Innovation
Congé maternité des avocates « à leur compte » : un défi organisationnel et financier (Part 2)
RGPD et IA : cadre juridique, obligations et points de vigilance pour les entreprises
Points clés de l'article
- Tout système d'IA traitant des données personnelles relève du RGPD, quelle que soit la technologie utilisée.
- L'opacité des modèles, le volume de données collectées et le risque de biais rendent la conformité plus complexe que pour un traitement classique.
- Trois principes structurent l'encadrement : limitation de la finalité, minimisation des données et transparence algorithmique.
- Le choix de la base légale (consentement, intérêt légitime, contrat) conditionne l'architecture juridique du projet dès sa conception.
- L'analyse d'impact (AIPD) est quasi systématiquement requise pour les traitements d'IA à grande échelle ou profilant des personnes.
- L'AI Act européen ajoute des obligations spécifiques qui se cumulent avec le RGPD sans s'y substituer.
- La CNIL a publié des recommandations opérationnelles ciblant la phase d'entraînement, la réutilisation de données et l'information des personnes.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
RGPD et IA : définition et périmètre d'application
Pourquoi l'IA pose des défis spécifiques au RGPD
Les principes RGPD applicables aux projets d'IA (finalité, minimisation, transparence)
Base légale du traitement : consentement, intérêt légitime ou contrat ?
Analyse d'impact (AIPD) et Privacy by Design pour les systèmes d'IA
Articulation entre RGPD et AI Act : complémentarité et obligations cumulées
Recommandations CNIL et bonnes pratiques opérationnelles
FAQ : questions fréquentes sur RGPD et IA
RGPD et IA : définition et périmètre d'application
Le RGPD et l'IA se croisent dès qu'un système d'intelligence artificielle collecte, stocke, analyse ou produit des données permettant d'identifier directement ou indirectement une personne physique. Le règlement européen 2016/679 ne mentionne pas explicitement l'intelligence artificielle. Son champ d'application repose sur la notion de traitement de données personnelles, définie à l'article 4. Or un modèle de machine learning entraîné sur des jeux de données contenant des noms, adresses e-mail, données de navigation ou données biométriques constitue un traitement au sens du RGPD.
Le périmètre couvre l'ensemble du cycle de vie du système : collecte des données d'entraînement, phase d'apprentissage, inférence en production et conservation des résultats. Un chatbot interne exploitant des données RH, un outil de scoring crédit ou un algorithme de tri de CV relèvent tous du même cadre. La localisation du fournisseur d'IA n'exonère pas l'entreprise utilisatrice : dès lors que les données concernent des résidents européens, le RGPD s'applique, y compris si le modèle est hébergé hors UE.
Le responsable de traitement reste l'entreprise qui détermine les finalités et les moyens du traitement. Lorsqu'un prestataire fournit le modèle ou l'infrastructure, il agit en sous-traitant au sens de l'article 28 et doit être encadré par un contrat spécifique.
Pourquoi l'IA pose des défis spécifiques au RGPD
Les systèmes d'IA amplifient 3 tensions structurelles avec le RGPD.
L'opacité des modèles. Les réseaux de neurones profonds (deep learning) fonctionnent comme des boîtes noires. Expliquer à une personne concernée pourquoi une décision automatisée la défavorise — exigence de l'article 22 du RGPD — devient techniquement difficile lorsque le modèle comporte plusieurs milliards de paramètres.
Le volume et la diversité des données. L'entraînement d'un modèle de langage nécessite des corpus massifs, souvent collectés par web scraping. La CNIL a relevé en 2023 que ces pratiques posent un problème de base légale : les personnes dont les données figurent dans le corpus n'ont généralement pas été informées ni sollicitées.
Le risque de biais discriminatoire. Un modèle entraîné sur des données historiques peut reproduire ou amplifier des discriminations existantes. En matière de recrutement, la Commission européenne a documenté des cas où des algorithmes défavorisaient systématiquement certaines catégories de candidats sur la base du genre ou de l'origine géographique.
| Défi spécifique | Exigence RGPD concernée | Risque opérationnel |
|---|---|---|
| Opacité du modèle | Droit à l'explication (art. 22) | Décision contestée par la personne concernée |
| Collecte massive | Minimisation (art. 5.1.c) | Sanction CNIL pour collecte disproportionnée |
| Biais algorithmique | Non-discrimination, loyauté | Contentieux prud'homal ou discrimination |
| Réutilisation de données | Compatibilité des finalités (art. 5.1.b) | Requalification du traitement par l'autorité |
Les principes RGPD applicables aux projets d'IA (finalité, minimisation, transparence)
Trois principes du RGPD structurent la conformité des projets d'IA.
Limitation de la finalité
L'article 5.1.b impose que les données soient collectées pour des finalités déterminées, explicites et légitimes. Un jeu de données constitué pour améliorer un service client ne peut pas être réutilisé, sans analyse préalable, pour entraîner un modèle de profilage commercial. La CNIL exige une évaluation de compatibilité entre la finalité initiale et la finalité d'entraînement du modèle.
Minimisation des données
L'article 5.1.c impose de ne traiter que les données strictement nécessaires. En pratique, cela signifie anonymiser ou pseudonymiser les jeux de données d'entraînement lorsque l'identification des personnes n'est pas requise. La CNIL recommande de privilégier les données synthétiques ou agrégées lorsque la performance du modèle le permet.
Transparence et information
Les articles 13 et 14 imposent d'informer les personnes concernées de l'existence d'un traitement automatisé, de sa logique sous-jacente et de ses conséquences. Lorsqu'un algorithme produit une décision ayant un effet juridique ou significatif (refus de crédit, présélection de candidatures), l'article 22 accorde à la personne le droit de ne pas faire l'objet d'une décision exclusivement automatisée et d'obtenir une intervention humaine.
Base légale du traitement : consentement, intérêt légitime ou contrat ?
Le choix de la base légale conditionne l'ensemble de l'architecture juridique du projet. Trois bases sont principalement mobilisées pour les traitements d'IA.
| Base légale | Conditions d'utilisation | Limites pour l'IA |
|---|---|---|
| Consentement (art. 6.1.a) | Libre, spécifique, éclairé, univoque | Difficilement applicable à l'entraînement sur données massives |
| Intérêt légitime (art. 6.1.f) | Balance des intérêts documentée | Exige une analyse de proportionnalité rigoureuse |
| Exécution d'un contrat (art. 6.1.b) | Traitement nécessaire à l'exécution | Limité aux fonctionnalités directement liées au service |
La CNIL a précisé en juin 2023, dans ses recommandations sur l'IA, que l'intérêt légitime constitue souvent la base la plus adaptée pour la phase d'entraînement, à condition de documenter une balance des intérêts démontrant que les droits des personnes ne sont pas disproportionnément affectés. Le consentement reste pertinent lorsque l'utilisateur interagit directement avec le système (chatbot, assistant vocal) et peut être informé de manière granulaire.
Identifier la base légale adaptée à chaque phase d'un projet d'IA suppose une analyse juridique précise, articulée avec les contraintes techniques du modèle.
Consulter un avocat spécialisé en protection des données
Analyse d'impact (AIPD) et Privacy by Design pour les systèmes d'IA
Quand l'AIPD est-elle obligatoire ?
L'article 35 du RGPD impose une analyse d'impact relative à la protection des données (AIPD) lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste de critères cumulatifs : évaluation ou scoring, décision automatisée avec effet juridique, traitement à grande échelle, croisement de données, personnes vulnérables. Un projet d'IA coche fréquemment 2 à 3 de ces critères, ce qui rend l'AIPD quasi systématique.
L'AIPD doit être réalisée avant la mise en production. Elle décrit le traitement, évalue sa nécessité et sa proportionnalité, identifie les risques et définit les mesures d'atténuation. Pour un système d'IA, cela inclut l'audit des données d'entraînement, l'évaluation des biais potentiels et la documentation des mécanismes de supervision humaine.
Privacy by Design appliqué à l'IA
L'article 25 impose d'intégrer la protection des données dès la conception du système (Privacy by Design) et par défaut (Privacy by Default). Concrètement, cela se traduit par :
- La pseudonymisation des données d'entraînement dès la collecte
- L'intégration de mécanismes d'explicabilité dans l'architecture du modèle
- La limitation de la conservation des données d'inférence
- La mise en place d'un circuit de supervision humaine pour les décisions à effet significatif
La conformité RGPD d'un système d'IA se construit dès la phase de conception, pas au moment de l'audit.
Structurer votre projet avec un avocat en protection des données
Articulation entre RGPD et AI Act : complémentarité et obligations cumulées
Le règlement européen sur l'intelligence artificielle (AI Act), adopté en mars 2024, ne remplace pas le RGPD. Les deux textes se cumulent. L'AI Act classe les systèmes d'IA selon leur niveau de risque (inacceptable, élevé, limité, minimal) et impose des obligations proportionnées.
Pour les systèmes classés à haut risque — scoring crédit, recrutement automatisé, identification biométrique — l'AI Act exige une documentation technique détaillée, un système de gestion des risques, des tests de robustesse et une supervision humaine. Ces exigences s'ajoutent aux obligations RGPD sans les remplacer.
- RGPD : protège les droits des personnes dont les données sont traitées.
- AI Act : encadre la mise sur le marché et l'utilisation du système d'IA lui-même.
Un système d'IA à haut risque traitant des données personnelles doit donc simultanément respecter les principes du RGPD (base légale, minimisation, droits des personnes) et les exigences de l'AI Act (conformité technique, marquage CE, enregistrement dans la base de données européenne). La direction juridique doit piloter cette double conformité de manière coordonnée, en impliquant le DPO et les équipes techniques dès la phase de cadrage.
Recommandations CNIL et bonnes pratiques opérationnelles
La CNIL a publié entre 2023 et 2024 plusieurs fiches pratiques ciblant spécifiquement les projets d'IA. Leurs recommandations se structurent autour de 5 axes opérationnels.
1. Documenter la chaîne de données. Tracer l'origine de chaque jeu de données utilisé pour l'entraînement, vérifier la licéité de la collecte initiale et évaluer la compatibilité des finalités.
2. Réaliser un test de proportionnalité. Avant tout déploiement, démontrer que le recours à l'IA est nécessaire et proportionné par rapport à l'objectif poursuivi. Un traitement classique suffit-il ? Si oui, l'IA n'est pas justifiée au regard du principe de minimisation.
3. Informer les personnes de manière effective. La CNIL insiste sur une information accessible, pas seulement juridiquement conforme. Cela implique des notices claires, des interfaces explicatives et un point de contact identifié pour exercer les droits.
4. Mettre en place une gouvernance interne. Désigner un référent IA au sein de la direction juridique, intégrer le DPO dans les comités projet et formaliser un processus de validation juridique avant chaque mise en production.
5. Anticiper l'exercice des droits. Les droits d'accès, de rectification, d'effacement et d'opposition s'appliquent aux données d'entraînement comme aux données d'inférence. L'entreprise doit être en mesure de répondre dans le délai d'un mois prévu par le RGPD, ce qui suppose des outils techniques adaptés.
Structurer la gouvernance IA de votre entreprise nécessite une expertise croisée entre droit des données et droit du numérique.
Trouver un avocat en protection des données
FAQ : questions fréquentes sur RGPD et IA
Le RGPD s'applique-t-il aux IA génératives comme ChatGPT ?
Oui. Dès lors qu'un outil d'IA générative traite des données personnelles — qu'il s'agisse des données d'entraînement ou des données saisies par les utilisateurs — le RGPD s'applique. L'entreprise qui déploie l'outil en interne reste responsable de traitement pour les données qu'elle y injecte.
Faut-il réaliser une AIPD pour chaque projet d'IA ?
Pas systématiquement, mais dans la grande majorité des cas. L'AIPD est obligatoire dès que le traitement présente un risque élevé pour les droits des personnes. Les projets d'IA impliquant du profilage, des décisions automatisées ou un traitement à grande échelle déclenchent quasi automatiquement cette obligation.
Quelle base légale choisir pour entraîner un modèle d'IA sur des données personnelles ?
La CNIL considère que l'intérêt légitime est souvent la base la plus adaptée pour la phase d'entraînement, à condition de documenter une balance des intérêts rigoureuse. Le consentement peut être mobilisé lorsque la collecte est directe et que l'information est granulaire.
L'AI Act remplace-t-il le RGPD pour les systèmes d'IA ?
Non. L'AI Act et le RGPD sont complémentaires et cumulatifs. Le RGPD protège les données personnelles, l'AI Act encadre le système d'IA en tant que produit. Un système d'IA à haut risque traitant des données personnelles doit respecter les deux réglementations simultanément.
Comment gérer le droit à l'effacement lorsque des données personnelles ont servi à entraîner un modèle ?
C'est l'un des points les plus complexes. La CNIL admet que l'effacement des données dans un modèle déjà entraîné peut être techniquement difficile. Elle recommande de documenter les mesures alternatives mises en œuvre (filtrage des sorties, anonymisation, ré-entraînement) et de justifier toute impossibilité technique de manière transparente.
Pour aller plus loin
IA et RGPD : la CNIL publie ses nouvelles recommandations - CNIL
Développement des systèmes d'IA : les recommandations de la CNIL pour respecter le RGPD - CNIL
IA : comment être en conformité avec le RGPD - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
