Rares sont les secteurs n’ayant pas tiré profit du développement de l’intelligence artificielle. Une évolution aussi rapide ne pouvait aller sans un encadrement prompt à assurer la sauvegarde des droits et libertés des personnes. Les législations européennes sont entrées en jeu au fur et à mesure, le RGPD d’abord, en 2018 puis récemment l’IA Act, posant un cadre juridique pour réguler l’intelligence artificielle. Un objectif : garantir que son évolution reste sûre et conforme aux valeurs protectrices insufflées par l’Union Européenne.
Comment le RGPD et l’IA Act, à priori créés pour servir des objectifs différents, se complètent-ils dans l’encadrement d’une IA responsable et éthique ?
Le contexte
À partir de 1978, la France se dote de règles visant à encadrer l’usage des données personnelles par les technologies numériques. En Europe, ces règles sont harmonisées dès 2018 par le règlement général sur la protection des données personnelles (RGPD) dont les principes inspirent par la suite de nombreux pays à l’international.
Face à l’explosion des cas d’utilisation, la prolification des intelligences artificielles à travers le monde, l’Union Européenne réagit afin d’encadrer ces nouvelles technologies menaçant la bulle de protection préalablement établie. Conçu avant la montée en puissance de l’intelligence artificielle, le règlement peine rapidement à anticiper l’impact de ces systèmes. L’IA Act, entré en vigueur le 1er août 2024, se déploie de façon progressive, les mesures relatives aux systèmes d’IA interdits ont été les premières à s’appliquer au 2 février 2025, la désignation des autorités compétentes, et normes relatives aux modèles d’IA à usage général le 2 août 2025. Les principales mesures seront applicables le 2 août 2026 pour les systèmes à haut risque, pour finir, le 2 août 2027 pour le reste des normes.
La mise en œuvre du RGPD aux technologies d’intelligence artificielle pose des défis techniques en raison de la nature complexe et souvent opaque des algorithmes d’IA. A titre d’exemple, ces systèmes, afin de respecter le règlement, doivent notamment intégrer les principes de protection des données dès la conception (privacy by design) et par défaut (privacy by default). Ce qui signifie que les développeurs d’intelligence artificielle doivent incorporer des mesures de protection des données tout au long du cycle de vie des systèmes. Depuis la phase de la conception de l’intelligence artificielle, son entrainement, jusqu’à la mise en œuvre du système d’IA et son exploitation.
IA Act, un cadre législatif pour une IA responsable
L’IA Act, officiellement connu sous le nom de Règlement (UE) 2024/1689, est la toute première réglementation visant à établir un cadre juridique harmonisé pour les systèmes d’intelligence artificielle au sein de l’Union Européenne. Adopté le 1er août 2024, ce texte a pour objectif de promouvoir une IA centrée sur l’humain et digne de confiance, tout en garantissant un haut niveau de protection des droits fondamentaux, de la santé, de la sécurité et de l’environnement.
L’IA Act vise également à faciliter la libre circulation des biens et services basés sur l’intelligence artificielle sur le marché intérieur, empêchant les États membres d’imposer des restrictions qu’il n’aurait pas autorisées. En outre, il encourage l’innovation et l’emploi, faisant de l’UE un leader dans l’adoption d’une IA fiable. Ce cadre réglementaire est essentiel pour protéger les individus et les entreprises contre les effets néfastes des systèmes d’IA, tout en soutenant le développement technologique et économique de l’Union.
Le Règlement européen sur l’Intelligence Artificielle (RIA) marque un tournant dans la façon dont l’Union Européenne encadre l’évolution des systèmes d’IA. L’objectif est double, d’abord, garantir un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux des citoyens de l’Union Européenne. D’autre part, de soutenir l’innovation. Le texte présente une classification des systèmes et modèles d’IA à usage général selon leur niveau de risque : inacceptable, élevé, limité ou minime. Les systèmes à risque inacceptable (notation sociale à la Black Mirror, série dystopique explorant les dérives technologiques) sont interdits, tandis que les systèmes à haut risque doivent se conformer à des normes strictes. Ces obligations sont à la charge des différents opérateurs que pourront être le fournisseur et son mandataire, le déployeur, l’importateur, le distributeur ou encore le fabricant.
Complémentarité entre RGPD et IA Act
Les deux textes sont distincts, mais bien conçus pour fonctionner de manière connexe. Le RGPD se concentre principalement sur la protection des données à caractère personnel et le droit des individus tandis que l’IA Act vise à réguler les systèmes d’IA en fonction de leur niveau de risque. Ensemble, ces deux cadres règlementaires fournissent une base solide pour le développement et l’utilisation de l’IA d’une manière éthique. En 2023, la CNIL adopte une série de recommandations pour le développement des systèmes d’IA. Eclairé et clarifié, l’application du RGPD est un facteur de confiance pour les personnes et de sécurité pour les entreprises.
Le DPO joue d’ailleurs d’ores et déjà un rôle central dans leur mise en œuvre et leur articulation. Garant de la protection des données à caractère personnel, il s’assure que ces systèmes respectent les principes du RGPD, tels que la minimisation des données, la transparence mais aussi le consentement. Les systèmes d’IA définis comme « à haut risque » par la règlementation, répondent aux exigences spécifiques en matière de documentation, de gestion des risques et de transparence. Avec la cohabitation de ces deux textes, une opportunité de taille se dessine, celle de garantir l’équilibre entre innovation technologique et protection des droits des personnes.
Les défis liés à cette cohabitation
La cohabitation des réglementations de l’IA Act et du RGPD pose plusieurs défis pour les entreprises européennes. Concrètement, la transparence des algorithmes est un enjeu majeur, car le RGPD exige des explications claires sur le traitement des données personnelles, tandis que les algorithmes d’IA sont souvent perçus comme des « boîtes noires » en raison de leur complexité.
La minimisation des données collectées représente un autre challenge de taille. En effet, si le RGPD impose de limiter la collecte de données aux informations strictement nécessaires, les systèmes d’IA nécessitent souvent de grandes quantités de données pour fonctionner efficacement.
Le droit à l’oubli ainsi que la portabilité des données compliquent également la gestion des systèmes d’IA, car les entreprises doivent être capables de supprimer ou de transférer les données personnelles sur demande.
Enfin, la non-discrimination est cruciale. Les algorithmes d’IA peuvent renforcer des biais existants ou en créer de nouveaux, ce qui va à l’encontre des principes du RGPD. Ces nombreux défis nécessitent une approche équilibrée et innovante pour garantir la conformité des structures tout en tirant parti des avantages de l’IA.
En résumé, la complémentarité des deux textes représente une opportunité unique à la fois pour l’Europe, de s’illustrer dans la construction d’une IA éthique, et pour les entreprises de développer des technologies avancées tout en respectant les droits fondamentaux des personnes. Le RGPD fournit un cadre solide pour la protection des données personnelles, garantissant transparence, sécurité et responsabilité. En parallèle, l’IA présente des possibilités innovantes pour améliorer les processus, les services et les produits. Cette synergie, entre réglementation et technologie est essentielle pour construire un avenir où l’innovation et la protection des données vont de pair, assurant ainsi un développement durable et responsable de l’intelligence artificielle.
Nous vous accompagnons non seulement dans la mise en conformité RGPD de votre entreprise mais également dans une intégration éthique et responsable de l’intelligence artificielle à votre activité.
