IA et protection des données en Belgique : APD, Loi IA de l'UE et obligations sectorielles

Points clés

• L'APD belge (Autorité de Protection des Données / Gegevensbeschermingsautoriteit) est l'une des autorités de contrôle les plus actives d'Europe — elle a rendu plusieurs décisions importantes sur l'IA et le profilage.
• La Belgique accueille les institutions européennes — les organisations travaillant avec les institutions UE à Bruxelles font face à des exigences de conformité IA particulièrement élevées.
• La Banque Nationale de Belgique (BNB) et la FSMA supervisent l'IA dans les services financiers belges — leurs attentes s'alignent sur celles de la BCE et de l'ESMA au niveau européen.
• Les entreprises belges utilisant l'IA dans les RH doivent être particulièrement vigilantes : l'APD a enquêté sur plusieurs cas d'utilisation d'IA dans la sélection de candidats.
• La Belgique, comme tous les États membres, doit désigner une autorité nationale de surveillance pour la Loi IA de l'UE — la coordination entre APD et cette nouvelle autorité est en cours de définition.

L'APD belge : une autorité active sur l'IA

L'Autorité de Protection des Données belge s'est imposée comme l'une des autorités de contrôle les plus actives d'Europe sur les questions d'IA et de profilage. Ses décisions sur le profilage publicitaire (affaire IAB Europe), les cookies et la reconnaissance faciale ont eu des répercussions au niveau européen. Les entreprises belges — et les organisations européennes ayant des opérations en Belgique — doivent prendre en compte cette doctrine active dans leur programme de conformité IA.

L'APD a particulièrement ciblé : le profilage comportemental à des fins publicitaires, les systèmes de notation des personnes, l'utilisation d'IA dans les processus de recrutement, et les systèmes de surveillance biométrique. Sa jurisprudence constitue un référentiel pratique au-delà des textes réglementaires.

Bruxelles : capitale européenne et obligations renforcées

Les organisations basées à Bruxelles qui travaillent avec les institutions européennes font face à des attentes de conformité IA particulièrement élevées. Les institutions de l'UE sont elles-mêmes soumises au règlement 2018/1725 (l'équivalent du RGPD pour les institutions UE) et au règlement IA de l'UE, et s'attendent à des standards équivalents de la part de leurs contractants et partenaires. Pour les entreprises en contrat avec la Commission, le Parlement ou le Conseil, la gouvernance IA n'est plus optionnelle.