Protection des données et IA : nouveaux défis juridiques | BMC

Q: Mon entreprise a-t-elle besoin d'une EIPD avant de déployer un système d'IA ?

Cela dépend de la nature du traitement. Si le système d'IA prend des décisions automatisées ayant des effets significatifs sur les individus (crédit, RH, segmentation clients), ou traite des données de catégorie particulière à grande échelle, une EIPD est obligatoire au titre de l'article 35 du RGPD. De plus, si le système est classé comme 'à haut risque' au titre du Règlement IA européen (en vigueur depuis août 2024), une évaluation de conformité distincte est également requise. Chez BMC, nous réalisons les deux évaluations de manière intégrée.

Q: Quelle est la base légale la plus appropriée pour le traitement des données dans les systèmes d'IA ?

Il n'existe pas de réponse unique : cela dépend du contexte. L'intérêt légitime est la base la plus courante dans les contextes B2B et d'analytique interne, mais nécessite de passer le test d'équilibre au titre de l'article 6.1(f) du RGPD, qui peut être difficile à justifier pour les systèmes d'IA à grande échelle. Le consentement est nécessaire lorsque des données de catégorie particulière sont impliquées ou lorsque les personnes concernées sont des consommateurs finals. Dans tous les cas, la base légale doit être documentée dans le Registre des Activités de Traitement (RAT) et dans l'avis de confidentialité du système.

Q: Quels droits ont les salariés espagnols concernant la surveillance et l'évaluation de la performance par IA ?

L'article 87 de la Loi Organique 3/2018 (LOPDGDD) établit le droit à la vie privée numérique au travail : les employeurs ne peuvent surveiller l'usage numérique qu'après avoir informé les salariés de manière claire et accessible des usages autorisés et du périmètre de la surveillance. Concernant l'évaluation de la performance par IA, l'article 22 du RGPD accorde aux salariés le droit de ne pas être soumis à des décisions basées uniquement sur un traitement automatisé ayant des effets significatifs — l'AEPD a confirmé qu'une évaluation de performance purement algorithmique sans revue humaine réelle viole ce droit. Le comité d'entreprise (works council) doit être informé préalablement de tout système d'IA utilisé dans les relations collectives du travail.

Q: Quelles sanctions l'AEPD peut-elle imposer pour les violations du RGPD impliquant des systèmes d'IA en Espagne ?

L'AEPD peut imposer des sanctions allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les infractions les plus graves — incluant le traitement illicite de données de catégorie particulière, le défaut de réalisation d'une EIPD obligatoire, ou le non-respect systématique des droits à la décision automatisée de l'article 22. Si le système d'IA est également classé à haut risque au titre du Règlement IA (Règlement 2024/1689), des pénalités séparées allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial peuvent s'appliquer cumulativement.

Q: Quelles obligations de protection des données s'appliquent spécifiquement aux entreprises qui développent ou déploient des systèmes d'IA en Espagne ?

Les entreprises qui développent ou déploient des systèmes d'IA traitant des données personnelles en Espagne font face à un double cadre de conformité. Au titre du RGPD et de la Loi Organique 3/2018 (LOPDGDD) : une EIPD est obligatoire pour tout système utilisant un traitement automatisé, le profilage ou le traitement à grande échelle de données sensibles ; les principes de minimisation des données et de limitation des finalités s'appliquent dès la phase de conception (privacy-by-design). Au titre du Règlement IA (Règlement 2024/1689) : les déployeurs d'IA à haut risque doivent conduire une évaluation d'impact sur les droits fondamentaux avant le déploiement, maintenir une documentation technique et mettre en œuvre des mécanismes de supervision humaine.

Q: Quelles sont les priorités de contrôle de l'AEPD en 2026 et quelles sanctions sont typiques ?

L'AEPD a publié son Plan Stratégique 2024–2026 identifiant les priorités suivantes : (1) publicité ciblée et marketing numérique — mécanismes de consentement aux cookies, profilage personnalisé et données d'enfants ; (2) IA et prise de décision automatisée — notamment les systèmes de profilage utilisés dans l'emploi, la notation de crédit et la prestation de services publics ; (3) violations de sécurité — obligations de notification dans les 72 heures ; (4) l'intérêt légitime comme base légale — l'AEPD a contesté les invocations larges de l'article 6.1.f du RGPD sans véritable test d'équilibre.

La convergence entre la protection des données personnelles et le développement des systèmes d'intelligence artificielle pose de nouveaux défis juridiques majeurs. Le Règlement Général sur la Protection des Données (RGPD) et la Loi Organique espagnole sur la Protection des Données et la Garantie des Droits Numériques (LOPDGDD) s'appliquent pleinement aux systèmes d'IA qui traitent des données personnelles, mais le nouveau Règlement IA introduit des exigences supplémentaires qui créent un double cadre de conformité.

Bases légales du traitement dans les systèmes d’IA

De nombreux systèmes d’IA sont alimentés par de grands volumes de données personnelles pour l’entraînement. La base légale la plus courante est l’intérêt légitime (article 6.1(f) du RGPD), bien que son application nécessite un test d’équilibre que les systèmes d’IA de masse peuvent ne pas réussir. Le consentement éclairé exige que la personne concernée comprenne comment ses données seront utilisées dans un contexte d’IA, ce qui peut être complexe lorsque le modèle est entraîné sur des données historiques ou est continuellement mis à jour.

Pour les données de catégorie particulière — données de santé, données biométriques, opinions politiques ou religieuses — le RGPD exige également une condition au titre de l’article 9.2, ce qui en pratique limite considérablement l’entraînement de modèles d’IA sur ce type de données sans consentement explicite ou base légale spécifique.

Décisions automatisées et profilage

L’article 22 du RGPD réglemente le droit de ne pas être soumis à des décisions basées uniquement sur un traitement automatisé. Les entreprises utilisant l’IA pour prendre des décisions ayant des effets significatifs sur les individus (crédit, emploi, assurance, accès aux services) doivent garantir une intervention humaine significative, la transparence du processus et la possibilité de contestation. En pratique, cela signifie disposer d’un mécanisme de revue par une personne physique — non pas purement formel — capable de modifier réellement le résultat algorithmique.

L’AEPD (Agencia Española de Protección de Datos) a publié des lignes directrices spécifiques sur l’IA et la protection des données, précisant que l’intervention humaine doit être réelle et non purement symbolique : un opérateur qui valide simplement le résultat de l’algorithme sans capacité de revue effective ne satisfait pas aux exigences de l’article 22.

Évaluations d’Impact sur la Protection des Données (EIPD)

Lorsque le traitement des données dans un système d’IA est susceptible d’entraîner des risques élevés pour les droits et libertés des personnes, une Évaluation d’Impact sur la Protection des Données (EIPD) doit être réalisée avant le début du traitement. Le Règlement IA ajoute ses propres évaluations de conformité pour les systèmes à haut risque, créant potentiellement un double fardeau de conformité.

Les systèmes d’IA à haut risque tels que définis par le Règlement IA comprennent notamment : les systèmes de gestion des infrastructures critiques, l’IA dans l’éducation et la formation professionnelle, les systèmes de sélection du personnel, les systèmes de crédit, les systèmes utilisés dans l’administration de la justice et les systèmes d’identification biométrique.

Le rôle du Délégué à la Protection des Données (DPD) dans les environnements IA

Les entreprises tenues de désigner un DPD au titre de l’article 37 du RGPD — notamment celles réalisant un traitement à grande échelle de données de catégorie particulière ou un profilage systématique — doivent impliquer leur DPD dans la conception et l’audit des systèmes d’IA dès le départ. Ce principe de privacy-by-design est particulièrement important lorsqu’un système d’IA est acquis auprès d’un fournisseur externe : l’accord de traitement des données doit refléter les obligations de l’article 28 du RGPD, et le client doit vérifier que le fournisseur se conforme au Règlement IA.

Transparence et information des utilisateurs

Le RGPD exige que les personnes concernées soient clairement informées de la manière dont leurs données sont utilisées, y compris si elles sont utilisées pour des décisions automatisées. Les avis de confidentialité de nombreuses entreprises restent insuffisants à cet égard. L’information doit inclure la logique appliquée, la signification du traitement et les conséquences envisagées pour la personne concernée.

Pénalités et supervision

Les infractions graves au RGPD — y compris celles liées aux systèmes d’IA — peuvent entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Le Règlement IA ajoute son propre régime de pénalités avec des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les violations les plus graves (utilisation de systèmes d’IA interdits). L’AEPD espagnole agit comme autorité nationale de contrôle pour les deux cadres réglementaires en matière de protection des données.

Étapes pratiques pour les entreprises déployant de l’IA

Pour les entreprises utilisant ou envisageant de déployer des systèmes d’IA, la feuille de route de conformité recommandée comprend : premièrement, cartographier tous les outils d’IA utilisés et les classer par niveau de risque ; deuxièmement, réviser tous les accords de traitement des données avec les fournisseurs d’IA pour s’assurer qu’ils contiennent les clauses de l’article 28 du RGPD et les obligations de conformité au Règlement IA ; troisièmement, mettre à jour les avis de confidentialité internes pour décrire toute prise de décision automatisée ; et quatrièmement, réaliser une EIPD pour chaque activité de traitement à haut risque identifiée.

Ce processus ne doit pas être contraignant s’il est abordé systématiquement. De nombreuses organisations découvrent que leur infrastructure de conformité RGPD existante fournit une base solide qui peut être étendue pour couvrir les exigences spécifiques à l’IA avec des ajouts ciblés plutôt qu’une reconstruction complète.

Chez BMC, nous conseillons sur la protection des données et l’intelligence artificielle. Découvrez nos services de protection des données.

protection-donnees intelligence-artificielle RGPD

← Retour aux publications

Conseil

Évaluation et analyse

Transformation

Gouvernance et transmission

Stratégie fiscale

Conformité

Régimes spéciaux

Patrimoine et contentieux

Droit commercial et des sociétés

Procédures collectives et restructuration

Social et conformité

Contentieux et résolution

Cybersécurité

Données et IA

Finance et reporting

Services sociétaires

Croissance

Risques et résilience

Articles et analyses

Rapports et livres blancs

Outils

Industries

Bases légales du traitement dans les systèmes d’IA

Décisions automatisées et profilage

Évaluations d’Impact sur la Protection des Données (EIPD)

Le rôle du Délégué à la Protection des Données (DPD) dans les environnements IA

Transparence et information des utilisateurs

Pénalités et supervision

Étapes pratiques pour les entreprises déployant de l’IA

Services associés

Analyse d'Impact sur la Protection des Données (AIPD)

Protection des données & Vie privée

DPO Externalisé (Délégué à la Protection des Données)

Articles associés

Protection des données pour les entreprises : RGPD et LOPDGDD 2026

Protection des données et AI Act : points d'intersection

Que faire si vous recevez un contrôle de l'AEPD

Vous souhaitez en savoir plus ?