RGPD et IA Act : une articulation qui ne va pas de soi

Le 1er août 2024, le règlement sur l’intelligence artificielle (RIA) est entré en vigueur, visant à encadrer le développement et le déploiement des systèmes d’IA sur le marché européen. Il classe les modèles d’IA selon leur niveau de risque pour garantir la protection des droits fondamentaux et la sécurité des personnes. Les entreprises qui développent ou déploient des systèmes d’IA à haut risque, comme les dispositifs médicaux, devront mettre en place un certain nombre de règles, comme s’assurer que les données de leurs modèles ne sont pas biaisées, ce qui n’est pas une mince affaire.

Pour les délégués à la protection des données personnelles (DPO), l’articulation entre ce RIA et le RGPD sera l’un des grands défis des prochaines années. Si les deux réglementations convergent à plusieurs niveaux, notamment en termes d’analyse d’impact, d’appréciation des risques et d’obligations de transparence, ils ont en effet des approches du risque différentes. 

Une chaîne de responsabilité élargie

Première des évolutions constatée : “la chaîne de responsabilités entre les acteurs va s’élargir”, indique à mind Health Anisse Chagraoui, DPO et chercheur universitaire doctorant. Cela démontre “une plus forte méfiance vis-à-vis des potentialités de l’IA sur l’usage de la donnée, et particulièrement en santé”, dit-il.

Pourtant, beaucoup d’entreprises encore n’ont pas pris la mesure de ce que ce nouveau corpus réglementaire sur l’IA va changer. “Nous sommes encore dans un entre-deux, entre l’obligation de se conformer qui commence à être introduite dans les consciences collectives, et une certaine réticence. C’est d’emblée perçu par certains professionnels comme étant un frein à l’innovation et à l’activité”, observe Amelle Bouchareb, avocate au Barreau de Paris.

Les DPO, en tant que garants sur le terrain de la protection de données, voient leur rôle “renforcé et élargi” avec la nouvelle réglementation sur l’IA, soutient Anisse Chagraoui. “C’est à la fois difficile et passionnant de trouver notre positionnement. Nous découvrons la nouvelle réglementation quasiment en temps réel. La Cnil produit beaucoup de droit souple, d’interprétation qui peuvent être sujet à des contentieux dans le futur. Nous devons donc anticiper les futurs contentieux possibles et les points sur lesquels la Cnil va avoir une approche plus rigoureuse”, analyse ce dernier. Il cite le cas notamment des données synthétiques, pour lesquelles il existe “des zones d’ombre”, étant donné que “l’anonymisation n’est pas une valeur absolue d’un point de vue technique”.

Des risques identifiés

Les DPO voient la minimisation des données comme un point de friction potentiel. “D’un côté, le RGPD impose un principe de minimisation des données, alors que de l’autre côté, l’idée est de rendre l’IA plus performante à travers un usage des données, indique Anisse Chagraoui. Nous ne savons pas comment les entreprises vont se positionner sur ce point.”

Les DPO anticipent aussi des contentieux sur la question de la responsabilité. “Il n’y a pas de cadre juridique clair aujourd’hui, nous ne savons pas sous quel régime nous parlons. Est-ce un régime qui a tendance à mettre plutôt en évidence la responsabilité du fabricant, celle du professionnel, ou est-ce qu’il s’agit de la responsabilité du fait des choses [lorsqu’un dommage est causé par une chose, c’est l’obligation de réparer le préjudice qui résulte du fait des choses dont on a la garde, ndlr] ? Cette dernière existe en droit français mais n’est pas du tout adaptée au regard de la complexité que représentent les systèmes d’IA à mon sens. C’est l’avenir qui nous le dira. Le fait que nous ne soyons pas en mesure de répondre précisément et juridiquement à cette question est source d’inquiétude des clients, qui ont, eux, parfaitement conscience de cette réglementation et des conséquences qu’elle implique”, soulève Amelle Bouchareb.

Concernant le recueil de consentement, des doublons risquent en outre de coexister. “Pour éviter une lourdeur au niveau des consentements attendus, il y a une procédure à mettre en œuvre, sous peine de se noyer dans un flot de consentements avec des bases juridiques différentes”, estime Anisse Chagraoui.

La Cnil étoffe sa stratégie sur l’IA

La Cnil, en qualité de gendarme de la protection des données, s’est saisie du dossier. S’il y a pour l’heure plus de questions que de réponses, l’autorité de protection des données française prône un “devoir de vigilance” vis-à-vis des algorithmes, comme l’a rappelé Thomas Dautieu, directeur de l’accompagnement juridique à la Cnil, invité d’une table-ronde de l’Acsel le 25 mars dernier sur l’articulation entre le RGPD et le RIA. 

La Cnil s’est dotée depuis 2023 d’un service pluridisciplinaire dédié à la compréhension et à l’analyse transverse des modèles d’IA. En santé, la Cnil accompagne actuellement Docaposte autour de sa solution Dalvia Santé dédiée à la synthèse et aux comptes rendus médicaux.

Les autorités européennes de régulation des données personnelles ont commencé à se pencher sur les modèles d’IA générative extra-européens. La Cnil italienne est la première à avoir sanctionné l’Américain OpenAI à hauteur de 15 millions d’euros pour non-conformité au RGPD. D’autres investigations ont depuis suivi en France, en Italie et en Irlande visant la société chinoise DeepSeek. “Sur les 17 000 plaintes reçues ces deux dernières années, une cinquantaine seulement portent sur les systèmes d’IA. Cela représente très peu de sujets encore, mais ce volume devrait très certainement augmenter”, a souligné Thomas Dautieu.

La stratégie de la Cnil relative à l’intelligence artificielle se déploie en quatre étapes. La première porte sur la compréhension du texte volumineux de l’AI Act et du marché économique de l’IA en général. L’encadrement du développement d’IA respectueuses de la vie privée, l’accompagnement des acteurs concernés, ainsi qu’une phase d’audit et de contrôle du règlement viennent compléter la feuille de route. La Cnil entend ainsi fixer un cadre légal clair avant de contrôler la conformité des pratiques au RGPD, comme ce qui a été fait avec les cookies tiers, rappelle Thomas Dautieu.

Les développeurs ont leurs fiches pratiques

Pour aider les développeurs, la Cnil produit un corpus de fiches synthétiques sur le régime juridique, la base légale, les conditions de réutilisation des données, la collecte des données ou encore le privacy by design. Il reste à finaliser “d’ici fin juin” celles portant sur la base légale de l’intérêt légitime, les droits des personnes, l’annotation des données et la sécurité. 

Le Comité européen de la protection des données (CEPD) a également publié le 18 décembre 2024 un avis concernant l’utilisation des données personnelles dans le domaine de l’IA, à la demande de l’autorité de protection des données irlandaise (Irish Data Protection Authority). Cet avis examine trois choses : quand et comment les modèles d’IA peuvent être considérés comme anonymes, si et comment l’intérêt légitime peut servir de base juridique au développement ou au déploiement des modèles d’IA, et enfin ce qui se passe si un modèle d’IA est développé à partir de données personnelles traitées illégalement. L’avis précise notamment que le caractère anonyme d’un modèle d’IA doit être évalué “au cas par cas” par les autorités nationales de protection des données.

“Cet avis est structurant et donne une boussole pour les autorités européennes”, souligne Thomas Dautieu. Le CEPD devrait en outre produire prochainement des lignes directrices sur l’articulation des textes européens, notamment entre le RGPD et le règlement sur l’IA.