Le 1er août 2024, le règlement (UE) 2024/1689 — l'AI Act — est entré en vigueur, devenant le premier cadre réglementaire horizontal au monde pour l'intelligence artificielle. Son intersection avec le Règlement général sur la protection des données (RGPD) crée une double couche de conformité affectant toute organisation qui développe, déploie ou utilise des systèmes d'IA traitant des données personnelles. La conformité simultanée aux deux cadres n'est pas facultative : les sanctions prévues par l'AI Act atteignent 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les infractions les plus graves, égalant le niveau le plus élevé du RGPD.
Le calendrier échelonné de l’AI Act : quelles obligations et quand
L’AI Act ne s’applique pas d’un seul tenant. Son entrée en vigueur progressive constitue la clé pour hiérarchiser les efforts de mise en conformité :
- Février 2025 : Interdiction des systèmes d’IA présentant un risque inacceptable (article 5), incluant la manipulation subliminale, la notation sociale et la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement, sauf dans des cas strictement définis.
- Août 2025 : Application intégrale des obligations relatives aux modèles d’IA à usage général (GPAI), y compris la documentation technique et la conformité en matière de droits d’auteur concernant les données d’entraînement.
- Août 2026 : Entrée en vigueur des obligations applicables aux systèmes d’IA à haut risque répertoriés à l’annexe III (RH, crédit, éducation, infrastructures critiques, biométrie).
- Août 2027 : Application aux systèmes d’IA à haut risque déjà présents sur le marché avant août 2026.
Points d’intersection critiques entre le RGPD et l’AI Act
Le RGPD et l’AI Act ne sont pas des réglementations parallèles s’appliquant de manière indépendante ; dans de nombreux scénarios, leurs obligations se chevauchent, se renforcent mutuellement ou créent des tensions nécessitant une résolution coordonnée.
Analyses d’impact. Le RGPD exige une analyse d’impact relative à la protection des données (AIPD) pour les traitements à grande échelle ou les activités de profilage (article 35 du RGPD). L’AI Act impose une évaluation de conformité pour les systèmes à haut risque. Dans de nombreux cas, les deux évaluations portent sur le même système d’IA. L’autorité espagnole de protection des données (AEPD) a publié des orientations pour intégrer les deux évaluations dans une procédure unique, réduisant ainsi la charge de conformité sans sacrifier la rigueur.
Décisions automatisées et droit à l’explication. L’article 22 du RGPD confère aux personnes concernées le droit de ne pas faire l’objet de décisions fondées exclusivement sur un traitement automatisé lorsque ces décisions produisent des effets significatifs. L’AI Act ajoute des obligations de transparence pour les systèmes à haut risque et un droit à la supervision humaine. Lorsqu’un système d’IA prend des décisions automatiques en matière de RH (présélection de candidats, évaluation des performances) ou d’octroi de crédit, le responsable du traitement doit documenter la logique du système, informer les personnes concernées et garantir que les décisions puissent être réexaminées par un être humain.
Base juridique pour l’entraînement de l’IA. L’utilisation de données personnelles pour entraîner ou affiner un modèle d’IA nécessite une base juridique valide au titre de l’article 6 du RGPD. Le consentement apparaît comme l’option la plus intuitive, mais présente le problème de la révocabilité : si une personne concernée retire son consentement, le responsable du traitement doit être en mesure de supprimer ou d’anonymiser sa contribution au modèle — ce qui est techniquement complexe, voire impossible dans de nombreux cas. L’intérêt légitime constitue une alternative opérationnellement plus robuste, mais nécessite de satisfaire au test de proportionnalité, et pour les données de catégories particulières (santé, origine ethnique, orientation sexuelle), il est pratiquement inutilisable sans consentement explicite.
Obligations spécifiques pour les opérateurs de systèmes d’IA
Les organisations déployant des systèmes d’IA à haut risque doivent :
Enregistrer le système. La base de données de l’UE (gérée par le Bureau européen de l’IA) impose l’enregistrement des systèmes à haut risque avant leur mise sur le marché ou leur mise en service. Les informations d’enregistrement comprennent la finalité prévue du système, le fournisseur ou déployeur responsable et les principales caractéristiques de performance.
Maintenir une documentation technique. L’AI Act exige une documentation technique exhaustive couvrant la description du système, les données d’entraînement utilisées (y compris les sources de données et les mesures d’assurance qualité), les métriques de performance et les résultats des tests de robustesse et de précision. Cette documentation doit être tenue à jour et mise à disposition des autorités de surveillance du marché sur demande.
Garantir la supervision humaine. Les systèmes à haut risque doivent être conçus de manière à permettre à des personnes physiques de superviser leur fonctionnement et d’intervenir ou de les arrêter si nécessaire. Ce principe entre en conflit avec la logique d’automatisation intégrale de nombreux systèmes d’IA et impose de repenser les architectures de flux de travail dans lesquelles l’IA prend ou recommande des décisions à fort enjeu.
Informer de l’interaction avec l’IA. Lorsque les utilisateurs interagissent avec un système d’IA (chatbot, assistant virtuel, reconnaissance des émotions), l’AI Act exige que les utilisateurs soient informés qu’ils interagissent avec une IA. Les politiques de confidentialité et les mentions légales doivent être mises à jour en conséquence.
L’évolution du rôle du DPO à l’ère de l’AI Act
Le délégué à la protection des données (DPO), dont la désignation est obligatoire en vertu de l’article 37 du RGPD pour certains responsables de traitement et sous-traitants, acquiert une nouvelle dimension dans le contexte de l’AI Act. Son rôle naturel de supervision de la conformité au RGPD s’étend désormais à la coordination des évaluations de conformité au titre de l’AI Act, à la gestion du registre des systèmes d’IA et à la formation interne sur l’utilisation responsable de l’IA.
Les organisations qui n’étaient pas tenues auparavant de désigner un DPO mais qui déploient désormais des systèmes d’IA à haut risque devraient évaluer si l’ampleur de leurs obligations de conformité justifie la désignation volontaire de cette fonction ou le recours à un service de DPO externalisé.
Feuille de route de mise en conformité pour 2025-2026
Le point de départ est un inventaire de tous les systèmes d’IA utilisés au sein de l’organisation, classés par niveau de risque conformément à l’AI Act. Pour les systèmes à haut risque, l’étape suivante consiste à réaliser une évaluation de conformité intégrée (combinant l’AIPD et l’évaluation au titre de l’AI Act), à réviser les contrats avec les fournisseurs d’IA afin d’y incorporer les clauses requises par les deux cadres réglementaires (y compris les garanties relatives aux données d’entraînement et aux mécanismes de supervision humaine), et à mettre à jour les registres de traitement du RGPD pour refléter les nouveaux cas d’utilisation de l’IA.
Chez BMC, notre équipe spécialisée en protection des données et conformité IA accompagne les organisations à chaque étape de ce double cadre réglementaire. Découvrez nos services de protection des données.
