Entre l’adoption du Règlement (UE) 2024/1689 (IA Act), le sommet de l’IA réunissant les autorités européennes de protection des données à Paris en février 2025, les avis du Comité Européen à la Protection des Données (CEPD) et le plan d’action de la CNIL visant à concilier innovation et protection des individus, le cadre réglementaire autour de l’intelligence artificielle se précise et se renforce.
Dans cette dynamique, la CNIL a publié en avril 2024, puis en février 2025, trois recommandations portant sur l’application du RGPD (Règlement UE 2016/679) aux systèmes et modèles d’IA. Ces recommandations précisent les principes essentiels à respecter pour garantir la conformité et protéger les droits des personnes concernées.
Mais alors, quelles sont vos obligations et comment assurer la conformité de vos outils IA ?
Les systèmes d’IA dits « à risque inacceptable » parce qu’ils représentent une menace évidente pour la sécurité, les moyens de subsistance et les droits des personnes sont interdits depuis deux mois.
Il est dès lors impératif de cartographier votre utilisation de l’IA, en :
1. Déterminant la nature de l’IA utilisée, entre système automatisé générant des prédictions, du contenu, des recommandations ou des décisions pouvant influencer les environnements physiques ou virtuels ou modèle développé afin d’exécuter un large éventail de tâches distinctes, indépendamment de la manière dont il est mis sur le marché.
2. Analysant le niveau de risque associés à l’IA selon la nature de l’IA.Pour les systèmes d’IA, il convient d’évaluer si celui-ci présente un risque inacceptable, élevé, limité ou minime. Pour les modèles d’IA, il s’agit de déterminer s’il est à risque systémique et dispose de capacités à fort impact ayant une incidence significative sur le marché de l’Union, ou non.
Cela vous permettra par la suite de définir votre rôle dans la chaîne de valeur de l’IA (fournisseur, déployeur, importateur, distributeur) et partant les obligations qui vous sont applicables selon la nature de l’IA utilisée et son niveau de risque.
Une fois cette cartographie réalisée, il devient alors primordial d’organiser, en interne, vos règles de développement, s’il y a lieu, et d’utilisation et de recours à l’IA.
Un tel document devrait couvrir plusieurs aspects cruciaux pour garantir la sécurité des votre entreprise, des personnes et de l’IA utilisée. A ce titre, une Politique IA devrait permettre assurer une utilisation éthique, transparente et responsable de l’IA et contenir les éléments suivants :
- l’identification des outils enrichis à l’IA que vous avez cartographiés ;
- l’information de vos collaborateurs et autres utilisateurs de l’utilisation de l’IA et des décisions susceptibles d’être prise avec l’IA ;
- un processus interne en cas de développement ou de recours à une nouvelle IA non encore cartographiée ;
- l’obligation d’évaluation les risques de tout nouvel outil d’IA et de réaliser une évaluation régulière des systèmes et modèles d’IA déjà cartographiés ;
- l’obligation pour vos collaborateurs d’utiliser seulement des outils d’IA cartographiés et dont le niveau de risque a été évalué et validé par votre entreprise ;
- une politique de gestion des données utilisées pour entraîner ou opérer les outils d’IA, et des données générées par ces derniers dans le respect des principes clés du RGPD.
Ainsi, au-delà des procédures à suivre en cas de nouveaux projets au sein de votre entreprise, une telle politique interne vous permettra de déterminer les comportements à adopter au quotidien face à l’intelligence artificielle.
Il conviendra également de sensibiliser vos collaborateurs aux bonnes pratiques et aux risques liés à l’utilisation de l’IA (risque de violation du secret des affaires, biais algorithmiques, risques d’erreurs, éthique, sécurité des données, risques liés à la protection des données, etc.).
Dès lors qu’une intelligence artificielle implique le traitement de données à caractère personnel, il convient de la conformer aux exigences de la règlementation application en matière de protection des données.
Dans ses recommandations d’avril 2024, à la lumière de l’IA Act et du RGPD, la CNIL a d’ailleurs défini une marche à suivre en sept étapes pour assurer la conformité d’un acteur lors du recours à l’intelligence artificielle.
1. Définir une finalité spécifique, par la détermination des fonctionnalités du système ou du modèle d’IA, de ses capacités prévisibles les plus à risque et/ou de ses conditions d’utilisation.
2. Déterminer votre responsabilité entre responsable de traitement et sous-traitant, selon votre rôle dans la chaîne de valeur del’IA et de votre degré de contrôle et d’initiative sur le traitement réalisé.
3. Définir la base légale applicable à votre traitement, parmi les six bases légales du RGPD : consentement, intérêt légitime, exécution d’un contrat, obligation légale, mission d’intérêt public ou sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers.
4. Vérifier la possibilité de réutilisation des données collectées, que vous les ayez collectées vous-même en effectuant un test de compatibilité, auprès d’un tiers en vous assurant de la validité de sa collecte, ou en réalisant une analyse au cas par cas pour les données publiquement accessibles.
5. Assurer le respect du principe de minimisation des données, en ne collectant que les données strictement adéquates, pertinentes et limitées à ce qui est nécessaire pour atteindre votre finalité et ce dès la conception de l’IA (privacy by design), en menant une étude pilote et/ou en interrogant un comité éthique.
6. Définir une durée de conservation, en distinguant entre conservation pour la phase de développement et conservation pour la maintenance ou l’amélioration du système.
7. Évaluer les risques et réaliser une analyse d’impact sur la protection des données (AIPD), afin de cartographier et d’évaluer les risques des traitements mis en place, ce qui vous permettra de définir les mesures de sécurité à adopter pour protéger les données à caractère personnel traitées par votre système.
Comme pour tout traitement de données personnelles, la préoccupation centrale du RGPD et de la CNIL est d’assurer la défense des personnes concernées. L’IA n’y échappe pas, et l’information des personnes est une clé essentielle sur ce point.
Dès lors qu’une IA collecte, traite, stocke, exploite, des données à caractère personnel dans le cadre de son développement et de son entraînement, vous devez impérativement informer les personnes concernées.
Cette information doit :
· spécifier de façon claire, précise et accessible les finalités du traitement ;
· indiquer les catégories de données collectées et leurs sources ;
· clairement distinguer les traitements à des fins de développement de ceux poursuivant d’autres finalités ;
· indiquer toute donnée exploitée à des fins d’apprentissage, et retenues par l’IA ;
· spécifier la nature des risques associés à l’extraction des données.
La CNIL admet néanmoins une limite à cette obligation d’information, en admettant que sa diffusion s’adapte auxc ontraintes opérationnelles de l’intelligence artificielle.
Puisque la protection des personnes concernées passe également par la possibilité d’exercer leurs droits, vous devez assurer l’exercice effectif des droits d’accès, de rectification, d’effacement, delimitation, d’opposition, de retrait du consentement, à la portabilité et à une mort numérique.
Les personnes concernées doivent pouvoir exercer leurs droits tant :
· sur les bases de données d’apprentissage ; que
· sur les modèles d’IA s’ils ne sont pas considérés comme anonymes.
Néanmoins, la CNIL admet des limites dans l’exercice des droits et vise, dans ses recommandations de février 2025, à garantir les droits des personnes concernées sans entraver l’innovation en matière d’IA.
Ainsi, si la présence des données de la personne concernée dans le modèle ou sa base d’apprentissage n'est pas évidente, vous pourrez démontrer, en qualité de responsable de traitement, que vous n’êtes plus en mesure d’identifier la personne.
Dans tous les cas, afin d’anticiper des difficultés dans l’exercice effectif des droits des personnes concernées, vous pouvez :
- indiquer aux personnes concernées les informations complémentaires à fournir pour permettre leur identification ;
- identifier la personne concernée au sein des données d’entraînement si vous en disposez encore avant de vérifier si elles ont été mémorisées par le modèle et sont susceptibles d’en être extraites ;
- vous appuyer sur la typologie des données d’entraînement lorsque vous ne disposez plus de celles-ci pour anticiper les catégories de données ayant été susceptibles d’être mémorisées, afin de faciliter les tentatives d’identification de la personne concernée ;
- pour les cas d’IA générative, établir dès la conception une procédure interne consistant à interroger le modèle pour vérifier les données qu’il aurait pu mémoriser sur la personne concernée grâce aux informations fournies.
En bonne pratique, la CNIL vous invite surtout en priorité, en qualité de fournisseur, à anonymiser les données d’entraînement ou, à défaut, à vous assurer que le modèle d’IA est anonyme à l’issue de son entraînement.
Adopter dès la conception des systèmes et modèles d’IA les recommandations formulées par les offices français et européen de protection des données est la clé pour anticiper la sécurité des outils d’intelligence artificielle tout en garantissant la protection des droits des personnes concernées.
L’équipe IT/Data du cabinet vous accompagne pour sécuriser vos pratiques et intégrer ces exigences dans vos projets.Contactez-nous dès aujourd’hui pour anticiper les évolutions réglementaires et mettre vos outils en conformité.
Jeannie Mongouachon, avocate associée et Juliette Lobstein, avocate collaboratrice chez Squair
Sources :