Annonces légales
Publier une annonce légale Consulter les annonces légales Consulter les annonces légales juridiques NEW Consulter les annonces légales collectivités NEW

L'IA sous contrôle, le RGPD entre en scène

par Me Bénédicte Vettier
Publié Vendredi 12 septembre 2025

Article publi-rédactionnel / « Les systèmes d'intelligence artificielle ne sont pas mis en œuvre dans un monde sans loi », affirmait en 2019 le Groupe d'experts de haut niveau sur l'IA. Mais quelles interactions anticiper, entre protection des données personnelles et AI Act ?

Abstraction faite des questions de vassalité face aux États-Unis, l'Europe façonne le cadre législatif de son économie numérique en promouvant ses valeurs de dignité humaine et de protection des droits fondamentaux.

Cette ambition devrait s'appliquer à l'intelligence artificielle, et ce ne sont pas les autorités de protection des données personnelles européennes qui diront le contraire.

Ainsi, la Garante Privacy italienne a enquêté sur OpenAI dès mars 2023, avant de bloquer l'agent conversationnel chinois DeepSeek en janvier 2025. Du côté irlandais, Grok fait également l'objet d'une enquête lancée en avril cette année.

En France, la Commission nationale de l'informatique et des libertés (Cnil) semble adopter une position plus pédagogique, en publiant pas moins de 13 fiches pratiques clarifiant les obligations propres au règlement général sur la protection des données (RGPD) à l'égard de l'IA. Car face à l'IA, le monde n'est évidemment pas un environnement totalement dérégulé.

Un contexte éthique, une visée économique

Le règlement sur l'intelligence artificielle, aussi appelé AI Act ou encore RIA, est avant tout un texte qui s'inscrit dans le modèle de la sécurité des produits et de la surveillance du marché.

Ainsi, le RIA est un règlement de conformité produit, au même titre qu'avant lui le règlement sur les produits de construction, ou encore les règlements machines ou ascenseurs. Malgré les apparences, le RIA adopte donc une approche résolument économique.

Fondées sur les risques, les obligations qui en découlent varient selon l'importance de l'acteur, les exigences de conformité étant graduées selon l'intensité et les dangers présentés par le système d'IA (SIA).

Cette application par paliers se traduit par un classement des SIA selon le niveau de risque, allant du système interdit à celui avec un risque limité, en passant par les modèles à usage général et ceux exemptés, tels ceux développés pour la recherche scientifique.

Ainsi, si l'approche par les risques est commune à l'ensemble du paquet législatif numérique et données, le RIA se démarque grâce à un calibrage fin des contraintes juridiques, aligné sur les enjeux réellement présentés par le produit.

Cependant, quel que soit le niveau de risque en cause, le SIA peut traiter des données personnelles, tant en phase de développement qu'au déploiement. Il est donc potentiellement soumis au RGPD lorsque de telles données sont effectivement concernées.

La réglementation sur la protection des données personnelles s'intéresse en effet moins au produit qu'à l'activité.

Il est indéniable qu'une collecte de données personnelles, au demeurant souvent massive et indifférenciée, est à l'œuvre la plupart du temps, grâce notamment aux SIA grand public.

Une mise en œuvre délicate en pratique

Dans l'objectif européen de promouvoir une IA « digne de confiance », les acteurs du cycle de vie des SIA devront donc porter une particulière attention à certains principes phares, qui témoignent de la convergence des deux réglementations.

En premier lieu, la transparence occupe une place essentielle, en imposant aux acteurs du cycle de vie d'un SIA, la fourniture d'une information claire, intelligible et accessible, tant sur le fonctionnement de l'outil (RIA) que sur l'usage des données (RGPD).

Pour l'utilisateur final, qui est aussi la personne concernée, cela signifie connaître les situations dans lesquelles il interagit avec une IA, comme un chatbot ou un assistant virtuel, mais aussi comprendre quelles sont les données utilisées, ou encore connaître les objectifs du traitement.

La transparence se traduit donc par une obligation d'explicabilité de la logique du système, et de communication claire. In fine,  ces obligations permettront d'instaurer un climat de confiance, mais surtout de réduire les asymétries d'information.

Ensuite, le principe de privacy by design et by default complète utilement le dispositif de transparence en s'intéressant aux fonctionnalités essentielles du produit.

Directement issu du RGPD, il s'applique dès lors que les SIA manipulent des données personnelles, et concerne a priori la majorité des systèmes soumis au RIA. Il impose que la protection des données soit intégrée dès la conception du système (by design) et que, par défaut, seules les informations strictement nécessaires soient traitées (by default).

Dans la pratique, ce principe doit conduire à limiter le moissonnage de données, à cloisonner les flux et les architectures systèmes. Le paramétrage par défaut devrait également être le plus protecteur possible pour la personne concernée, l'utilisateur final.

Il s'agit donc d'une invitation à considérer la protection des données personnelles comme une composante intrinsèque de la conception et de l'exploitation des SIA, tant certains attendus en la matière sont difficiles à ajouter sur un SIA déjà développé, voire distribué.

Les acteurs de l'IA jouent double jeu

La qualification juridique d'un fournisseur de SIA n'est pas qu'un détail technique. Elle conditionne directement ses obligations au sens du RIA. Mais la Cnil précise aussi les liens qui s'établissent avec les qualifications prévues par le RGPD.

Le responsable de traitement est l'acteur qui fixe les finalités et moyens du traitement, par exemple le choix des données d'entraînement et des fonctionnalités du SIA.

Il sera cependant responsable conjoint dans un projet collaboratif, ou encore sous-traitant s'il agit sur instructions précises d'un client.

Ainsi, son statut dépendra notamment du degré de contrôle exercé sur les données. Attention, contrairement à une croyance répandue, la réutilisation de jeux de données publics engage également sa responsabilité propre, y compris en qualité de sous-traitant.

En réalité, on constatera que cette qualification peut s'avérer extrêmement délicate. Elle devra nécessairement être déterminée au cas par cas, grâce à un travail de fond commun entre développeurs, DPO et juristes, afin d'anticiper correctement les obligations de conformité. Même si les recommandations de la Cnil permettent d'orienter la qualification, cette dernière n'en demeure pas moins un acte juridique clé de la mise en conformité, et appelle une vigilance particulière.

En somme, le RIA ne remplace pas le RGPD, il s'y ajoute. Ces deux textes européens fonctionnent en binôme, de façon complémentaire. Sans surprise, le RGPD reste pleinement applicable aux données personnelles traitées par les SIA, tandis que le RIA impose des exigences spécifiques, tant techniques qu'organisationnelles et de transparence, indispensables pour assurer la conformité produit. Le terrain de jeu en matière de conformité réglementaire s'en trouve étendu.

Le RIA est applicable depuis février 2025, avec un déploiement complet d'ici 2027. Les acteurs économiques devront en conséquence anticiper cette nouvelle régulation en capitalisant sur leurs acquis relatifs à la protection des données personnelles.

à lire aussi

Procès de la sextape à Saint-Étienne : Gaël Perdriau devant la justice
Mardi 30 novembre 1999
Trèfle, la chance sourit-elle aux vegans ?
Lundi 22 septembre 2025
La Fête de la science 2025 explore l'intelligence à Lyon
Lundi 22 septembre 2025
Barbara, je me souviens de vous
Jeudi 25 septembre 2025
La Villa Gillet accueille le premier Salon des livres de journalistes à Lyon
Jeudi 25 septembre 2025
"Valentina" de Caroline Guiela Nguyen : une affaire de cœur
Mercredi 24 septembre 2025
Vitamine 7, un nouveau lieu pour le sport inclusif ouvre dans le 7ᵉ
Lundi 22 septembre 2025
La rue est aux créatrices
Lundi 22 septembre 2025
Prune Nourry et la pensée au bout des doigts
Lundi 22 septembre 2025
God is an astronaut et Jo Quail : le vertige des astres
Lundi 29 septembre 2025
Odyssée hypnotique
Lundi 22 septembre 2025
Yugen Blakrok, gorgon madonna
Mardi 23 septembre 2025
à ne pas manquer !
Theatre-danse / Danse

Maldonne

Le Toboggan
Theatre-danse / Danse

Maldonne

Le Toboggan
Musique-soirees / Classique & Lyrique

Concert cuivres

Opéra de Lyon
Musique-soirees / Musiques Electroniques

Walter Astral

L'Épicerie Moderne
Musique-soirees / Rock & Pop

Marta

L'Épicerie Moderne
Article publi-rédactionnel
de Wheobe Benjamin Biolay, une nouvelle saison clectique aux Abattoirs
de Wheobe à Benjamin Biolay, une nouvelle saison éclectique aux Abattoirs

La salle de concerts de Bourgoin-Jallieu lève le voile sur sa nouvelle saison : une programmation où se croisent rock, rap, métal et chanson intimiste. À deux pas de Lyon, les Abattoirs poursuivent leur mission de scène de musiques actuelles, en mêlant des esthétiques et des générations d'artistes variées. 

Derniers articles
Restaurants - Restaurant vegan

Trèfle, la chance sourit-elle aux vegans ?

Lundi 22 septembre 2025
Connaître - Fête de la science

La Fête de la science 2025 explore l'intelligence à Lyon

Lundi 22 septembre 2025
Scènes - Arts de la rue

La rue est aux créatrices

Lundi 22 septembre 2025
Expos - Sculpture

Prune Nourry et la pensée au bout des doigts

Lundi 22 septembre 2025
Musiques - Musique contemporaine

Odyssée hypnotique

Lundi 22 septembre 2025
Newsletter Culturelle
chaque mercredi, nos bons plans sorties
je m'inscris
Petit Bulletin

Petit Bulletin n°1088

Mercredi 17 septembre 2025

c'est à lire ici

(voir les archives)

Petit Bulletin

Où s'inscrire

L'annuaire de vos activités 2025

c'est à lire ici