L’intelligence artificielle s’installe partout. Dans les services clients, les processus RH, les outils marketing, les chaînes logistiques. Et pendant que les entreprises accélèrent leurs déploiements, le cadre réglementaire européen, lui, se resserre. D’un côté, le RGPD qui fête déjà plusieurs années d’application et qui n’a rien perdu de sa vigueur. De l’autre, l’AI Act, ce nouveau règlement européen qui vient poser des règles spécifiques aux systèmes d’intelligence artificielle. Le résultat ? Une double contrainte réglementaire que beaucoup d’organisations découvrent un peu tard. La vraie question n’est pas de savoir s’il faut s’y préparer, mais plutôt comment articuler ces deux textes sans paralyser l’innovation. Cet article décortique les obligations, identifie les risques réels et propose une méthodologie concrète pour transformer cette complexité juridique en avantage concurrentiel.
Parce que soyons honnêtes : entre les promesses technologiques de l’IA et la réalité du terrain réglementaire, il y a un fossé que trop d’entreprises franchissent sans filet.
Ce que le RGPD impose réellement aux systèmes d’intelligence artificielle
Les principes fondateurs du RGPD appliqués à l’IA
On a parfois tendance à considérer le RGPD comme un texte pensé pour les bases de données classiques, les fichiers clients, les newsletters. Sauf que ses principes fondamentaux s’appliquent avec la même force aux systèmes d’IA. Et c’est là que les choses se compliquent sérieusement.
Prenons la minimisation des données. Le RGPD exige qu’on ne collecte que les données strictement nécessaires à la finalité du traitement. Or, les modèles d’apprentissage automatique fonctionnent précisément à l’inverse : plus on leur fournit de données, meilleures sont leurs performances. Cette tension n’est pas théorique, elle est structurelle.
La limitation des finalités pose un problème similaire. Un jeu de données collecté pour analyser la satisfaction client peut-il servir à entraîner un modèle prédictif de churn ? Pas si simplement. Et la transparence, alors ? Expliquer à un utilisateur que ses données alimentent un algorithme dont même les concepteurs peinent parfois à comprendre le fonctionnement interne, c’est un exercice périlleux. Le principe d’exactitude, enfin, interroge directement la qualité des données d’entraînement et les biais qu’elles peuvent véhiculer.
Base légale du traitement : le casse-tête du consentement et de l’intérêt légitime
Quelle base légale invoquer pour entraîner un modèle d’IA sur des données personnelles ? La question paraît simple. La réponse ne l’est pas du tout.
Le consentement, souvent présenté comme la voie royale, se heurte à des obstacles pratiques considérables quand on travaille avec des jeux de données massifs. Comment recueillir un consentement valide auprès de millions de personnes dont les données ont été collectées à des moments différents, dans des contextes variés ? Et surtout, comment garantir que ce consentement reste éclairé quand la finalité évolue au fil de l’entraînement du modèle ?
L’intérêt légitime apparaît alors comme une alternative tentante, mais elle suppose un exercice de mise en balance rigoureux entre les intérêts de l’entreprise et les droits des personnes concernées. Le considérant 47 du RGPD ouvre certes une porte, mais la jurisprudence récente montre que les autorités de contrôle examinent cette base légale avec une attention croissante. Il ne suffit plus d’affirmer un intérêt légitime, il faut le documenter, le démontrer, le défendre.
Le droit à l’explication face aux décisions automatisées
L’article 22 du RGPD accorde aux individus le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs. En théorie, c’est limpide. En pratique, face à un réseau de neurones profond comportant des millions de paramètres, fournir une explication intelligible relève du défi technique autant que juridique.
Comment expliquer à un candidat recalé par un outil de présélection automatisé les raisons précises de ce rejet, quand le modèle lui-même fonctionne comme une boîte noire ? Les techniques d’explicabilité progressent, c’est vrai. Mais elles restent souvent approximatives, et l’écart entre ce que la loi exige et ce que la technique permet n’est pas encore comblé.
L’AI Act européen : la nouvelle couche réglementaire à intégrer
Architecture du règlement et classification des risques
L’AI Act, entré en vigueur progressivement depuis 2024, structure l’encadrement de l’intelligence artificielle autour d’une approche par les risques. Quatre niveaux ont été définis, et chacun emporte des obligations bien distinctes.
Au sommet, les systèmes à risque inacceptable sont purement et simplement interdits : notation sociale à la chinoise, manipulation subliminale, exploitation des vulnérabilités de groupes spécifiques. Viennent ensuite les systèmes à haut risque, soumis à des exigences lourdes de conformité : pensez aux outils de recrutement automatisé, aux systèmes de notation de crédit ou aux dispositifs utilisés dans la justice. Les systèmes à risque limité se voient imposer des obligations de transparence, tandis que ceux à risque minimal restent largement libres d’évoluer.
Concrètement, c’est dans la catégorie « haut risque » que se joue l’essentiel des enjeux pour les entreprises, car c’est là que les obligations de documentation, d’évaluation et de surveillance sont les plus exigeantes. Pour se faire accompagner sur ces sujets complexes, de nombreuses organisations font appel à Phenix Privacy, cabinet spécialisé en conformité RGPD et IA ACT, qui intervient précisément à l’intersection de ces deux réglementations pour aider les entreprises à structurer leur mise en conformité.
Articulation entre AI Act et RGPD : complémentarité ou superposition ?
Voilà la question qui occupe les juristes et les DPO depuis des mois. L’AI Act et le RGPD se superposent-ils ou se complètent-ils ? La réponse, assez prévisiblement, c’est un peu des deux.
Les deux textes convergent sur des exigences de transparence et d’évaluation d’impact. Mais ils n’utilisent pas les mêmes grilles, pas les mêmes terminologies, pas exactement les mêmes critères. Le risque, pour une entreprise, c’est de dupliquer les efforts de conformité en créant deux silos documentaires distincts, alors qu’une gouvernance intégrée permettrait de mutualiser les analyses, les registres et les processus d’audit. Encore faut-il avoir pensé cette articulation en amont.
Calendrier d’application et échéances critiques
Le déploiement de l’AI Act suit un calendrier progressif, et certaines échéances sont déjà passées. Les interdictions concernant les systèmes à risque inacceptable s’appliquent depuis début 2025. Les obligations relatives aux systèmes à haut risque montent en puissance tout au long de 2025 et 2026, avec des dates butoirs qui varient selon les catégories.
Ce qu’il faut retenir ? L’attentisme n’est plus une option. Les entreprises qui n’ont pas encore entamé leur cartographie des systèmes d’IA et leur évaluation des niveaux de risque sont déjà en retard sur le calendrier réglementaire. Et les autorités de contrôle, elles, sont prêtes.
Les risques concrets pour les entreprises qui utilisent l’IA
Sanctions financières et actions des autorités de contrôle
Les chiffres donnent le vertige. Le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. L’AI Act va encore plus loin pour certaines infractions, avec des plafonds à 35 millions d’euros ou 7 % du chiffre d’affaires. Et ces sanctions peuvent se cumuler.
La CNIL a déjà sanctionné plusieurs acteurs pour des traitements de données liés à l’IA, et la tendance est clairement au durcissement. Les autorités européennes homologues ne sont pas en reste. On observe une coordination croissante entre régulateurs, ce qui rend les stratégies de forum shopping de moins en moins viables.
Risque réputationnel et perte de confiance des utilisateurs
Au-delà des amendes, c’est la confiance qui est en jeu. Et la confiance, une fois perdue, ne se rachète pas avec un communiqué de presse. Plusieurs entreprises en ont fait l’amère expérience ces dernières années, quand des pratiques de collecte de données pour l’entraînement de modèles IA ont été exposées publiquement.
Les consommateurs, les partenaires commerciaux et les investisseurs sont de plus en plus attentifs à la transparence algorithmique. Un manquement médiatisé peut provoquer une érosion durable de la relation client, bien plus coûteuse à long terme que n’importe quelle amende administrative.
Biais algorithmiques et discrimination : un terrain juridique miné
Les biais dans les données d’entraînement produisent des décisions discriminatoires. Ce n’est pas une hypothèse, c’est un fait documenté dans des dizaines de cas. Recrutement, scoring bancaire, tarification d’assurance : les exemples ne manquent pas.
Et le cadre juridique applicable dépasse largement le RGPD. Le droit du travail, le droit de la consommation, les directives anti-discrimination offrent autant de fondements pour des actions en justice. Se pose aussi la question de la responsabilité : qui est responsable quand un outil fourni par un éditeur tiers produit une discrimination ? Le fournisseur du modèle ? Le déployeur ? Les deux ? La réponse est en train de se construire, et elle ne sera probablement pas confortable pour ceux qui n’auront rien anticipé.
Construire une gouvernance IA conforme au RGPD : méthodologie
Cartographier les traitements IA existants et à venir
La première étape, et sans doute la plus sous-estimée, c’est le recensement. Combien de systèmes d’IA utilisent des données personnelles dans votre organisation ? La réponse est presque toujours supérieure à ce que les directions imaginent. Chatbots, outils d’analyse prédictive, systèmes de recommandation, filtres automatisés dans les RH : l’IA est partout, y compris dans des outils achetés sur étagère dont personne n’a vraiment audité le fonctionnement interne.
Cette cartographie doit s’intégrer au registre des traitements existant, avec une grille d’évaluation du niveau de risque adaptée aux spécificités de l’IA. Pour approfondir les enjeux liés à la transformation digitale des entreprises, plusieurs ressources complémentaires existent sur ce site.
Réaliser une analyse d’impact (AIPD) adaptée aux systèmes d’IA
L’analyse d’impact relative à la protection des données prend une dimension particulière quand elle porte sur un système d’IA. La méthodologie de la CNIL fournit un cadre utile, mais elle doit être enrichie pour couvrir les spécificités algorithmiques : nature et provenance des données d’entraînement, logique de fonctionnement du modèle, conséquences potentielles sur les personnes concernées, mesures de mitigation des biais.
Un point souvent négligé : l’AIPD n’est pas un document figé. Un modèle d’IA évolue, ses données d’entraînement changent, ses performances dérivent. L’analyse d’impact doit suivre ce rythme, sous peine de devenir rapidement obsolète.
Intégrer la protection des données dès la conception du modèle
Le privacy by design n’est pas qu’un concept théorique. Appliqué à l’IA, il se traduit par des choix techniques concrets qui doivent intervenir dès les premières phases de développement du modèle :
- Anonymisation et pseudonymisation des données d’entraînement, en évaluant rigoureusement le risque de ré-identification
- Apprentissage fédéré, qui permet d’entraîner un modèle sans centraliser les données brutes
- Confidentialité différentielle, qui ajoute du bruit statistique pour protéger les données individuelles
- Minimisation active des données intégrées dans le pipeline d’entraînement
- Tests réguliers de biais sur les jeux de données et les sorties du modèle
Ces techniques imposent des arbitrages. Anonymiser davantage peut réduire la performance du modèle. Minimiser les données peut limiter sa capacité de généralisation. Ces compromis doivent être documentés et assumés, pas subis.
Mettre en place une documentation de conformité robuste
RGPD et AI Act imposent tous les deux des exigences documentaires significatives, et les entreprises ont tout intérêt à les traiter de manière consolidée. Fiche de transparence, documentation technique du modèle, journalisation des décisions automatisées, registre des traitements enrichi : la liste est longue.
Le piège classique, c’est de produire cette documentation une fois, au moment du lancement, puis de la laisser prendre la poussière. Une documentation de conformité qui ne vit pas est une documentation qui ne protège pas. Il faut prévoir des cycles de révision, des responsabilités claires et des déclencheurs de mise à jour.
DPO et responsable IA : organiser la collaboration en interne
Rôle élargi du délégué à la protection des données face à l’IA
Le DPO traditionnel maîtrise le RGPD, les processus de conformité, la relation avec les autorités de contrôle. Mais l’arrivée de l’IA dans le périmètre de responsabilité exige des compétences supplémentaires : compréhension des mécanismes d’apprentissage automatique, capacité à dialoguer avec les équipes data science, aptitude à évaluer les risques spécifiques aux algorithmes.
Ce n’est pas une question de tout savoir. C’est une question de savoir poser les bonnes questions aux bonnes personnes, et de comprendre les réponses suffisamment pour exercer un contrôle effectif.
Faut-il nommer un référent IA dédié ?
Certaines organisations font le choix de créer un poste de responsable IA ou de référent éthique de l’IA. D’autres préfèrent élargir le mandat du DPO existant ou constituer un comité transversal associant DPO, RSSI, direction juridique et responsables data.
Il n’existe pas de modèle unique. Ce qui compte, c’est que la responsabilité soit clairement attribuée et que les circuits de décision permettent d’intervenir en amont des projets, pas une fois que le modèle est en production. Les entreprises françaises qui ont pris de l’avance sur ce sujet sont souvent celles qui ont misé sur des synergies entre fonctions existantes plutôt que sur la création d’un énième silo organisationnel.
Former les équipes techniques et métiers à la double conformité
La conformité ne peut pas reposer uniquement sur les épaules du DPO ou du service juridique. Les développeurs, les data scientists, les chefs de projet métier doivent comprendre les enjeux et intégrer les réflexes de conformité dans leur quotidien. Des ateliers pratiques centrés sur des cas d’usage concrets fonctionnent mieux que des formations théoriques descendantes. La veille réglementaire partagée, sous forme de bulletins courts et réguliers, maintient le niveau de vigilance dans la durée.
Cinq actions prioritaires pour anticiper dès aujourd’hui
Pas besoin d’attendre un audit ou une mise en demeure pour agir. Voici cinq mesures concrètes, immédiatement actionnables, qui posent les fondations d’une gouvernance IA solide :
- Recenser tous les systèmes d’IA en place, y compris ceux intégrés dans des solutions tierces, et les inscrire au registre des traitements. Livrable : cartographie complète. Responsable : DPO en lien avec la DSI.
- Évaluer le niveau de risque de chaque système selon la grille de l’AI Act et identifier ceux qui relèvent de la catégorie haut risque. Livrable : matrice de risques. Responsable : référent IA ou comité transversal.
- Lancer une AIPD sur les systèmes les plus sensibles, en intégrant les dimensions spécifiques à l’IA (biais, explicabilité, données d’entraînement). Livrable : rapport d’analyse d’impact. Responsable : DPO.
- Constituer un dossier de conformité documentaire consolidant les exigences RGPD et AI Act. Livrable : documentation technique et juridique centralisée. Responsable : direction juridique et DPO.
- Planifier un programme de formation adapté aux différents publics internes (technique, métier, direction). Livrable : plan de formation déployé. Responsable : DRH en coordination avec le DPO.
Chacune de ces actions peut être lancée en quelques semaines. Aucune ne nécessite un budget pharaonique. Toutes contribuent à réduire significativement l’exposition aux risques.
La double conformité RGPD et AI Act n’est pas une fatalité administrative. C’est un cadre qui, bien appréhendé, structure la gouvernance de l’IA de manière vertueuse et renforce la confiance des parties prenantes. Les entreprises qui choisissent d’anticiper plutôt que de subir ne se contentent pas de cocher des cases réglementaires : elles se dotent d’un avantage compétitif durable dans un environnement où la confiance numérique devient un critère de choix décisif. L’attentisme a un coût. L’anticipation, elle, a une valeur.