Lorsque l’on développe une application avec IA, il y a deux étapes clés :
- la constitution d’une base de données pour l’apprentissage,
- la phase d’apprentissage à partir de la base de donnée.
Durant ces deux étapes clés, il est possible que votre entreprise collecte des données. Parmi ces données on retrouve des données non personnelles et des données à caractère personnel. Si des données à caractère personnel sont traitées par des entreprises, alors le RGPD s’applique.
Bases du RGPD : comprendre les données personnelles et leur traitement
Le RGPD pose un cadre juridique et définit des notions essentielles notamment :
- Donnée à caractère personnelle : c’est une donnée qui permet d’identifier directement ou indirectement une personne.
- Le traitement : toute opération sur une donnée personnelle (collecte, transfert, stockage…)
Le règlement européen sur la protection des données établit des bases légales de traitement. C’est-à-dire des cas précis où il est possible de traiter des données personnelles.
Exemple
Le fait de demander le consentement à une politique de confidentialité des données. Ou encore, le fait que le traitement de données personnelles ait lieu dans le cadre de l’application d’un contrat commercial : collecte d’adresse pour finalité de livraison.
Il sert à garantir des droits aux citoyens. C’est la CNIL qui est l’autorité qui permet d’exercer ses droits en premier lieu. Ils sont également en charge des procédures de réclamations.
Le Règlement Général sur la Protection des Données ne fonctionne pas seul. Il existe 3 régimes de protection des données qui fonctionnent ensemble :
RGPD, le régime général
Le RGPD (Règlement Général sur la Protection des Données) constitue le régime juridique de référence pour la protection des données personnelles. Imposant aux responsables de traitement des obligations de transparence, de sécurité, et de respect des droits des individus. Comme le droit d’accès et le droit à l’effacement.
Régime spécifique “Police-justice”
Il s’applique aux traitements de données personnelles réalisés par les autorités compétentes. Dans le cadre de : la prévention, la détection des infractions pénales, des enquêtes, des poursuites judiciaires ou de l’exécution des sanctions pénales. Offrant des exceptions et des modalités de traitement adaptées aux besoins de la sécurité publique.
Régime de défense nationale
Lui, concerne le traitement des données personnelles dans un contexte de sécurité nationale. Permettant des dérogations au RGPD pour des fins liées à la défense du pays. Telles que la surveillance, la prévention des menaces et la protection contre les risques de sécurité nationale.
RGPD et IA comment comprendre l'application juridique
On voit bien, à la lumière du premier paragraphe, que ce n’est pas le fait de développer un outil propulsé par IA qui permet d’appliquer le RGPD. C’est le fait de traiter les données personnelles de citoyens de l’Union européenne selon les définitions contenues dans le texte du RGPD.
Mais alors, on peut se demander si le RGPD est déjà prêt à s’appliquer à l’Intélligence Artificielle ou si au contraire, elle doit bénéficier d’un cadre législatif autre sur les données personnelles ? La réponse se trouve dans le texte de l’IA Act.
En effet, il est dit dans le préambule de la loi européenne sur l’intelligence artificielle que : “Les règles […] devraient s’appliquer dans tous les secteurs et, […] être sans préjudice du droit de l’Union en vigueur, en particulier en ce qui concerne la protection des données […].”
Semblablement l’article 2 nous informe que : “Le droit de l’Union en matière de protection des données à caractère personnel, de respect de la vie privée et de confidentialité des communications. S’applique aux données à caractère personnel traitées en lien avec les droits et obligations énoncés dans le présent règlement. Le présent règlement n’a pas d’incidence sur le règlement (UE) 2016/679 ou le règlement (UE) 2018/1725. Ni sur la directive 2002/58/CE ou la directive (UE) 2016/680, sans préjudice de l’article 10, paragraphe 5, et de l’article 59 du présent règlement.”
Autrement dit, le RGPD s’applique concrètement aux systèmes intelligents. Il faut donc anticiper – dès la phase de développement – la collecte et le traitement de manière générale de données personnelles.
Développement IA les 2 scenarios de conformité RGPD
La CNIL a publié 7 fiches pour aider à appliquer le RGPD en matière d’IA. Elle a notamment créé une ressource pratique qui aide à déterminer si on n’est soumis au RGPD.
Il existe deux cas d’usage distincts l’usage de l’IA est :
- Le même du développement au déploiement du système IA
- Différent entre le développement et le déploiement du système IA
L'usage du système d'IA est défini dès le développement et ne change pas
Lorsque l’usage du système d’IA est clair dès le début du développement, et que les objectifs restent les mêmes lorsque l’IA est déployée. Les règles juridiques restent cohérentes pendant toute la durée du projet.
Quand un dispositif d’IA est conçu comme outil qui répond à une problématique déterminée, généralement, la finalité du développement et du déploiement se correspondent. En effet, la mission et l’utilité de l’IA restent les mêmes.
Dans ce cas, le régime applicable en phase de développement est le même que celui qui est applicable lors du déploiement.
Exemple concret - Une PME de surveillance de la sécurité publique et l'application du régime spécifique police-justice.
Une PME qui développe un système de reconnaissance faciale pour des caméras de surveillance destinées à des administrations publiques. Ce système est créé spécifiquement pour surveiller les zones sensibles et détecter les comportements suspects dans le cadre de la sécurité publique.
Aussi dès le début du développement, l’objectif est clair : protéger des zones publiques en temps réel contre des menaces potentielles.
Régime juridique : Dans ce cas, le système d’IA, une fois déployé, relève des règles de sécurité publique et de la loi « police-justice », car son but est de prévenir des infractions. C’est la raison même de son développement. Ici les finalités de la collecte de données personnelles pour le développement et le déploiement sont les mêmes et relèvent du régime spécifique de traitement des données “Police-Justice”.
Exemple concret - Une entreprise de recrutement utilise un logiciel de recrutement automatisé.
Une petite entreprise utilise un système d’IA pour analyser les CV et identifier des candidats potentiels. L’outil est conçu dans le but précis d’optimiser le processus de recrutement pour la PME.
Comme l’usage du logiciel à base d’IA est bien défini dès le départ et que l’objectif reste le même (identifier les meilleurs candidats). Ce système suit le cadre juridique classique des données personnelles et du RGPD (Règlement Général sur la Protection des Données).
Régime juridique applicable : Les finalités de traitement au moment du développement et du déploiement sont les mêmes. Ce traitement est régi par les règles générales de protection des données de manière classique. C’est ce régime, applicable à terme qui est déjà applicable lors de la phase d’entrainement.
L'utilisation de l'IA n'est pas défini dès le développement ou qu’il change entre le développement et le déploiement.
Parfois, on crée une application utilisant l’intélligence artificielle sans savoir exactement à quoi elle servira au début. Ce sont les IA dites « à usage général ». Dans ces conditions, les règles juridiques peuvent changer selon la façon dont l’IA est utilisée à la fin.
Pour faire simple, on développe un logiciel avec une IA qui a de larges compétences et qui peut servir à de nombreuses choses différentes.
Ici, contrairement à l’hypothèse précédente, les finalités de mon système intélligent une sont pas fixées. On dit alors, que l’usage opérationnel de l’IA n’est pas défini.
Il faut donc décorréler l’aspect légal de ses deux phases, ce qui donne les deux hypothèses suivantes :
- En phase de développement : on applique le RGPD pour la constitution de la base de donnée
- Lors du déploiement : on applique le régime qui correspond à l’utilisation pratique de l’IA
Exemple concret - Développement d'une plateforme de reconnaissance vocale
Le régime en phase de déploiement dépend de l’utilisation qui en est faite.
Une entreprise créée une application avec l’intelligence artificielle capable de reconnaître des voix et des langues. Ce programme est conçu pour être utilisé dans diverses applications, telles que des assistants vocaux, des traducteurs ou des systèmes de support client.
Au démarrage de la conception, l’entreprise ne sait pas encore à quel secteur spécifique elle va le vendre (par exemple, un usage commercial ou pour des besoins de sécurité).
Régime juridique : Tant que le dispositif est utilisé à des fins commerciales (par exemple, pour un service client), il devrait être régi par le RGPD. Cependant si un organisme public l’utilise pour identifier des personnes dans le cadre d’une enquête criminelle. Il sera probablement soumis à des règles plus strictes de sécurité publique.
Exemple concret - Création d'un système de détection d’intrusions dans un entrepôt
Un dirigeant souhaite concevoir une solution avec l’IA pour détecter les intrusions dans son entrepôt et analyser les mouvements des personnes dans la zone. L’infrastructure est d’abord conçu pour gérer la sécurité de l’entreprise (compter le nombre de personnes entrant et sortant de l’entrepôt). Mais l’entreprise décide ensuite de le vendre à des services de police pour détecter les comportements suspects dans des lieux publics.
Régime juridique : Si utilisé a des fins raisons commerciales, il suivra le RGPD. Néanmoins, lorsqu’il est utilisé par les autorités pour surveiller des zones sensibles à des fins judiciaires. Il est soumis au régime « police-justice » pour garantir la protection des droits des individus.
Conformité RGPD IA, 4 étapes essentielles
Étape 1 : Définir l'utilisation de l'IA en phase de développement
C’est à dire à la conception de la data base ou de l’apprentissage de l’IA
Étape 2 : Clarifier la mission de l'IA au moment du déploiement
Au moment de la mise sur le marché du SaaS ou l’application.
Étape 3 : Identifier le régime juridique
Les 2 phases peuvent relever du même régime juridique ou, au contraire, de régimes différents.
Étape 4 : Commencer la mise en conformité RGPD du dispositif propulsé par IA
Cela consiste à identifier, pour chaque étape du projet, le régime juridique approprié et à mettre en œuvre les obligations qui en découlent.
Le développement d’une application intégrant l’IA implique de protéger les données dès la constitution de la base et durant l’apprentissage. C’est la raison pour laquelle il est essentiel de définir son usage dès le départ pour déterminer le régime juridique approprié (RGPD, police-justice ou défense nationale). Pour une application à usage général, la conformité devra ensuite être ajustée selon la finalité réelle au moment du déploiement. En s’appuyant sur les ressources de la CNIL et sur l’accompagnement d’experts, l’innovation peut s’opérer dans le respect de la vie privée et la confiance des utilisateurs.
Aller plus loin dans votre conformité RGPD/IA
Vous souhaitez sécuriser davantage le traitement des données personnelles au sein de votre application propulsée par IA ? Plusieurs solutions existent pour vous aider à renforcer votre conformité et à anticiper les évolutions réglementaires.
L’expérience de Hacktastic démontre qu’une approche intégrée, soutenue par l’expertise complémentaire d’EnjoYourSaas, Sybes Solutions et Lawgik Design. Permet non seulement de se conformer aux exigences réglementaires, mais aussi de faire de la sécurité un pilier stratégique de développement.
- Consultez la CNIL : La Commission Nationale de l’Informatique et des Libertés propose des fiches pratiques, des guides et des outils d’évaluation pour intégrer au mieux le RGPD dans vos projets.
- Faites appel à une experte RGPD/IA : Lawgik Design vous accompagne dans l’identification des traitements, l’analyse d’impact (AIPD) et la mise en place de protections adaptées.
- Travaillez avec une équipe de développement sensibilisée : EnjoYourSaas est spécialisé dans le développement de solutions SaaS et logiciels intégrant l’IA, ils veillent à ce que vos choix technologiques soient sécurisés et respectent la vie privée dès la conception.
- Misez sur une IA sécurisée : Sybe Solutions est votre soutient pour optimiser la sécurité et la performance de votre dispositif propulsé par IA, afin de garantir sa robustesse et sa conformité.
En unissant nos forces, nous vous aidons à transformer vos contraintes réglementaires en véritables atouts stratégiques. N’attendez plus, contactez nos experts et bénéficiez d’un accompagnement collaboratif qui vous fera gagner en sérénité et en performance.
Disclaimer : Ces informations sont à caractère informatif et ne constituent pas un conseil juridique. Consultez un professionnel pour des conseils adaptés à votre situation spécifique.
FAQ
Quelle est la différence entre une IA et un outil propulsé par IA ?
Un outil propulsé par IA est une solution technologique qui utilise l’intelligence artificielle comme technologie sous-jacente, mais dont l’objectif principal est de résoudre un problème spécifique. Contrairement à une IA générique, ces outils ont une fonction précise et un cadre d’utilisation bien défini. Comme un logiciel de recrutement, un système de détection de fraude ou un assistant de service client.
Le RGPD s'applique-t-il différemment aux outils propulsés par IA ?
Non, les principes du RGPD restent les mêmes. Que ce soit une IA générique ou un outil spécialisé, dès lors que des données personnelles sont traitées, le RGPD s’applique. L’important est de comprendre la finalité du traitement et de garantir la protection des données personnelles.
Le RGPD est-il compatible avec l'innovation technologique ?
Absolument ! Le RGPD n’est pas un frein à l’innovation mais un cadre qui encourage des pratiques responsables. Il vise à protéger les individus tout en permettant le développement de technologies innovantes basées sur la confiance et la transparence.