AI Sigil Logo
Contact Us
Retour à tous les articles

Conflit ou harmonie entre l’IA et la protection des données ?

A lock and key set to illustrate the themes of security and privacy inherent in both the EU AI Act and GDPR.

L’Acte sur l’IA de l’UE et le RGPD : collision ou harmonie ?

Le terme IA est devenu omniprésent dans le secteur juridique. L’Acte sur l’IA de l’UE est ainsi l’un des principaux sujets d’intérêt pour de nombreux professionnels du droit. Mais qu’en est-il de cette autre législation qui a fait beaucoup de bruit en 2018, le Règlement Général sur la Protection des Données (RGPD) ?

Après plus de sept ans, la conformité au RGPD est devenue un territoire familier pour de nombreux avocats d’entreprise et autres professionnels. Il existe plusieurs similitudes et interactions entre le nouvel Acte sur l’IA et le RGPD, ainsi que des références explicites au RGPD dans l’Acte sur l’IA. Cet article discutera de certaines des interactions les plus significatives.

Généralités

Il est frappant de constater dans quelle mesure la structure générale de l’Acte sur l’IA est influencée par le RGPD. Beaucoup des principes de données (transparence, exactitude, sécurité) sont reflétés dans l’Acte sur l’IA qui, tout comme le RGPD, adopte une approche basée sur le risque.

Le croisement évident en termes de conformité à l’Acte sur l’IA est dû au fait que le développement et l’utilisation des systèmes d’IA impliquent probablement la formation de modèles d’IA sur des données, dont certaines seront presque certainement des données personnelles, qui doivent être traitées conformément au RGPD. Cela nécessite des garanties appropriées en matière de protection des données, non seulement en interne, mais aussi dans la relation avec les fournisseurs et les autres parties prenantes de l’écosystème de l’IA.

Significativement, l’Article 47 de l’Acte sur l’IA exige que les fournisseurs de systèmes d’IA à haut risque établissent une déclaration de conformité qui doit inclure une déclaration de conformité au RGPD lorsque le système contient des données personnelles (Annexe V). De plus, dans de nombreux États membres, l’Autorité de Protection des Données sera également l’autorité de surveillance du marché de l’Acte sur l’IA.

Transparence

Le RGPD et l’Acte sur l’IA possèdent chacun leurs propres régimes de transparence. Dans les deux cas, l’objectif est que les individus reçoivent des informations adéquates sur la façon dont leurs données personnelles sont traitées / comment l’utilisation de l’IA les affecte.

  • Sous le RGPD (Articles 12-14), les sujets de données doivent recevoir des informations claires et accessibles concernant le traitement de leurs données personnelles, notamment les finalités, la base légale, les destinataires, les périodes de conservation et les droits des sujets de données.
  • Dans l’Acte sur l’IA, plusieurs obligations de transparence s’appliquent. Par exemple, l’Article 13 exige que les déployeurs soient fournis avec des instructions pour l’utilisation des systèmes d’IA à haut risque. De plus, l’Article 50 exige que les personnes physiques soient informées qu’elles interagissent avec un système d’IA (à moins que cela ne soit évident dans le contexte).

Gestion des risques

Du point de vue de la gestion des risques, le RGPD et l’Acte sur l’IA adoptent tous deux une approche basée sur le risque en matière de conformité. Toutefois, il existe une différence fondamentale entre les deux concernant le stade auquel le risque est traité.

  • Le RGPD est basé sur le risque, exigeant une évaluation préalable et continue des risques associés au traitement des données personnelles. Cela implique des mesures techniques et organisationnelles pour traiter les risques de manière proportionnelle.
  • Dans l’Acte sur l’IA, les systèmes d’IA sont classés en différentes catégories de risque : risque inacceptable qui est prohibé, à haut risque ou à faible / minimal risque. Les obligations les plus lourdes sont attachées aux systèmes d’IA à haut risque qui doivent se conformer à des obligations complètes en matière de gestion, d’évaluation et d’atténuation des risques.

Responsabilité

Le RGPD et l’Acte sur l’IA exigent tous deux la responsabilité. En général, cela implique de documenter vos diverses étapes, processus et politiques pour démontrer la conformité.

  • Alors que le RGPD exige que des accords de traitement des données soient mis en place entre les contrôleurs et les (sous-)traitants, l’Acte sur l’IA exige que des garanties contractuelles suffisantes soient mises en place entre les différents rôles définis dans l’Acte sur l’IA.
  • Alors que le RGPD exige la documentation d’éléments tels que les Evaluations d’Impact sur la Protection des Données (DPIAs) et les registres de traitement, l’Acte sur l’IA exige une documentation plus élaborée des choix de développement et de conception pour les systèmes d’IA à haut risque afin de pouvoir démontrer la responsabilité.

DPIA et évaluations des droits fondamentaux

Le RGPD et l’Acte sur l’IA exigent tous deux des évaluations des risques.

  • En vertu du RGPD, dans des cas spécifiques, les contrôleurs doivent réaliser une Evaluation d’Impact sur la Protection des Données (DPIA).
  • L’Article 26(8) de l’Acte sur l’IA stipule que, le cas échéant, les déployeurs de systèmes d’IA à haut risque doivent utiliser les informations fournies en vertu de l’Article 13 de l’Acte sur l’IA pour se conformer à leur obligation RGPD de réaliser une DPIA.
  • De plus, l’Acte sur l’IA exige que certains déployeurs réalisent une évaluation des impacts sur les droits fondamentaux (FRIA) avant de déployer des systèmes d’IA à haut risque mentionnés dans l’Annexe III de l’Acte sur l’IA.

Traitement des données personnelles sensibles

L’Acte sur l’IA (Article 10(5)) permet exceptionnellement le traitement de données personnelles sensibles, mais uniquement si cela est strictement nécessaire pour garantir la détection et la correction des biais dans les systèmes d’IA à haut risque et sous certaines conditions. Ces conditions s’ajoutent aux exigences de l’Article 9 du RGPD qui prévoit des exceptions à l’interdiction générale de traitement des données personnelles sensibles (spéciales).

Décisions automatisées et supervision humaine

Le RGPD et l’Acte sur l’IA disposent tous deux d’un mécanisme de supervision humaine.

  • L’Article 22 du RGPD accorde aux sujets de données le droit de ne pas faire l’objet d’une décision entièrement automatisée ayant un effet juridique ou significatif. Ils ont le droit de demander une nouvelle décision soumise à une intervention humaine s’ils s’opposent à une telle décision entièrement automatisée.
  • L’Acte sur l’IA a un régime plus strict en place dans l’Article 14, selon lequel les systèmes d’IA à haut risque doivent être conçus avec des outils d’interface homme-machine permettant une supervision efficace, et les déployeurs doivent assigner du personnel compétent pour la supervision.

Rapport d’incidents

Les deux régimes mettent en œuvre un système de rapport d’incidents, permettant de déposer des rapports initiaux ainsi que des rapports ultérieurs si l’ampleur ou l’ampleur complète d’un incident n’est pas encore connue au moment du rapport requis.

  • En vertu du RGPD (Article 33), l’incident principal qui peut survenir est une violation de données. En principe, la notification d’une telle violation de données doit être faite à l’Autorité de Protection des Données (DPA) compétente sans délai injustifié et, si possible, dans les 72 heures suivant la prise de connaissance de la violation par le contrôleur des données.
  • En vertu de l’Acte sur l’IA (Article 73), les incidents graves doivent être signalés aux autorités réglementaires immédiatement après avoir établi un lien de causalité entre le système d’IA et l’incident grave (ou une probabilité raisonnable de ce lien) et en tout état de cause, au plus tard 15 jours.

Gestion de la double charge de conformité

Ceci n’est qu’un aperçu de certaines des zones où les concepts du RGPD se chevauchent avec ceux de l’Acte sur l’IA. En termes de charge de conformité, cependant, il existe des situations limitées dans lesquelles la conformité à une législation sera suffisante pour se conformer à l’autre. Ce qui est plus probable, c’est que les processus de conformité au RGPD peuvent être étendus si nécessaire, pour les besoins de conformité à l’Acte sur l’IA.

Actions utiles incluent :

  • Cartographier les rôles de l’Acte sur l’IA (fournisseur, déployeur, importateur/distributeur) avec les rôles du RGPD (contrôleur/processeur).
  • Collecter des informations adéquates et traiter ces informations dans des guides pertinents pour les utilisateurs / sujets de données. Réviser régulièrement si les informations sont à jour.
  • Veiller à ce que les données d’entraînement des IA contenant des données personnelles soient soumises à des garanties de confidentialité des données adéquates, tant du point de vue contractuel que technique.
  • Aligner l’exigence de l’Article 30 du RGPD de maintenir un registre des traitements avec les exigences de gouvernance des données de l’Article 10 de l’Acte sur l’IA.
  • Documenter le développement et la surveillance de l’IA afin de pouvoir démontrer la conformité, tant pendant la phase de développement que de déploiement.
  • Veiller à ce que la FRIA de l’Acte sur l’IA et la DPIA du RGPD soient cartographiées et rationaliser la charge de travail lorsque cela est approprié.
  • Vérifier si le traitement de données personnelles sensibles dans le contexte de l’Acte sur l’IA est autorisé en vertu du RGPD et de l’Acte sur l’IA.
  • Distinguer clairement entre l’intervention humaine après traitement en vertu du RGPD et la surveillance humaine en vertu de l’Acte sur l’IA.
  • Mettre en œuvre une gestion des délais appropriée au sein de votre organisation, en tenant compte des différences fondamentales entre les types d’incidents qui peuvent survenir en relation avec les systèmes d’IA selon le RGPD et l’Acte sur l’IA.
  • Comprendre qui est (ou sont) votre(s) régulateur(s) en vertu du RGPD et de l’Acte sur l’IA.

Articles

A pair of interconnected gears to illustrate the interplay of competition and collaboration in advancing AI governance.

Collaboration et compétition : l’avenir de la gouvernance de l’IA

novembre 27, 2025 AI Ethics,IA,Regulation IA
Le projet Red Cell vise à remettre en question les hypothèses et les idées reçues afin d'encourager des approches alternatives face aux défis de la politique étrangère et de sécurité nationale des...
Read More
A light bulb.

Politique nationale de l’IA : vers un marché de 2,7 milliards de dollars au Pakistan

novembre 27, 2025 AI Ethics,Conformité IA,IA,Regulation IA
Le Pakistan a introduit une politique nationale ambitieuse en matière d'IA visant à créer un marché domestique de 2,7 milliards de dollars en cinq ans. Cette politique repose sur six piliers...
Read More
A magnifying glass symbolizing the need for scrutiny and transparency in AI governance.

Gouvernance éthique de l’IA : un guide pratique pour les entreprises

novembre 27, 2025 AI Ethics,IA
Ce guide pratique souligne l'importance de la gouvernance éthique de l'IA pour les entreprises qui souhaitent intégrer l'IA de manière responsable. Il fournit des étapes concrètes pour établir un...
Read More
A robot or AI figure embodying the role of artificial intelligence in transforming educational strategies.

Stratégies IA pour transformer l’enseignement supérieur

novembre 27, 2025 IA
L'intelligence artificielle transforme l'apprentissage, l'enseignement et les opérations dans l'enseignement supérieur en offrant des outils personnalisés pour le succès des étudiants et en renforçant...
Read More
A blueprint

Gouvernance de l’IA : Vers des normes éthiques en Afrique

novembre 27, 2025 AI Ethics,Conformité IA,IA,Regulation IA
L'intelligence artificielle (IA) façonne progressivement les services financiers, l'agriculture, l'éducation et même la gouvernance en Afrique. Pour réussir, les politiques organisationnelles doivent...
Read More
L’impact imminent de l’IA sur l’emploi

L’impact imminent de l’IA sur l’emploi

novembre 27, 2025 AI Ethics,Commercial Impact of AI Regulation,IA,Regulation IA
La transformation économique liée à l'IA a commencé, entraînant des licenciements massifs dans des entreprises comme IBM et Salesforce. Les résultats d'une enquête révèlent que les employés craignent...
Read More
A magnifying glass – illustrating the need for scrutiny and accountability in the deployment of AI technologies.

Éthique du travail numérique : Qui est responsable de l’IA au sein de la main-d’œuvre ?

novembre 27, 2025 AI Ethics,IA
Le travail numérique devient de plus en plus courant sur le lieu de travail, mais peu de règles largement acceptées ont été mises en œuvre pour le régir. Les PDG doivent voir l'IA non seulement comme...
Read More
A safety helmet

Anthropic présente Petri, l’outil d’audit automatisé pour la sécurité des IA

novembre 27, 2025 Conformité IA,Conformité IA pour la sécurité,IA,Regulation IA
Anthropic a lancé Petri, un outil d'audit de sécurité AI open source conçu pour tester automatiquement les modèles de langage de grande taille (LLM) pour des comportements risqués. Cet outil utilise...
Read More
A lock and key set to illustrate the themes of security and privacy inherent in both the EU AI Act and GDPR.

Conflit ou harmonie entre l’IA et la protection des données ?

novembre 27, 2025 Conformité UE IA,IA,Protection des données,Regulation IA
L'IA est le mot à la mode dans le secteur juridique, et la loi sur l'IA de l'UE est un sujet d'intérêt majeur pour de nombreux professionnels du droit. Cet article examine les interactions...
Read More