La convergence entre la protection des données à caractère personnel et le développement des systèmes d'intelligence artificielle soulève d'importants nouveaux défis juridiques. Le Règlement général sur la protection des données (RGPD) et la loi organique espagnole sur la protection des données et la garantie des droits numériques (LOPDGDD) s'appliquent pleinement aux systèmes d'IA qui traitent des données personnelles, mais le nouveau AI Act introduit des exigences supplémentaires qui créent un double cadre de conformité.
Bases légales du traitement dans les systèmes d’IA
De nombreux systèmes d’IA sont alimentés par d’importants volumes de données personnelles aux fins d’entraînement. La base légale la plus courante est l’intérêt légitime (article 6.1(f) du RGPD), bien que son application nécessite un test de mise en balance que les systèmes d’IA à grande échelle peuvent ne pas satisfaire. Le consentement éclairé exige que la personne concernée comprenne comment ses données seront utilisées dans un contexte d’IA, ce qui peut s’avérer complexe lorsque le modèle est entraîné sur des données historiques ou fait l’objet de mises à jour continues.
Pour les données de catégorie particulière — données de santé, données biométriques, opinions politiques ou religieuses —, le RGPD exige en outre une condition prévue à l’article 9.2, ce qui, en pratique, limite considérablement l’entraînement de modèles d’IA sur ce type de données sans consentement explicite ou base légale spécifique.
Décisions automatisées et profilage
L’article 22 du RGPD réglemente le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé. Les entreprises utilisant l’IA pour prendre des décisions ayant des effets significatifs sur les personnes (crédit, emploi, assurance, accès aux services) doivent garantir une intervention humaine significative, la transparence du processus et la possibilité de contestation. En pratique, cela implique de disposer d’un mécanisme de révision par une personne physique — et non purement formel — qui soit en mesure de modifier effectivement le résultat algorithmique.
L’autorité espagnole de protection des données (AEPD) a publié des lignes directrices spécifiques sur l’IA et la protection des données, indiquant que l’intervention humaine doit être réelle et non simplement symbolique : un opérateur qui se contente de valider le résultat de l’algorithme sans capacité effective de révision ne satisfait pas à l’exigence de l’article 22.
Analyses d’impact sur la protection des données (AIPD)
Lorsque le traitement de données dans un système d’IA est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées, une analyse d’impact relative à la protection des données (AIPD) doit être réalisée avant le début du traitement. Le AI Act ajoute ses propres évaluations de conformité pour les systèmes à haut risque, créant potentiellement une double charge de conformité.
Les systèmes d’IA à haut risque tels que définis par le AI Act comprennent, entre autres : les systèmes de gestion d’infrastructures critiques, l’IA dans l’éducation et la formation professionnelle, les systèmes de sélection du personnel, les systèmes de crédit, les systèmes utilisés dans l’administration de la justice et les systèmes d’identification biométrique. Pour l’ensemble de ces systèmes, l’entreprise doit documenter la conception du système, les jeux de données utilisés, les mesures de supervision humaine et les résultats des tests de robustesse.
Le rôle du délégué à la protection des données (DPO) dans les environnements d’IA
Les entreprises tenues de désigner un DPO en vertu de l’article 37 du RGPD — notamment celles qui effectuent un traitement à grande échelle de données de catégorie particulière ou un profilage systématique — doivent impliquer leur DPO dans la conception et l’audit des systèmes d’IA dès le départ. Ce principe de protection de la vie privée dès la conception est particulièrement important lorsqu’un système d’IA est acquis auprès d’un prestataire externe : le contrat de sous-traitance doit refléter les obligations de l’article 28 du RGPD, et le client doit vérifier que le fournisseur est conforme au AI Act.
Transparence et information des utilisateurs
Le RGPD exige que les personnes concernées soient clairement informées de la manière dont leurs données sont utilisées, y compris si elles font l’objet de décisions automatisées. Les avis de confidentialité de nombreuses entreprises demeurent insuffisants à cet égard. L’information doit inclure la logique appliquée, la portée du traitement et les conséquences envisagées pour la personne concernée. Le considérant 71 du RGPD fournit des orientations interprétatives sur le niveau de détail requis.
Sanctions et contrôle
Les infractions graves au RGPD — y compris celles liées aux systèmes d’IA — peuvent donner lieu à des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Le AI Act ajoute son propre régime de sanctions avec des amendes pouvant atteindre 30 millions d’euros ou 6 % du chiffre d’affaires mondial pour les violations les plus graves (utilisation de systèmes d’IA interdits). L’AEPD espagnole agit en tant qu’autorité nationale de contrôle pour les deux cadres réglementaires en matière de protection des données.
Mesures pratiques pour les entreprises déployant des systèmes d’IA
Pour les entreprises qui utilisent déjà ou envisagent de déployer des systèmes d’IA, la feuille de route de conformité recommandée comprend : premièrement, la cartographie de tous les outils d’IA en usage (y compris les solutions SaaS tierces intégrant des fonctionnalités d’IA) et leur classification par niveau de risque selon le cadre du AI Act ; deuxièmement, la révision de tous les contrats de sous-traitance avec les fournisseurs d’IA afin de s’assurer qu’ils contiennent les clauses de l’article 28 du RGPD et les obligations de conformité au AI Act ; troisièmement, la mise à jour des avis de confidentialité internes pour décrire toute prise de décision automatisée ; et quatrièmement, la réalisation d’une AIPD pour chaque activité de traitement à haut risque identifiée lors de l’exercice de cartographie.
Ce processus ne doit pas nécessairement être contraignant s’il est abordé de manière systématique. De nombreuses organisations constatent que l’infrastructure de conformité existante au RGPD — registre des activités de traitement, AIPD pour les systèmes existants, procédures de gestion des fournisseurs — constitue une base solide qui peut être étendue pour couvrir les exigences spécifiques à l’IA par des ajouts ciblés plutôt qu’une reconstruction complète.
Chez BMC, nous vous conseillons en matière de protection des données et d’intelligence artificielle. Découvrez nos services de protection des données.
