AI Act et RGPD

Le RIA remplace-t-il les obligations imposées par le RGPD ?

Non, le Règlement Européen sur l'Intelligence Artificielle (AI act) est très explicite à ce sujet : il ne se substitue pas aux exigences du RGPD. En réalité, son objectif est de les compléter en établissant les conditions nécessaires à la création et à la mise en place de systèmes d’IA fiables.

En pratique, le RGPD s'applique à tous les traitements de données à caractère personnel, notamment :

• Pendant la phase de développement d’un système d’IA : un fournisseur de système ou de modèle d’IA, au sens du RIA, sera généralement considéré comme responsable du traitement conformément aux principes du RGPD. Cela implique notamment une analyse d’impact (AIPD) et des mesures de minimisation des données.

• Lors de la phase d’utilisation (ou de déploiement) d’un système d’IA : un déployeur ou utilisateur de système d’IA qui traite des données sensibles ou personnelles sera également, en général, responsable en vertu du RGPD.

Cependant, le RIA impose des obligations spécifiques dont la mise en œuvre peut faciliter la conformité aux obligations de protection des données personnelles déjà prévues par le RGPD.

AI Act & RGPD : Comment savoir quel(s) règlement(s) s’applique(nt) pour mon organisation ?

Étant donné que le RIA concerne uniquement les systèmes d’IA et IA génératives, tandis que le RGPD s’applique à tout traitement de données personnelles, quatre scénarios sont envisageables :

1. Seul le RIA s’applique : concerne un fournisseur de système d’IA à haut risque qui n’implique pas de données personnelles.

   • Exemple : un système d’IA utilisé pour optimiser la maintenance prédictive d’une usine industrielle.

2. Seul le RGPD s’applique : lorsqu’un système utilisant l’IA traite des données personnelles sans être soumis au RIA.

   • Exemple : un chatbot qui collecte des données clients mais n’est pas classé comme IA à haut risque.

3. Les deux s’appliquent : lorsqu’un système d’IA à haut risque nécessite des données sensibles pour son fonctionnement.

   • Exemple : un système d’IA pour l’analyse prédictive de dossiers médicaux.

4. Aucun des deux ne s’applique : lorsqu’un système d’IA à faible risque n’implique pas de collecte de données.

   • Exemple : un générateur de musiques personnalisées.

Comment le RIA influence-t-il le RGPD ?

Le RIA et le RGPD régissent des aspects différents mais complémentaires. La conformité au RIA facilite souvent la mise en œuvre des obligations liées au RGPD, comme la protection des données personnelles et la gestion de leur traitement.

Par exemple, la conformité d’un système d’IA au RGPD est incluse dans la déclaration de conformité exigée par le Règlement IA Act. De plus, ce règlement prévoit :

• L’autorisation exceptionnelle du traitement de données sensibles pour corriger les biais d’un système d’IA.
• La réutilisation de données dans des bacs à sable réglementaires, avec supervision d’autorités et consultation des délégués à la protection des données personnelles (DPO).

Comment concilier les exigences du RIA et du RGPD ?

Le RIA et le RGPD abordent parfois des notions similaires mais sous des perspectives différentes.

C'est le cas, par exemple, des principes de transparence et des obligations de documentation, qui illustrent la complémentarité de ces règlements.

Les mesures de transparence

Le RGPD impose des obligations de transparence, principalement pour informer les personnes dont les données sont traitées sur les modalités de ce traitement (les raisons, les responsables, les méthodes, la durée, etc.). Ces obligations s'appliquent tant au développement d'un système d'IA qu'à son utilisation sur ou par des individus, impliquant ainsi un traitement de données personnelles.

Le RIA prévoit également des mesures de transparence comparables, telles que la publication des données utilisées pour entraîner des modèles d'IA à usage général (article 53) ou la transparence des systèmes interagissant avec des individus (article 50).

Différences entre l’AI Act et le RGPD

Bien que le Règlement sur IA (AI Act) et le RGPD partagent de nombreuses similarités et se complètent mutuellement, leurs objectifs et leurs approches sont distincts.

Voici un tableau récapitulatif des spécificités du RIA par rapport au RGPD. Pourquoi anticiper à la fois le RGPD et l’AI Act ?

Toute organisation qui souhaite utiliser l’intelligence artificielle doit penser double conformité :

• RGPD : pour assurer la protection des données personnelles.
• AI Act : pour garantir la loyauté et la sécurité des systèmes déployés.

Ne pas anticiper ces règles expose à des sanctions lourdes et à une perte de confiance. À l’inverse, une mise en place proactive offre un avantage concurrentiel et rassure partenaires et clients.

Sanctions prévues par le RGPD et l’AI Act

L’un des points communs entre les deux règlements est la sévérité des sanctions :

• RGPD : amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

• AI Act (RIA) : sanctions pouvant atteindre 30 millions d’euros ou 6 % du chiffre d’affaires mondial.

Ces montants montrent que l’Europe ne prend pas à la légère la protection des données personnelles et la régulation de l’usage de l’IA. Pour les entreprises, la mise en œuvre d’une conformité solide est donc stratégique, et pas seulement juridique.

Quel rôle pour le DPO dans la conformité AI Act & RGPD ?

Le délégué à la protection des données personnelles (DPO) joue un rôle clé dans la conciliation des deux règlements :

• Il accompagne les équipes dans la collecte de données et veille à la minimisation.

• Il pilote les analyses d’impact (AIPD) lorsque des traitements à risque sont envisagés.

• Il conseille sur l’application du RGPD dans les projets utilisant l’IA, y compris les IA génératives.

• Il fait le lien avec les autorités de contrôle et participe à la documentation exigée par l’AI Act.

En pratique, toute organisation qui souhaite développer ou utiliser l’intelligence artificielle de manière responsable doit renforcer le rôle stratégique de son DPO.

Impact sur les PME et startups

Souvent, les PME et les startups s’inquiètent de la lourdeur administrative. Pourtant, le RIA (AI Act) prévoit des dispositifs adaptés :

• Des bacs à sable réglementaires permettant d’expérimenter des systèmes innovants dans un cadre sécurisé.

• Une approche graduée selon le niveau de risque : faible, limité, élevé ou interdit.

• Des obligations proportionnées qui évitent de freiner l’innovation tout en garantissant la sécurité et la transparence.

Cela signifie qu’une startup développant une IA de recommandation musicale n’aura pas les mêmes contraintes qu’une entreprise de santé utilisant l’IA pour analyser des dossiers médicaux.

Conclusion : RIA et RGPD, une alliance nécessaire

L'vAI Act ne remplace pas le RGPD, il le complète. Les entreprises doivent donc :

• Respecter les principes du RGPD (minimisation, transparence, AIPD).

• Préparer la mise en œuvre des obligations spécifiques du règlement européen sur l’intelligence artificielle.

• Impliquer leurs délégués à la protection des données personnelles.

• Adapter chaque projet utilisant l’Intelligence artificielle (IA génératives, prédictives, etc.) pour rester conforme.

👉 Concilier application du RGPD et respect de l’AI Act est désormais une condition essentielle pour innover de manière responsable en Europe.

FAQ : RIA (AI Act) et RGPD

Le RIA remplace-t-il le RGPD ?
Non. L’AI Act complète le RGPD mais ne le remplace pas.

Dois-je réaliser une analyse d’impact (AIPD) si je développe une IA ?
Oui, dès lors que des données personnelles sont traitées, une AIPD est obligatoire.

Qui est responsable de la conformité ?
Le fournisseur et le déployeur d’un système d’IA sont responsables, tout comme le responsable de traitement au titre du RGPD.

Quelles entreprises sont concernées ?
Toutes les organisations qui développent, déploient ou utilisent l’intelligence artificielle en Europe.