Blogpost

L’AI Act et le RGPD : Comment ces réglementations collaborent pour protéger l’IA et la vie privée

AI Act & GDPR
L’AI Act et le RGPD : Comment ces réglementations collaborent pour protéger l’IA et la vie privée

L’intelligence artificielle (IA) fait désormais partie intégrante de notre quotidien. Pas un jour ne passe sans que l’IA ne fasse l’actualité, sous une forme ou une autre. Récemment, le Parlement européen est devenu le premier au monde à adopter un cadre réglementaire complet pour l’IA. Celui-ci vise à garantir que l’IA soit développée et appliquée de manière responsable et éthique au sein de l’Union européenne, tout en respectant les droits et libertés fondamentaux de ses citoyens.

L’AI Act est souvent comparé au RGPD. De la même manière que le RGPD a établi un cadre complet pour l’utilisation et le traitement des données personnelles, l’AI Act fait de même pour l’utilisation et le développement de l’IA. Lors de son entrée en vigueur en 2018, le RGPD était perçu comme une législation révolutionnaire, ayant un impact majeur sur les citoyens et les entreprises. Aujourd’hui, l’AI Act est tout aussi novateur et impactant que l’était le RGPD en 2018 – voire plus encore. Cet article  explore la relation entre le RGPD et l’AI Act et analyse comment ces deux instruments « révolutionnaires » interagissent.

1. Qu’est-ce que l’AI Act ?

L’AI Act, ou plus précisément « Règlement (UE) 2024/1689 établissant des règles harmonisées relatives à l’intelligence artificielle », établit des règles pour le développement et l’utilisation de l’IA. Il définit des exigences visant à garantir que l’IA soit développée et utilisée de manière responsable, sûre et fiable. Tout comme le RGPD, l’AI Act est un « règlement », ce qui signifie qu’il s’applique uniformément dans tout l’Espace économique européen (EEE), avec une marge limitée pour les interprétations ou dérogations des États membres. Cela garantit un terrain juridique uniforme dans tout l’EEE. De plus, l’AI Act est d’application horizontale, couvrant des secteurs tels que les administrations publiques, les médias, la santé, et bien d’autres.

2. Le RGPD et l’AI Act : Les Similarité

Le RGPD et l’AI Act ont chacun leurs propres objectifs et obligations, mais ils se complètent également. Tous deux reposent sur l’idée d’assurer transparence et responsabilité, que ce soit en ce qui concerne les données personnelles (RGPD) ou les systèmes d’IA (AI Act). Les deux règlements adoptent une approche fondée sur les risques : si l’utilisation de l’IA ou le traitement des données personnelles présente un risque élevé, des règles et exigences plus strictes s’appliquent. De plus, l’AI Act fait spécifiquement référence au RGPD lorsqu’un système d’IA traite des données personnelles. Ainsi, l’AI Act et le RGPD sont souvent applicables simultanément.

Cette approche commune se manifeste dans plusieurs aspects, allant de la transparence et de la mise en œuvre à la nécessité d’effectuer des évaluations d’impact dans certains cas. Voici quelques exemples de similarités entre le RGPD et l’AI Act.

I. Rôles et Responsabilités

L’AI Act distingue les “fournisseurs” de systèmes d’IA  et les “déployeurs” de systèmes d’IA . Un fournisseur est l’entité qui développe ou fait développer un système d’IA et le met sur le marché ou l’utilise elle-même. Un déployeur  est la partie qui utilise le système d’IA sous sa propre responsabilité. De manière similaire, le RGPD distingue les « responsables du traitement » et les « sous-traitants ». Le responsable du traitement détermine les finalités et les moyens du traitement des données, tandis que le sous-traitant agit sur instruction du responsable. Selon le rôle que vous jouez, vous devrez respecter différents ensembles de règles en vertu de l’AI Act et du RGPD.

Il est essentiel de déterminer quel rôle votre organisation joue. Dans l’interaction entre le RGPD et l’AI Act, il est possible qu’en tant que fournisseur , vous agissiez également en tant que responsable du traitement au sens du RGPD. Dans ce cas, vous devrez respecter à la fois l’AI Act en tant que fournisseur et le RGPD en tant que responsable du traitement. Lorsqu’une entreprise utilise votre système d’IA, elle devient un déployeur , et au sens du RGPD, elle pourrait être classée comme responsable du traitement. Cela s’explique par le fait que le déployeur  décide d’utiliser le système d’IA et détermine les finalités et les moyens du traitement des données. En conséquence, les obligations du RGPD et de l’AI Act peuvent s’appliquer simultanément, en fonction de votre rôle de responsable, sous-traitant, fournisseur ou déployeur

II. Focus sur les droits fondamentaux et l’évaluation d’impact

L’AI Act et le RGPD visent tous deux à protéger les droits et libertés fondamentaux et à promouvoir la transparence. Alors que le RGPD se concentre spécifiquement sur les droits fondamentaux à la vie privée et à la protection des données, l’AI Act couvre un éventail plus large de droits, notamment la protection de l’État de droit, de la démocratie, de l’environnement et de la sécurité publique.

Ce focus se traduit par l’obligation d’effectuer une évaluation de l’impact sur les droits fondamentaux (FRIA) dans l’AI Act. Cela est similaire à l’obligation d’effectuer une analyse d’impact relative à la protection des données (DPIA) dans le RGPD. Si le traitement des données personnelles présente un risque élevé pour les personnes concernées, le responsable du traitement doit réaliser une DPIA. Le RGPD (article 35) fournit des lignes directrices pour déterminer si une DPIA est nécessaire, complétées par des orientations des autorités de supervision  nationales et de l’EDPB.

L’AI Act (article 27) impose aux utilisateurs responsables de réaliser une FRIA pour les systèmes d’IA à haut risque dans certaines circonstances. Par exemple, si un déployeur  est un organisme public ou une entité privée fournissant un service public, une FRIA est obligatoire, sauf si le système d’IA est utilisé dans une infrastructure critique (Annexe III, point 2 de l’AI Act). Dans les cas où la DPIA effectuée sous le RGPD couvre déjà certains aspects de la FRIA, cette dernière peut venir la compléter.

III. Focus sur la Transparence

Le RGPD et l’AI Act accordent une grande importance à la transparence. L’AI Act impose des obligations de transparence aux utilisateurs responsables ainsi qu’aux personnes interagissant avec l’IA.

Les systèmes d’IA conçus pour interagir directement avec des individus, comme un chatbot bancaire, doivent être développés de manière à ce que les utilisateurs sachent qu’ils interagissent avec une IA, sauf si cela est évident dans le contexte. Les déployeurs  de systèmes d’IA générant des contenus synthétiques (audio, images, vidéo ou texte, comme les deepfakes) doivent veiller à ce qu’il soit clair que le contenu est généré ou manipulé par une IA. Les fournisseurs doivent rendre cela techniquement faisable.

La transparence est particulièrement importante pour les déployeurs  de systèmes d’IA à haut risque, qui sont souvent des responsables du traitement au sens du RGPD. Pour répondre aux exigences du RGPD, ils ont besoin d’informations suffisantes de la part des fournisseurs d’IA afin d’évaluer et de limiter les risques. L’article 13 de l’AI Act accorde aux déployeurs  le droit de demander des informations aux fournisseurs. Ces derniers sont également tenus d’utiliser ces informations lors de l’élaboration d’une DPIA.

IV. Supervision, Sanctions et Application Extraterritoriale

Le RGPD et l’AI Act ont tous deux une portée extraterritoriale, ce qui signifie qu’ils s’appliquent, sous certaines conditions, aux entreprises situées en dehors de l’EEE. Tout comme une entreprise technologique américaine doit respecter le RGPD, elle devra également se conformer à l’AI Act.

À l’instar du RGPD, l’AI Act impose de lourdes sanctions en cas de non-conformité. Les violations peuvent entraîner des amendes administratives allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial par infraction. Les infractions mineures peuvent entraîner des amendes allant jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires. Les États membres peuvent également prévoir des mesures d’application supplémentaires, telles que des avertissements ou le retrait de produits du marché.

Alors que le Comité européen de la protection des données (CEPD ou EDPB) supervise l’application du RGPD, l’AI Act sera supervisé par le Conseil européen de l’intelligence artificielle (EAIB) et le Bureau européen de l’IA. Chaque État membre désignera deux autorités nationales : une autorité de notification et une autorité de surveillance du marché , chacune responsable de certains aspects de la conformité et de l’application. Toute personne ou organisation estimant qu’il y a eu une infraction à l’AI Act peut déposer une plainte auprès de l’autorité compétente.

3. Qu’est-ce que cela implique  pour les professionnels de la protection des données ?

Étant donné le chevauchement entre le RGPD et l’AI Act, ainsi que leur expertise en gestion des risques, conformité et prise de décision automatisée en vertu de l’article 22 du RGPD, les professionnels de la protection des données, les juristes et les DPO seront souvent les premiers points de contact lorsque des organisations cherchent à développer ou utiliser des systèmes d’IA. Comme le développement de systèmes d’IA implique souvent (mais pas toujours) le traitement de données personnelles, les deux réglementations seront fréquemment appliquées conjointement.

La mise en œuvre de l’AI Act nécessitera une approche interdisciplinaire. La collaboration avec des experts en IA et en informatique sera essentielle pour assurer une conformité adéquate. Les DPO et les professionnels de la protection des données, grâce à leur expérience en obligations de transparence et en coopération interdisciplinaire, sont bien placés pour aider les organisations à naviguer dans les exigences de l’AI Act.

Comme les premières dispositions de l’AI Act – notamment les définitions, les interdictions de certains systèmes d’IA et l’éducation à l’IA – entreront en vigueur le 2 février 2025, les organisations et les professionnels de la protection des données devraient commencer à se préparer dès maintenant.

Chez CRANIUM, nous sommes prêts à relever ces défis avec vous. Nos consultants expérimentés peuvent conseiller votre organisation sur l’AI Act et sa mise en œuvre.

Découvrez également notre Cours sur la Gouvernance et la Conformité en IA sur le Campus CRANIUM – un programme intensif conçu pour préparer les participants à assumer le rôle de « Responsable IA ».

Partager ceci :

Écrit par

Anthony de bruyne

Anthony De Bruyne

Pieter Stevens

Pieter Stevens

Hi ! Comment pouvons-nous vous aider ?

Vous avez besoin d’un responsable interne de la protection de la vie privée ou d’un DPD externe ? Prenez contact avec nous et nous chercherons ensemble la meilleure solution.