RGPD et Intelligence Artificielle : Guide pratique pour les DPO et équipes juridiques

Points clés

• L'Article 22 du RGPD interdit les décisions entièrement automatisées produisant des effets juridiques ou significatifs similaires sans intervention humaine — sauf exceptions strictement encadrées.
• Une AIPD (Analyse d'Impact sur la Protection des Données) est obligatoire avant tout déploiement de système d'IA traitant des données personnelles à grande échelle ou présentant un risque élevé.
• Les données d'entraînement des modèles IA doivent respecter le principe de minimisation — utiliser des données personnelles pour entraîner un modèle exige une base légale valide pour cette finalité spécifique.
• Le CEPD (Comité Européen de la Protection des Données) a précisé que les modèles d'IA entraînés sur des données personnelles peuvent eux-mêmes constituer des données personnelles si elles peuvent être extraites.
• Les droits d'accès, de rectification et d'explication s'appliquent aux décisions IA — les organisations doivent être capables d'expliquer concrètement la logique d'une décision automatisée.

L'Article 22 : le droit de ne pas être soumis à une décision automatisée

L'Article 22 du RGPD est la disposition centrale pour les systèmes d'IA qui influencent des décisions concernant des personnes. Il interdit les décisions "basées uniquement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques concernant une personne physique ou l'affectant de manière significative similaire."

Trois exceptions permettent de déroger à cette interdiction : le consentement explicite de la personne concernée, la nécessité pour l'exécution d'un contrat, ou une autorisation prévue par le droit de l'Union ou des États membres. Même dans ces cas, la personne conserve le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision.

En pratique, les systèmes IA de scoring de crédit, de sélection de CV, de tarification d'assurance personnalisée et d'évaluation des performances professionnelles sont tous potentiellement soumis à l'Article 22. La qualification "uniquement automatisé" est interprétée strictement : une validation humaine purement formelle, sans réelle possibilité d'influencer la décision, ne suffit pas à écarter l'application de l'article.

L'AIPD : obligation et méthodologie

Une Analyse d'Impact sur la Protection des Données (AIPD, ou DPIA en anglais) est obligatoire avant tout déploiement d'un système d'IA qui présente un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste des types de traitement qui exigent systématiquement une AIPD — cette liste inclut explicitement les systèmes d'évaluation ou de scoring des personnes, les décisions automatisées ayant des effets significatifs, le traitement à grande échelle de catégories particulières de données, et la surveillance systématique d'espaces accessibles au public.

L'AIPD doit documenter : la description du traitement et de ses finalités, l'évaluation de la nécessité et de la proportionnalité, l'évaluation des risques pour les droits et libertés des personnes, et les mesures de protection prévues. Elle doit être menée avant le déploiement — pas après.

Données d'entraînement et base légale

L'utilisation de données personnelles pour entraîner des modèles d'IA requiert une base légale distincte pour cette finalité spécifique. La réutilisation de données collectées à d'autres fins pour l'entraînement IA n'est légale que si elle est compatible avec la finalité initiale — test de compatibilité que la CNIL applique de manière rigoureuse. Les modèles entraînés sur des données personnelles peuvent eux-mêmes constituer des données personnelles si ces données peuvent en être extraites — point que le CEPD a explicitement soulevé dans son avis sur les grands modèles de langage.