RGPD et IA

RGPD et AI Act — deux régimes qui s'ajoutent

Le Règlement général sur la protection des données (RGPD, règlement UE 2016/679) et l'AI Act (règlement UE 2024/1689) ne s'opposent pas et ne se substituent pas l'un à l'autre : ils s'ajoutent. Tout système IA traitant des données à caractère personnel reste intégralement soumis au RGPD — base légale, information des personnes, droits, sécurité, durée de conservation — indépendamment des obligations spécifiques imposées par l'AI Act.

Pour la grande majorité des cas d'usage IA en entreprise (assistants conversationnels, copilotes métier, automatisation de processus, scoring, classification de documents), le RGPD est la première grille de lecture juridique. L'AI Act vient en surcouche pour les systèmes qui relèvent de ses catégories à obligations renforcées (haut risque, transparence).

Cette articulation a une conséquence pratique forte : la conformité RGPD préexistante d'une entreprise française est un actif majeur pour aborder l'AI Act. Le registre des traitements RGPD, les AIPD (analyses d'impact), les procédures d'information, la doctrine d'usage des sous-traitants — tous ces dispositifs s'étendent naturellement aux systèmes IA. À l'inverse, une entreprise qui n'a pas encore consolidé sa conformité RGPD doit traiter les deux sujets de front.

Six bases légales pour traiter des données personnelles par une IA

Tout traitement de données personnelles, y compris par un système IA, doit reposer sur l'une des six bases légales prévues par l'article 6 du RGPD :

• Consentement (art. 6.1.a). Pertinent pour les usages marketing, la personnalisation comportementale ou les services facultatifs. Doit être éclairé, spécifique, univoque et révocable. Difficile à mobiliser dans un cadre RH (relation de subordination).
• Exécution d'un contrat (art. 6.1.b). Pertinent pour les systèmes IA nécessaires à la fourniture d'un service contractuellement engagé : assistant de service client, traitement de commande, recommandation produit dans un service abonné.
• Obligation légale (art. 6.1.c). Pertinent pour les usages imposés par la loi : détection de fraude (LCB-FT), respect d'obligations comptables ou fiscales, conservation d'archives.
• Sauvegarde d'intérêts vitaux (art. 6.1.d). Cas marginal en entreprise (santé d'urgence).
• Mission d'intérêt public (art. 6.1.e). Pertinent pour les organismes publics et les opérateurs de service public.
• Intérêt légitime (art. 6.1.f). Base la plus utilisée pour les systèmes IA non couverts par les autres bases : aide à la décision interne, amélioration de service, sécurité applicative. Soumise à un test de balance (intérêt du responsable versus droits des personnes), à documenter.

Pour les données sensibles au sens de l'article 9 du RGPD (santé, opinions, origine ethnique, biométrie, vie sexuelle, etc.), le régime est plus strict : seules certaines bases sont mobilisables (consentement explicite, médecine préventive, recherche, intérêt public majeur, etc.). Une vigilance particulière s'impose pour les systèmes IA en santé, RH, ou traitant des données de mineurs.

La décision individuelle automatisée — le point dur

L'article 22 du RGPD est le texte le plus structurant pour les usages IA décisionnels en entreprise. Il dispose que toute personne « a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire ».

En pratique, cela signifie qu'un système IA ne peut pas, à lui seul, prendre une décision engageant les droits ou la situation d'une personne — sans intervention humaine substantielle. Cas concrets soumis à cette restriction :

• Refus d'une candidature sans intervention d'un recruteur (cas d'école, désormais rare).
• Refus de crédit sur la base d'un scoring automatique.
• Décision de promotion ou de licenciement fondée sur un système d'évaluation algorithmique.
• Calcul d'une prime d'assurance individuelle ou refus d'une garantie.
• Décision automatique de modération de contenu sur une plateforme.

Trois exceptions sont prévues par l'article 22.2 : nécessité contractuelle, autorisation par le droit de l'Union ou d'un État membre, consentement explicite de la personne. Même en cas d'exception, la personne doit pouvoir obtenir une intervention humaine, exprimer son point de vue et contester la décision (article 22.3).

En pratique, la doctrine CNIL considère que l'« intervention humaine substantielle » implique qu'un humain ait effectivement examiné le dossier, disposé d'un pouvoir réel de modifier la décision, et appliqué un jugement contextuel — et non simplement validé une recommandation algorithmique. Cette doctrine a une conséquence opérationnelle : tout système IA décisionnel doit être conçu pour intégrer une étape de validation humaine documentée, pas une simple confirmation par défaut.

Quand et comment réaliser une analyse d'impact pour un système IA

L'article 35 du RGPD impose la réalisation d'une analyse d'impact relative à la protection des données (AIPD, anciennement DPIA) lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste indicative des cas où une AIPD est obligatoire.

Pour les systèmes IA, une AIPD est généralement requise dans les cas suivants :

• Profilage à large échelle (article 22.1) avec effet sur les personnes : scoring crédit, prédiction de churn, segmentation comportementale étendue.
• Surveillance systématique : analyse d'activité au poste de travail, vidéosurveillance augmentée par IA.
• Données sensibles à grande échelle : systèmes IA en santé, RH (notamment recrutement), banque.
• Croisement de jeux de données issus de plusieurs sources.
• Usage de nouvelles technologies dont la maturité ou les risques ne sont pas pleinement maîtrisés — la CNIL inclut explicitement les modèles d'IA générative dans cette catégorie.

Une AIPD pour un système IA suit la structure classique imposée par l'article 35.7 (description du traitement, nécessité et proportionnalité, identification des risques, mesures de mitigation), mais doit intégrer des éléments spécifiques : analyse des biais potentiels, robustesse aux attaques adverses, supervision humaine, droit à explication. Elle doit être tenue à jour dans la durée et révisée à chaque évolution significative du système.

Encadrer les transferts hors Union européenne

Les modèles d'IA générative les plus utilisés en entreprise (ChatGPT, Claude, Gemini) sont opérés par des fournisseurs américains. L'utilisation de ces modèles implique généralement un transfert de données hors Union européenne, soumis au chapitre V du RGPD (articles 44 à 50).

Plusieurs instruments permettent de sécuriser ces transferts :

• Décision d'adéquation. Les États-Unis bénéficient d'une décision d'adéquation depuis juillet 2023 via le Data Privacy Framework (DPF). Les fournisseurs adhérents au DPF (Microsoft, Google, OpenAI Enterprise, etc.) sont couverts. Le DPF a été contesté juridiquement et reste à surveiller.
• Clauses contractuelles types (CCT). Décision 2021/914 de la Commission européenne. Mécanisme contractuel imposant au destinataire d'offrir des garanties équivalentes au RGPD. Recommandé pour les fournisseurs non couverts par le DPF ou en double sécurité.
• Solutions souveraines. Modèles européens (Mistral, modèles open-source en hébergement européen) qui éliminent le sujet du transfert. Stratégie pertinente pour les organisations soumises à des contraintes de souveraineté renforcées (santé, défense, banque).

La doctrine CNIL recommande, depuis 2023, une analyse spécifique pour les usages IA générative : qualification des données qui transitent, vérification des conditions contractuelles de réutilisation par le fournisseur, mise en place de mesures techniques complémentaires (anonymisation, chiffrement, restriction des champs envoyés).

Les recommandations émises par la CNIL sur l'IA

La CNIL a publié depuis 2022 plusieurs séries de recommandations spécifiques à l'intelligence artificielle, structurées en plusieurs thèmes :

• Constitution de jeux de données d'entraînement : choix des données, gestion des données sensibles, anonymisation et pseudonymisation, conservation, partage entre acteurs.
• Information des personnes : formats d'information appropriés au caractère technique des systèmes IA, mentions à intégrer dans les politiques de confidentialité.
• Droits des personnes : modalités d'exercice des droits d'accès, de rectification et d'effacement sur les modèles entraînés, articulation avec le secret des affaires.
• Sécurité des systèmes IA : protection contre les attaques adverses, gestion des fuites de données, sécurité des modèles fine-tunés.
• Usage des outils d'IA générative en entreprise : recommandations spécifiques sur l'usage de ChatGPT, Claude, Gemini et équivalents, encadrement du shadow AI.

Ces recommandations n'ont pas la force d'un texte réglementaire, mais elles fixent la doctrine d'application du RGPD telle que la CNIL la mobilisera en contrôle. Notre cabinet intègre systématiquement les dernières recommandations CNIL dans ses missions de mise en conformité.

Questions fréquentes — RGPD et IA

Faut-il consentir au traitement de ses données pour utiliser ChatGPT ?

Côté utilisateur particulier : oui, OpenAI demande le consentement à ses conditions générales lors de l'inscription. Côté entreprise déployeur : la situation est plus complexe. Si vos collaborateurs utilisent ChatGPT (ou équivalent) pour traiter des données personnelles de clients ou de tiers, l'entreprise reste responsable du traitement et doit disposer d'une base légale propre, indépendamment du consentement aux conditions générales. C'est pourquoi les versions Enterprise (OpenAI Enterprise, Claude Enterprise, Mistral Enterprise) qui contractualisent la non-réutilisation des données sont nécessaires en usage professionnel sur données personnelles.

Une AIPD est-elle obligatoire pour tout système IA ?

Non. L'AIPD est obligatoire pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés. Pour un assistant IA en usage transverse interne (ChatGPT Enterprise, Claude pour la productivité quotidienne), une AIPD spécifique n'est généralement pas requise — une analyse simplifiée et l'inscription au registre suffisent. Pour un système de scoring, de profilage, de surveillance ou de décision automatisée individuelle, l'AIPD devient obligatoire.

Comment gérer une demande de droit d'accès sur un système IA ?

Le droit d'accès (article 15 RGPD) permet à une personne d'obtenir confirmation que ses données sont traitées et copie de ces données. Pour un système IA, cela inclut les données qui ont servi à produire une décision ou une recommandation la concernant. La doctrine CNIL recommande de communiquer également les informations utiles sur la logique sous-jacente du système — sans imposer la divulgation des secrets d'affaires du modèle. En pratique, cela se traduit par une explication métier de ce qui a été pris en compte, sans nécessairement détailler les paramètres techniques.

Un système IA peut-il « oublier » des données ?

Question complexe juridiquement. Le droit à l'effacement (article 17 RGPD) impose la suppression des données. Pour un modèle IA entraîné, l'oubli n'est pas trivial : les informations sont diffuses dans les poids du modèle, sans correspondance directe avec les enregistrements d'entrée. Plusieurs approches émergent : machine unlearning (techniques de retrait ciblé, encore peu matures), réentraînement complet sur jeu de données purgé (coûteux mais fiable), filtrage en sortie (mitigation, pas effacement strict). En pratique, la documentation des limitations et la mise en place de procédures de signalement est généralement acceptée comme effort de mise en conformité.

Le DPO doit-il être impliqué dans la conformité AI Act ?

Oui systématiquement. Le DPO conserve sa mission RGPD sur tous les traitements de données personnelles, y compris ceux opérés par des systèmes IA. Au-delà, sa connaissance des dispositifs de conformité existants (registre, AIPD, procédures internes) en fait un acteur naturel du comité IA. La doctrine émergente recommande une articulation forte mais sans fusion : le DPO siège au comité IA, mais la direction de la conformité IA peut être confiée à un référent dédié pour les organisations de taille suffisante.

Quel impact aura le règlement Digital Omnibus sur le RGPD ?

Le Digital Omnibus (accord politique du 7 mai 2026) vise principalement à simplifier et harmoniser les textes numériques européens. Sur le RGPD, le périmètre reste limité : pas de remise en cause des principes fondamentaux. Les ajustements concernent essentiellement l'articulation pratique avec l'AI Act, le calendrier d'application des obligations haut risque, et la rationalisation de certains processus de notification aux autorités. À ce stade, la doctrine et la pratique du RGPD restent stables, sous réserve de publication finale au Journal officiel de l'Union européenne.