Javascript is required
logo-dastralogo-dastra

IA Act & RGPD

IA Act & RGPD
Marine Boquien
Marine Boquien
14 octobre 2024·5 minutes de lecture

Le RIA remplace-t-il les obligations imposées par le RGPD ?

Non, le RIA (Règlement Européen sur l'Intelligence Artificielle) est très explicite à ce sujet : il ne se substitue pas aux exigences du RGPD. En réalité, son objectif est de les compléter en établissant les conditions nécessaires à la création et au déploiement de systèmes d'IA fiables.

En pratique, le RGPD s'applique à tous les traitements de données personnelles, notamment :

  • Pendant la phase de développement d'un système d'IA : un fournisseur de système ou de modèle d'IA, au sens du RIA, sera généralement considéré comme responsable du traitement conformément au RGPD ;

  • Lors de la phase d'utilisation (ou de déploiement) d'un système d'IA : un déployeur ou utilisateur de système d'IA qui traite des données personnelles sera également, en général, responsable en vertu du RGPD.

Cependant, le RIA impose des exigences spécifiques dont le respect peut grandement faciliter la conformité aux obligations du RGPD.

RIA & RGPD : Comment savoir quel(s) règlement(s) s’applique(nt) pour mon organisation ?

Étant donné que le RIA concerne uniquement les systèmes et modèles d’IA, tandis que le RGPD s’applique à tous les traitements de données personnelles, quatre scénarios sont envisageables :

  • Le IA act s'applique seul : cela concerne un fournisseur de système d'IA à haut risque qui n'implique pas de données personnelles, que ce soit pour son développement ou son déploiement.

    Exemple : un système d'IA utilisé pour optimiser la maintenance prédictive d'une usine de fabrication industrielle.

  • Le RGPD s'applique seul : ce sera le cas lorsque des données personnelles sont traitées pour développer ou utiliser un système d'IA qui n'est pas soumis au RIA.

    Exemple : un chatbot destiné à répondre aux questions des clients, qui utilise des données personnelles, mais qui n'est pas classé comme IA à haut risque.

  • Les deux s’appliquent : cette situation se présente lorsqu’un système d'IA à haut risque nécessite des données personnelles, que ce soit pour son développement ou son déploiement.

    Exemple : un système d'IA utilisé pour l'analyse prédictive des dossiers médicaux dans le cadre de diagnostics de santé.

  • Aucun des deux ne s'applique : cela concerne un système d'IA à faible risque qui n'implique pas de traitement de données personnelles.

    Exemple : un système d'IA utilisé pour générer des musiques personnalisées dans un logiciel de composition musicale.

RIA & RGPD

Comment le RIA influence-t-il le RGPD ?

L'IA act et le RGPD régissent des aspects différents et nécessitent des approches distinctes. Toutefois, la conformité au RIA facilite souvent, voire prépare, la conformité au RGPD. Par exemple, la conformité d'un système d'IA au RGPD est incluse dans la déclaration UE de conformité exigée par le RIA (annexe V).

De plus, le RIA résout certaines tensions entre les exigences du RGPD et les siennes. Il prolonge et adapte certaines règles du RGPD comme suit :

  • Le RIA remplace certaines règles du RGPD concernant l'utilisation par les services répressifs de l'identification biométrique à distance en temps réel dans des lieux accessibles au public, en le rendant très exceptionnellement possible sous conditions spécifiques (article 5).

  • Il autorise, de manière exceptionnelle, le traitement de données sensibles (au sens de l'article 9 du RGPD) pour détecter et corriger les biais potentiels, à condition que ce soit strictement nécessaire et sous réserve de garanties appropriées (article 10).

  • Il permet la réutilisation de données personnelles, y compris les données sensibles, dans le cadre des « bacs à sable réglementaires ». Ces bacs à sable visent à soutenir le développement de systèmes présentant un intérêt public important (comme l'amélioration du système de santé) et sont supervisés par une autorité dédiée qui doit consulter préalablement la CNIL et vérifier le respect de diverses exigences (article 59).

Comment concilier les exigences du RIA et du RGPD ?

Le RIA et le RGPD abordent parfois des notions similaires mais sous des perspectives différentes.

C'est le cas, par exemple, des principes de transparence et des obligations de documentation, qui illustrent la complémentarité de ces règlements.

Les mesures de transparence

Le RGPD impose des obligations de transparence, principalement pour informer les personnes dont les données sont traitées sur les modalités de ce traitement (les raisons, les responsables, les méthodes, la durée, etc.). Ces obligations s'appliquent tant au développement d'un système d'IA qu'à son utilisation sur ou par des individus, impliquant ainsi un traitement de données personnelles.

Le RIA prévoit également des mesures de transparence comparables, telles que la publication des données utilisées pour entraîner des modèles d'IA à usage général (article 53) ou la transparence des systèmes interagissant avec des individus (article 50).

Quelles sont les différences entre les exigences du RIA et du RGPD ?

Bien que le RIA et le RGPD partagent de nombreuses similarités et se complètent mutuellement, leurs objectifs et leurs approches sont distincts.

Voici un tableau récapitulatif des spécificités du RIA par rapport au RGPD. IA Act & RGPD

A propos de l'auteur
Marine Boquien
Marine Boquien
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.