Application du RGPD : comment les régulateurs de l’UE façonnent la gouvernance de l’IA
Le déploiement rapide des systèmes d’intelligence artificielle (IA) à travers l’Union européenne (UE) a mis la législation sur la protection des données au premier plan de la gouvernance de l’IA. Étant donné que de nombreux systèmes d’IA reposent sur le traitement à grande échelle de données personnelles, le Règlement général sur la protection des données (RGPD) a, en pratique, agi comme le premier cadre d’application efficace et horizontalement applicable pour l’IA, bien avant la Loi sur l’intelligence artificielle (Loi sur l’IA).
Plus de sept ans après l’entrée en vigueur du RGPD, les autorités nationales de protection des données (APD) appliquent concrètement les règles de protection des données aux pratiques liées à l’IA. À travers l’UE, les APD ont lancé des enquêtes, adopté des mesures correctives et, dans certains cas, imposé des amendes significatives concernant une large gamme de technologies habilitées par l’IA telles que l’identification biométrique, la reconnaissance faciale, la prise de décision automatisée et le profilage. Cette activité reflète le rôle croissant des APD dans la protection des droits fondamentaux des individus.
Cependant, l’application reste inégale à travers l’UE. Les différences de ressources, d’expertise technique et de priorités nationales ont produit des niveaux variés de contrôle et d’intervention, contribuant à une application fragmentée du RGPD dans les contextes liés à l’IA. La complexité technique croissante des systèmes d’IA a également mis à l’épreuve les limites d’un cadre neutre en matière de technologie conçu pour des opérations de traitement diverses.
Comment les APD de l’UE appliquent le RGPD dans les cas liés à l’IA
Les APD ont acquis de l’expérience dans le traitement des questions liées à l’IA grâce à des directives, des meilleures pratiques et des actions d’application concrètes aux niveaux national et international. Plusieurs actions à travers l’UE montrent que le RGPD fonctionne comme un cadre d’application de facto pour l’IA.
Plus précisément, le Comité européen de la protection des données (CEPD) a reconnu dans une déclaration que les APD devraient jouer un rôle de premier plan dans l’application liée à l’IA. Le CEPD a encouragé les États membres à désigner les APD comme autorités de surveillance du marché pour certains systèmes d’IA à haut risque, soulignant leur expérience en matière de supervision basée sur les droits fondamentaux. Cela positionne les APD comme des interlocuteurs naturels pour les systèmes d’IA impliquant des données personnelles, renforçant la continuité entre la supervision du RGPD et le contrôle futur de la Loi sur l’IA.
Les technologies biométriques habilitées par l’IA ont fait l’objet d’une application stricte de la part des APD. Les systèmes de reconnaissance faciale basés sur le scraping à grande échelle d’images provenant de sites Web publics et de réseaux sociaux ont été jugés contraires aux principes fondamentaux du RGPD, y compris le manque de base légale valide, le traitement illégal de catégories spéciales de données et le non-respect des droits des personnes concernées.
Dans une affaire marquante contre une entreprise de reconnaissance faciale, l’autorité néerlandaise a imposé une amende de 30,5 millions d’euros pour collecte illégale de photos de visages d’individus. Cela a été également soutenu par d’autres APD, qui ont également ordonné la suppression des données biométriques collectées illégalement.
La prise de décision automatisée (PDA) et le profilage constituent un autre domaine central d’application. Les APD ont sanctionné des organisations ciblant des individus à des fins commerciales sans base légale valide ou transparence adéquate. En 2022, une APD a infligé une amende de 3 millions d’euros à une institution financière pour traitement illégal et information insuffisante concernant le profilage commercial. En 2025, une autre APD a infligé une amende de près de 500 000 euros à un fournisseur de services financiers pour rejet automatisé de demandes de carte de crédit sans supervision humaine.
Des sanctions ont également été appliquées aux systèmes d’IA affectant les mineurs. Une APD a imposé une amende de 5 millions d’euros à un développeur d’IA pour plusieurs non-conformités concernant son compagnon virtuel, notamment l’absence de mécanismes adéquats de vérification de l’âge.
Malgré cette activité croissante, l’application du RGPD dans les contextes liés à l’IA reste inégale à travers l’UE. Certaines APD adoptent des stratégies proactives combinant enquêtes, décisions formelles et conseils publics, tandis que d’autres interviennent de manière plus sélective, souvent sur la base de plaintes. La divergence est visible dans le nombre de décisions liées à l’IA et dans l’utilisation d’enquêtes ex officio et d’outils préventifs tels que les évaluations d’impact sur la protection des données.
Directives des autorités de l’UE sur le développement et l’utilisation des systèmes d’IA
Au niveau de l’UE, le CEPD a précisé qu’il est essentiel que les modèles d’IA et les systèmes de prise de décision automatisée respectent l’ensemble des principes du RGPD. En tant que tel, les responsables du traitement doivent évaluer les risques tout au long du cycle de vie de l’IA, de la collecte et de la formation à la mise en œuvre et à l’utilisation en aval. De plus, la complexité ou l’opacité ne diminue pas l’obligation d’expliquer le traitement de manière significative.
Identifier une base légale appropriée pour le traitement lié à l’IA et pour la formation des modèles est devenu un enjeu central. Le CEPD a indiqué que le recours à l’intérêt légitime n’est pas exclu, mais qu’il nécessite une nécessité stricte et un test d’équilibre, soutenus par des garanties documentées.
Cette position a également été soutenue par les recommandations d’une APD et le groupe de travail sur l’IA de la Confédération européenne des organisations de protection des données. Les directives de l’UE ont également abordé les affirmations selon lesquelles les modèles d’IA sont « anonymes » une fois formés. Le CEPD adopte une position prudente, notant que « les modèles d’IA formés sur des données personnelles ne peuvent pas, dans tous les cas, être considérés comme anonymes ».
De l’application du RGPD à la Loi sur l’IA : une continuité limitée mais pertinente
La Loi sur l’IA ne remplace pas le rôle déjà joué par les APD dans la supervision des systèmes d’IA impliquant des données personnelles, mais lui attribue même des obligations de contrôle pour certains types d’applications d’IA.
Avant la Loi sur l’IA, l’application du RGPD fournissait le principal cadre opérationnel pour examiner la PDA, le profilage et le traitement biométrique. Cette expérience offre un point de référence pertinent, mais non exhaustif, pour la mise en œuvre de la Loi sur l’IA, en particulier là où les systèmes d’IA à haut risque croisent les droits individuels.
Bien que certains systèmes d’IA puissent relever simultanément du RGPD et de la Loi sur l’IA, les législateurs de l’UE ont évité de créer un régime d’application unifié. Au lieu de cela, la Loi sur l’IA préserve un modèle décentralisé dans lequel les APD peuvent jouer un rôle pour des utilisations à haut risque spécifiques, aux côtés d’autres autorités nationales.
Compétitivité, application et simplification réglementaire
L’activité d’application du RGPD s’inscrit dans un débat politique plus large sur la compétitivité européenne et le fardeau réglementaire. Le rapport sur la compétitivité de l’UE identifie la complexité réglementaire et les coûts de conformité comme des facteurs structurels dans l’écart d’innovation et de productivité de l’Europe.
Plutôt que de demander une déréglementation, il prône une mise en œuvre plus proportionnée et prévisible des règles de l’UE, avertissant que la supervision fragmentée, les procédures duplicables et les délais peu clairs peuvent décourager les investissements, en particulier dans des secteurs à évolution rapide comme l’IA.
Dans ce contexte, une initiative a été lancée pour réajuster la mise en œuvre de la législation numérique de l’UE, y compris la Loi sur l’IA, tout en préservant un haut niveau de protection des droits fondamentaux.
Des ajustements ciblés aux concepts et procédures fondamentaux du RGPD sont proposés, y compris des clarifications sur la notion de données personnelles à la lumière de la jurisprudence récente.
