La convergence du Règlement général sur la protection des données (RGPD, Règlement (UE) 2016/679) avec la Loi sur l'intelligence artificielle (AI Act, Règlement (UE) 2024/1689) crée un cadre réglementaire à double niveau qui affecte toute entreprise utilisant des systèmes d'IA pour traiter des données personnelles. Comprendre comment ces deux réglementations interagissent — là où elles se renforcent mutuellement et là où elles créent des tensions — constitue le point de départ essentiel pour élaborer un programme de conformité robuste à l'ère de l'IA.
La double base réglementaire : le RGPD et l’AI Act comme cadres complémentaires
Le RGPD est directement applicable dans l’ensemble de l’UE depuis mai 2018 et a été transposé en droit national espagnol par la LOPD-GDD (Loi organique 3/2018, du 5 décembre), qui a désigné l’Agence espagnole de protection des données (AEPD) comme autorité nationale de contrôle et a introduit des dispositions spécifiques dans les domaines où le RGPD laisse une marge de manœuvre aux États membres.
L’AI Act a été publié au Journal officiel de l’UE le 12 juillet 2024 et s’applique par étapes : les interdictions relatives aux systèmes d’IA présentant un risque inacceptable sont entrées en vigueur le 2 février 2025, les obligations relatives aux systèmes d’IA à haut risque et aux modèles d’IA à usage général s’appliqueront à compter du 2 août 2026, et le cadre complet (y compris les obligations relatives à l’IA intégrée dans des produits couverts par d’autres législations européennes) s’appliquera à compter du 2 août 2027.
Le considérant 97 de l’AI Act reconnaît la concurrence des deux réglementations et établit qu’en cas de conflit concernant la protection des données personnelles, le RGPD prévaut, tandis que l’AI Act ajoute des exigences spécifiques aux systèmes d’IA. En pratique, la grande majorité des systèmes d’IA à haut risque traitent des données personnelles à un stade de leur cycle de vie — entraînement, validation, inférence ou génération de résultats — ce qui signifie que les obligations du RGPD et de l’AI Act s’appliquent simultanément dans la plupart des cas d’utilisation pertinents.
L’article 22 du RGPD et la prise de décision automatisée
L’article 22 du RGPD confère aux personnes le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé — y compris le profilage — qui produit des effets juridiques ou les affecte de manière significative de façon similaire. Cette disposition est directement pertinente pour les systèmes d’IA utilisés dans l’évaluation du crédit, l’évaluation des candidats dans le cadre du recrutement, le calcul des primes d’assurance et la détermination de l’éligibilité aux prestations sociales — précisément les catégories classées à haut risque dans l’annexe III de l’AI Act.
Pour qu’une décision entièrement automatisée soit licite au titre de l’article 22 du RGPD, au moins une des trois conditions suivantes doit être remplie : (i) la décision est nécessaire à la conclusion ou à l’exécution d’un contrat ; (ii) elle est autorisée par le droit de l’Union ou d’un État membre ; ou (iii) elle est fondée sur le consentement explicite de la personne concernée. Dans tous les cas, le responsable du traitement doit mettre en œuvre des garanties appropriées, notamment le droit à une intervention humaine, le droit pour la personne concernée d’exprimer son point de vue et le droit de contester la décision.
L’exigence de contrôle humain de l’AI Act (article 14) fonctionne comme un complément de l’article 22 du RGPD : les systèmes d’IA à haut risque doivent être conçus de manière à ce que les personnes responsables du contrôle puissent comprendre les capacités et les limites du système, détecter et traiter les situations de dysfonctionnement ou de biais, et neutraliser ou arrêter le système le cas échéant. Cela signifie que l’architecture technique du système d’IA doit permettre un véritable contrôle humain — et non une simple approbation formelle a posteriori.
Les analyses d’impact relatives à la protection des données pour les systèmes d’IA
L’article 35 du RGPD impose aux responsables du traitement de réaliser une analyse d’impact relative à la protection des données (AIPD) avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Les activités de traitement nécessitant une AIPD obligatoire comprennent l’évaluation systématique et approfondie de données personnelles fondée sur un traitement automatisé (y compris le profilage), le traitement à grande échelle de catégories particulières de données et la surveillance systématique de zones accessibles au public.
L’AEPD a publié sa liste des types de traitement nécessitant une AIPD en 2019. Dans le contexte de l’AI Act, cette liste doit être actualisée pour inclure les systèmes d’IA qui effectuent un profilage systématique, traitent des données biométriques, prennent des décisions automatisées dans les domaines de l’emploi ou des services financiers, ainsi que tout système d’IA à haut risque au titre de l’annexe III traitant des données personnelles.
Une AIPD pour un système d’IA doit aborder, au-delà des éléments standard de l’article 35 du RGPD, les risques spécifiques inhérents à l’IA : les biais algorithmiques qui génèrent des discriminations indirectes, l’opacité des modèles (l’effet boîte noire qui empêche les personnes concernées de comprendre le fondement des décisions les affectant), les attaques par ré-identification et inférence visant les données d’entraînement, et la dérive des modèles au fil du temps qui génère des résultats moins précis ou plus biaisés que ceux évalués au moment du déploiement.
La protection de la vie privée dès la conception et par défaut dans les systèmes d’IA
L’article 25 du RGPD établit le principe de protection des données dès la conception et par défaut : le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même. Pour les systèmes d’IA, cela signifie intégrer les garanties de protection des données dans le processus de conception du système — et non comme une mesure corrective après le déploiement.
Les mesures techniques de protection de la vie privée dès la conception pour les systèmes d’IA comprennent : l’anonymisation ou la pseudonymisation des données d’entraînement lorsque cela est possible sans perte significative de l’utilité du modèle ; la mise en œuvre de techniques d’apprentissage fédéré qui évitent la centralisation des données personnelles ; l’utilisation de la confidentialité différentielle pour limiter ce que le modèle peut révéler sur des individus spécifiques ; et les audits de biais et d’équité intégrés dans le pipeline de développement et de validation plutôt que réalisés comme un exercice ponctuel avant la mise en production.
Le DPD à l’ère de l’AI Act : de nouvelles responsabilités
Le délégué à la protection des données (DPD), obligatoire pour certaines catégories de responsables du traitement et de sous-traitants en vertu de l’article 37 du RGPD, acquiert de nouvelles responsabilités dans le contexte de l’AI Act. Le DPD doit être informé et consulté concernant les systèmes d’IA qui traitent des données personnelles, doit participer à l’AIPD pour les systèmes d’IA à haut risque et doit se coordonner avec le responsable de la conformité à l’AI Act (qui peut être la même personne que le DPD ou une personne distincte, selon la taille et la structure de l’organisation).
La Commission européenne a indiqué dans ses orientations interprétatives que le DPD est le point de contact naturel pour les processus d’AIPD relatifs aux systèmes d’IA, mais que les compétences techniques requises pour évaluer les risques spécifiques à l’IA — biais, opacité, robustesse, attaques adversariales — peuvent nécessiter l’intégration de profils techniques spécialisés au sein de l’équipe de conformité. Les organisations qui font appel à un DPD externe doivent évaluer si le prestataire externe possède l’expertise technique en matière d’IA nécessaire pour assumer ce rôle élargi, ou si un soutien spécialisé complémentaire est requis.
Le registre des activités de traitement et les systèmes d’IA
L’article 30 du RGPD impose aux responsables du traitement et aux sous-traitants de tenir un registre des activités de traitement. Lorsqu’un système d’IA traite des données personnelles, ce traitement doit être documenté dans le registre avec les informations requises : finalité, catégories de données, destinataires, durées de conservation et mesures de sécurité. En outre, si le système est à haut risque au titre de l’AI Act, le fournisseur doit tenir un journal parallèle (article 12 de l’AI Act) qui peut compléter le registre du responsable du traitement mais répond à des obligations réglementaires distinctes. La gestion de l’interaction entre ces deux exigences documentaires sans duplication ni contradiction constitue l’un des défis pratiques de conformité auxquels les organisations sont confrontées lors du déploiement de systèmes d’IA.
Les pratiques d’IA interdites par l’AI Act : les interdictions absolues
À compter du 2 février 2025, l’AI Act interdit un ensemble d’applications d’IA sans aucune possibilité d’exception ou d’autorisation. Celles-ci comprennent : les systèmes d’IA qui déploient des techniques subliminales ou manipulatrices pour fausser le comportement de manière à causer un préjudice ; les systèmes qui exploitent les vulnérabilités de groupes spécifiques (âge, handicap) pour altérer leur comportement ; les systèmes de notation sociale par des acteurs publics ou privés fondés sur le comportement ou des caractéristiques personnelles ; les systèmes d’identification biométrique en temps réel dans les espaces publics par les autorités répressives (avec des exceptions limitées) ; et les systèmes d’IA utilisés pour déduire les émotions sur le lieu de travail ou dans les établissements d’enseignement, sauf pour des raisons médicales ou de sécurité.
Pour les organisations disposant de programmes de gouvernance de l’IA au titre du RGPD, ces interdictions s’alignent sur les principes de minimisation des données et de limitation des finalités, mais vont plus loin en interdisant des catégories entières de traitement, indépendamment de l’existence d’une base juridique au titre du RGPD.
Implications sectorielles
Ressources humaines et gestion des talents : Les outils de présélection et d’évaluation des candidats fondés sur l’IA relèvent de l’annexe III de l’AI Act en tant que systèmes à haut risque dans le domaine de l’emploi. Ces outils nécessitent une AIPD au titre du RGPD et une évaluation de conformité au titre de l’AI Act avant leur déploiement, et doivent être enregistrés dans la base de données européenne des systèmes d’IA à haut risque avant leur mise sur le marché.
Services financiers : Les systèmes d’évaluation du crédit, d’analyse de la solvabilité et de détection des fraudes utilisant l’IA sont à haut risque au titre de l’annexe III. Le chevauchement avec les restrictions du RGPD relatives à la prise de décision automatisée (article 22) et les exigences de transparence de l’AI Act crée une charge documentaire significative, mais offre également l’opportunité de construire un cadre de gouvernance unifié de l’IA qui satisfait simultanément les deux réglementations.
Santé : Les systèmes d’IA utilisés pour le diagnostic, le pronostic ou les recommandations thérapeutiques sont à haut risque au titre de l’annexe III et traitent des données de catégories particulières au titre de l’article 9 du RGPD. L’exigence d’un consentement explicite ou d’une autre base juridique au titre de l’article 9, paragraphe 2, du RGPD doit être évaluée conjointement avec les exigences de conformité de l’AI Act pour les dispositifs médicaux et les systèmes de santé.
Chez BMC, notre équipe juridique et de protection des données conseille les entreprises de tous secteurs en matière de conformité au RGPD et de préparation à l’AI Act. Découvrez nos services de protection des données et de conformité à l’IA.
