Bases légales possibles : CONSENTEMENT ou INTÉRÊT LÉGITIME

Le choix dépend du niveau d'intrusion dans la vie privée.

Quand utiliser le consentement :

✅ Profilage intensif basé sur l'historique complet
✅ Croisement avec données tierces
✅ Publicité ciblée très personnalisée

Quand l'intérêt légitime peut suffire :

✅ Recommandations basiques sur les derniers achats
✅ Personnalisation légère de l'expérience

Les fournisseurs de systèmes IA doivent documenter les bases légales supportées.

👥 Cas 3 : Décision RH Automatisée

Un système IA présélectionne les CV et évalue les candidats.

👥

Cas complexe : Décision produisant des effets juridiques

L'Article 22 RGPD s'applique. Bases autorisées limitées + garanties renforcées.

Bases autorisées pour l'Article 22 :

✅ Consentement explicite du candidat
✅ Nécessité contractuelle (rare en recrutement)
⚖️ Autorisation par le droit (Code du travail)

Garanties obligatoires :

🔄 Droit d'obtenir une intervention humaine
💬 Droit d'exprimer son point de vue
⚔️ Droit de contester la décision

Cas d'usage	Base légale recommandée	Article 22 ?
Scoring crédit	Contrat	✅ Oui
Recommandations e-commerce	Intérêt légitime / Consentement	❌ Non
Présélection CV automatique	Consentement explicite	✅ Oui
Chatbot service client	Contrat	❌ Non
Détection de fraude	Obligation légale / Intérêt légitime	⚠️ Selon impact

🎯 Vos bases légales IA sont-elles conformes ? (Quiz 5 min)

📋 Guide en 7 Étapes : Choisir et Documenter

Voici le processus pour choisir et documenter vos bases légales IA.

Cartographier les Traitements IA (2 semaines)

Identifiez tous les traitements de données personnelles effectués par vos systèmes IA. Incluez données d'entraînement, inférence, et logs.

Analyser la Finalité de Chaque Traitement (1 semaine)

Déterminez l'objectif précis : décision automatisée, profilage, personnalisation, détection. La finalité guide le choix de la base légale.

Évaluer les Bases Légales Possibles (2 semaines)

Pour chaque traitement, identifiez les bases légales applicables. Éliminez celles qui ne fonctionnent pas dans votre contexte.

Documenter le Choix de Base Légale (2 semaines)

Justifiez par écrit pourquoi cette base légale est appropriée. Pour l'intérêt légitime, réalisez la balance des intérêts complète.

Mettre en Place les Mécanismes Requis (4 semaines)

Implémentez : recueil du consentement, gestion des retraits, droits des personnes, intervention humaine si Article 22.

Informer les Personnes Concernées (2 semaines)

Mettez à jour les mentions d'information et politiques de confidentialité. Expliquez clairement les traitements IA.

Auditer et Maintenir la Conformité (Continu)

Vérifiez régulièrement que les bases légales restent valides. Un changement de finalité peut invalider la base légale.

Pour le déploiement de systèmes IA, la base légale doit être définie AVANT la mise en production.

"Une base légale choisie après le traitement est une base légale invalide. La CNIL est très stricte sur ce point."
— Thomas Bernard, DPO certifié, ex-CNIL

💰 Estimateur Budget Mise en Conformité Base Légale

Nombre de traitements IA à analyser

Décisions automatisées (Article 22) ?

Intérêt légitime utilisé ?

❓ Questions Fréquentes sur les Bases Légales IA

L'IA Act modifie-t-il les bases légales du RGPD ?

Non. L'IA Act ne modifie pas les bases légales. Les deux réglementations s'appliquent en parallèle.

Vous devez avoir une base légale RGPD valide ET respecter les exigences IA Act.

Le consentement est-il obligatoire pour utiliser l'IA ?

Non. Les 6 bases légales du RGPD s'appliquent : consentement, contrat, obligation légale, intérêts vitaux, mission publique, intérêt légitime.

Le choix dépend du contexte.

L'intérêt légitime est-il valable pour l'IA ?

Oui, mais une balance des intérêts documentée est obligatoire.

Pour les systèmes haut risque, cette balance est renforcée.

Comment recueillir le consentement pour un système IA ?

Expliquer clairement : que l'IA est utilisée, sa logique, les conséquences.

Le consentement doit pouvoir être retiré facilement.

Quelle base légale pour les décisions automatisées ?

L'Article 22 RGPD limite les bases : consentement explicite, nécessité contractuelle, ou autorisation légale.

Garanties supplémentaires obligatoires.

L'IA Act impose-t-il un droit à l'explication ?

Oui. Pour les systèmes haut risque, les déployeurs doivent pouvoir expliquer le fonctionnement et les décisions.

Cette obligation va au-delà du RGPD.

Peut-on utiliser des données sensibles pour l'IA ?

Oui, sous conditions strictes. Exceptions Article 9 RGPD : consentement explicite, nécessité santé publique, recherche.

L'IA Act ajoute des exigences pour la détection des biais.

La base légale peut-elle changer en cours de traitement ?

Très encadré. Le RGPD exige de définir la base légale AVANT le traitement.

Un changement de finalité peut nécessiter une nouvelle base légale.

Quelles sanctions en cas de base légale invalide ?

RGPD : jusqu'à 20M€ ou 4% du CA mondial.

IA Act additionnelles si haut risque : jusqu'à 15M€ ou 3% CA.

Comment documenter pour l'IA Act ?

Le dossier technique doit inclure : base légale, justification, balance des intérêts, preuves de consentement, analyse d'impact.

🎓 Formez-vous aux Bases Légales IA

Choisir la bonne base légale nécessite de maîtriser à la fois le RGPD et l'IA Act. La double conformité est essentielle.