IA et données personnelles : ce que dit vraiment la loi

Quand l'intelligence artificielle rencontre vos données

Chaque jour, des millions d'interactions numériques alimentent des systèmes d'intelligence artificielle. Une recherche sur un moteur vocal, une recommandation de produit, un formulaire de crédit analysé en quelques secondes. Derrière chacun de ces moments, des données personnelles circulent, sont traitées, croisées, parfois conservées indéfiniment. Et pourtant, une grande majorité d'entreprises et d'utilisateurs ignorent l'étendue réelle de leurs droits et obligations face à cette réalité.

La question n'est plus de savoir si l'IA utilise des données personnelles. Elle le fait, massivement, par nature. La vraie question est celle-ci : que dit la loi à ce sujet, et que vous impose-t-elle concrètement ? La réponse est plus précise, et plus exigeante, que beaucoup ne le supposent.

Deux textes structurent aujourd'hui le cadre juridique applicable en France et en Europe. Le Règlement Général sur la Protection des Données, le RGPD, en vigueur depuis 2018, et le tout nouveau Règlement européen sur l'intelligence artificielle, l'AI Act, dont les premières obligations sont entrées en application à partir de 2024. Ensemble, ils forment un cadre légal inédit, complexe à articuler, mais impossible à ignorer. Comprendre leur logique, c'est comprendre ce que vous risquez, et surtout ce que vous devez faire.

Le RGPD, socle incontournable de toute IA traitant des données

Le point de départ est simple. Dès qu'un système d'intelligence artificielle traite des données personnelles, le RGPD s'applique. Sans exception. Que vous développiez un chatbot, un outil de scoring de crédit, un système de recommandation ou un logiciel de recrutement automatisé, si des informations permettant d'identifier une personne physique sont en jeu, le règlement européen entre en scène.

Selon la CNIL dans sa page dédiée à l'IA et aux données personnelles, plusieurs principes fondamentaux du RGPD s'imposent directement aux systèmes d'IA. Le premier est celui de la licéité du traitement. Avant de collecter ou d'utiliser une donnée pour entraîner un modèle ou alimenter un algorithme, l'organisation doit disposer d'une base légale valide : consentement de la personne, intérêt légitime, exécution d'un contrat, ou obligation légale. Aucune de ces bases n'est universelle. Chaque cas de figure exige une analyse précise.

Le deuxième principe est la minimisation des données. Un système d'IA ne peut traiter que les données strictement nécessaires à sa finalité. Collecter en masse avec l'idée de "peut-être en avoir besoin un jour" est explicitement contraire au RGPD. C'est une pratique encore très répandue, et c'est précisément là que les premiers contentieux émergent.

Les droits des personnes, une contrainte technique autant que juridique

Ce qui rend la conformité RGPD particulièrement complexe pour l'IA, c'est la dimension technique des droits accordés aux personnes. Le droit à l'effacement, par exemple. Si un utilisateur demande la suppression de ses données, l'organisation doit être capable de les effacer, y compris dans les jeux de données d'entraînement d'un modèle. Or, techniquement, effacer une donnée spécifique d'un modèle déjà entraîné est souvent impossible sans ré-entraîner l'ensemble du modèle.

D'après le dossier publié par la CNIL sur l'AI Act et les données personnelles, le droit à l'explication constitue une autre ligne de friction majeure. Toute personne soumise à une décision automatisée significative, un refus de crédit, un rejet de candidature, une tarification différenciée, a le droit d'obtenir une explication intelligible. Elle a aussi le droit de contester cette décision et de demander une intervention humaine. Pour des systèmes d'IA fondés sur des réseaux de neurones profonds, dont le fonctionnement interne est par définition opaque, répondre à cette exigence suppose des investissements techniques considérables en explicabilité, ce qu'on appelle parfois le "XAI", l'IA explicable.

Le droit d'opposition mérite également une attention particulière. Une personne peut s'opposer à ce que ses données soient utilisées dans le cadre d'un traitement basé sur l'intérêt légitime, notamment à des fins de profilage. Pour les équipes marketing qui utilisent des algorithmes de segmentation comportementale, cela impose des mécanismes de gestion des oppositions robustes et traçables.

L'AI Act : une couche supplémentaire, une logique de risque

L'AI Act ne remplace pas le RGPD. Il s'y superpose. Et là réside l'une des principales sources de confusion pour les organisations. Ces deux textes partagent des objectifs communs mais fonctionnent selon des logiques différentes. Le RGPD est centré sur la protection des données. L'AI Act est centré sur les risques liés aux systèmes d'IA eux-mêmes, indépendamment de la question des données.

Tel que l'explique la ressource d'Adequacy sur les cadres juridiques applicables à l'IA, l'AI Act classe les systèmes d'intelligence artificielle en quatre catégories selon leur niveau de risque. Les systèmes à risque inacceptable sont purement et simplement interdits : c'est le cas de la notation sociale généralisée des citoyens par des autorités publiques, ou de certaines formes de manipulation comportementale subliminale. Ces interdictions sont absolues, sans dérogation possible.

Les systèmes à haut risque, eux, sont autorisés mais encadrés très strictement. Cette catégorie est plus large qu'on ne le croit. Elle inclut les systèmes d'IA utilisés dans la gestion des infrastructures critiques, dans l'éducation, dans l'emploi, dans les services essentiels comme le crédit ou l'assurance, dans les systèmes judiciaires ou policiers. Pour ces systèmes, les obligations sont nombreuses.

Ce que l'AI Act exige concrètement des entreprises

Pour les systèmes à haut risque, les concepteurs et déployeurs doivent mettre en place un système de gestion des risques documenté et mis à jour tout au long du cycle de vie du système. Ils doivent garantir la qualité et la représentativité des données d'entraînement, afin d'éviter les biais discriminatoires. Ils doivent maintenir une documentation technique complète, accessible aux autorités de contrôle. Ils doivent assurer une supervision humaine effective, ce qui exclut les systèmes entièrement autonomes pour ces usages sensibles.

D'après l'analyse d'Adequacy sur le RGPD et l'IA générative, les systèmes à risque limité, comme les chatbots ou les générateurs de contenu synthétique, n'ont qu'une obligation principale : la transparence. Les utilisateurs doivent être informés qu'ils interagissent avec une IA. Cela semble simple. En pratique, cette obligation de notification soulève des questions de mise en oeuvre dans les interfaces conversationnelles et les contenus générés automatiquement.

Les systèmes d'IA générale, comme les grands modèles de langage de type GPT, font l'objet d'obligations spécifiques qui ont été ajoutées au cours des négociations finales du texte. Les fournisseurs de ces modèles doivent notamment publier des informations sur les données d'entraînement utilisées et respecter la législation sur le droit d'auteur européen. Un point qui a provoqué des tensions considérables avec les acteurs américains du secteur.

Ce que cela change vraiment pour les entreprises françaises

Connaître les textes est une chose. Comprendre ce qu'ils impliquent opérationnellement en est une autre. La réalité du terrain révèle un écart encore important entre les obligations légales et les pratiques effectives des organisations françaises.

Prenons le cas de la collecte de données pour l'entraînement des modèles. C'est un sujet qui concerne aujourd'hui des entreprises de toutes tailles, des startups qui développent leurs propres modèles aux grands groupes qui fine-tunent des modèles existants sur leurs données métier. Dans les deux cas, la question de la base légale pour collecter et utiliser ces données est incontournable. Recourir à des données publiques disponibles sur internet n'exonère pas de cette obligation : si ces données permettent d'identifier des personnes, le RGPD s'applique, et des décisions de la CNIL ont déjà sanctionné des organisations qui ne l'avaient pas anticipé.

La réalisation d'une Analyse d'Impact sur la Protection des Données, ou AIPD, est obligatoire pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Selon la CNIL, les systèmes d'IA de profilage, de scoring comportemental ou de prise de décision automatisée entrent presque systématiquement dans cette catégorie. Réaliser une AIPD ne se limite pas à remplir un formulaire. Cela suppose d'identifier les risques, d'évaluer leur probabilité et leur gravité, et de documenter les mesures prises pour les atténuer.

La question des transferts hors Union européenne

Un angle mort particulièrement répandu concerne les transferts de données vers des pays tiers. Lorsqu'une entreprise française utilise un service d'IA hébergé sur des serveurs américains, les données personnelles traitées via ce service peuvent être transférées vers les États-Unis. Ce transfert est soumis à des garanties spécifiques prévues par le RGPD. Le cadre EU-US Data Privacy Framework, adopté en 2023, a temporairement stabilisé cette question pour les entreprises américaines qui y adhèrent, mais sa pérennité reste juridiquement fragile, comme en témoignent les recours déjà déposés devant les tribunaux européens.

D'après l'analyse d'Adequacy sur les obligations RGPD en matière d'IA générative, les organisations qui utilisent des outils d'IA en mode SaaS, c'est-à-dire via des interfaces cloud hébergées à l'étranger, doivent vérifier que leur contrat avec le fournisseur intègre les clauses contractuelles types requises par le RGPD. Ce n'est pas une formalité accessoire. C'est une condition de légalité du traitement.

Les secteurs sous surveillance prioritaire

Tous les secteurs ne sont pas logés à la même enseigne. Les banques et les compagnies d'assurance, qui utilisent des algorithmes de scoring pour évaluer la solvabilité des clients ou tarifer les risques, sont dans le collimateur de plusieurs régulateurs simultanément : la CNIL pour la protection des données, la Banque de France et l'ACPR pour la stabilité financière et la prévention de la discrimination. Les systèmes RH automatisés, qui trient des candidatures ou évaluent la performance des salariés, font face aux mêmes enjeux dans un cadre de droit du travail qui se superpose aux obligations RGPD et AI Act. La santé, avec ses données de nature particulièrement sensible, constitue une catégorie à part, soumise à des exigences d'anonymisation et de sécurisation parmi les plus strictes du corpus réglementaire européen.

Ce que vous devez faire dès maintenant

La loi ne laisse pas de zone grise sur l'essentiel. Elle fixe des obligations, prévoit des sanctions, et les autorités de contrôle, la CNIL en tête, ont clairement indiqué que l'IA serait l'une de leurs priorités de contrôle pour les années à venir. La Commission nationale de l'informatique et des libertés a déjà ouvert des procédures contre plusieurs acteurs pour non-conformité dans l'usage de l'IA.

La première étape pour toute organisation est de réaliser un inventaire de ses usages d'IA. Quels systèmes utilisez-vous ? Quelles données traitent-ils ? Sur quelle base légale ? Les réponses à ces trois questions permettent de cartographier les risques et d'identifier les lacunes à combler en priorité.

La deuxième étape consiste à distinguer le rôle de l'organisation dans la chaîne de responsabilité. Est-elle conceptrice du système d'IA, ou simplement utilisatrice d'un outil développé par un tiers ? L'AI Act introduit une distinction claire entre "fournisseurs" et "déployeurs" de systèmes d'IA, chacun portant des obligations distinctes. Ne pas clarifier ce positionnement revient à naviguer à l'aveugle dans un environnement juridique qui, lui, voit très bien.

La troisième étape, et c'est là que beaucoup d'organisations achoppent, est de traduire les obligations juridiques en exigences techniques. Documenter un système d'IA pour l'AI Act, garantir l'explicabilité des décisions pour le RGPD, mettre en oeuvre des mécanismes d'effacement des données dans des modèles entraînés, tout cela requiert une collaboration étroite entre juristes, data scientists et équipes techniques. Ce n'est pas un projet de conformité ordinaire. C'est un projet de transformation de la gouvernance de la donnée.

Conclusion : la conformité comme avantage, pas comme contrainte

L'IA et les données personnelles forment désormais un binôme inséparable, encadré par un corpus juridique dense et en constante évolution. Le RGPD impose la licéité, la transparence, la minimisation et les droits des personnes. L'AI Act ajoute une logique de gestion des risques, des interdictions absolues et des obligations renforcées pour les usages à fort impact. Ensemble, ils dessinent un modèle européen de l'IA fondé sur la confiance et la responsabilité, un modèle qui se distingue volontairement des approches américaine et chinoise.

Pour les entreprises, la tentation est grande de considérer la conformité comme un coût subi, une contrainte réglementaire parmi d'autres. C'est une erreur stratégique. Les organisations qui anticipent ces exigences, qui investissent dans une gouvernance de la donnée solide et dans des systèmes d'IA documentés et explicables, construisent un actif de confiance auprès de leurs clients, de leurs partenaires et de leurs régulateurs. Dans un marché où la question de l'IA responsable devient un critère de décision pour les acheteurs B2B et B2C, cette posture de conformité proactive se transforme en différenciateur compétitif réel.

La loi dit ce qu'elle dit. Ce qui reste entre vos mains, c'est la manière dont vous choisissez d'y répondre.