L’IA n’échappe pas au droit de la protection des données. Si votre système d’IA traite des données personnelles — lors de l’entraînement, en exploitation ou dans ses sorties — le RGPD s’applique intégralement, conjointement avec l’AI Act européen. Pour les organisations belges, les deux régimes se traitent au mieux comme un programme unique : l’AI Act demande “ce système d’IA est-il sûr et digne de confiance ?”, le RGPD demande “ce traitement de données personnelles est-il licite et loyal ?”. Vous devez apporter une réponse claire aux deux.
En bref — obligations RGPD les plus contraignantes pour l’IA
- Vous avez besoin d’une base légale pour l’entraînement et pour l’inférence — elles peuvent différer.
- La limitation des finalités et la minimisation des données encadrent ce que vous pouvez fournir à un modèle.
- Les décisions automatisées ayant des effets juridiques ou significatifs déclenchent les garanties de l’Art. 22.
- Une AIPD est en général obligatoire pour toute IA qui profile ou note des personnes.
- La transparence et les droits des personnes concernées (accès, effacement, opposition) s’appliquent toujours aux traitements pilotés par des modèles.
Base légale : l’entraînement n’est pas l’inférence
Une erreur fréquente consiste à identifier une base juridique unique et à supposer qu’elle couvre l’ensemble du cycle de vie. C’est rarement le cas. Entraîner un modèle sur des données personnelles et utiliser ce modèle sur un individu en temps réel sont des opérations de traitement distinctes, chacune nécessitant sa propre base au titre de l’Art. 6. Pour la plupart des IA commerciales, les candidates réalistes sont l’intérêt légitime (avec un test de mise en balance documenté) ou le consentement ; le contrat peut convenir lorsque l’IA est intrinsèque à un service demandé par la personne. Si vous traitez des catégories particulières de données (santé, biométrie, etc.), vous avez en outre besoin d’une condition au titre de l’Art. 9 — un critère sensiblement plus exigeant.
Limitation des finalités et minimisation face à l’appétit des modèles
Les modèles récompensent plus de données ; le RGPD en récompense moins. Deux principes portent l’essentiel du travail. La limitation des finalités signifie que des données collectées à une fin ne peuvent pas être silencieusement réutilisées pour entraîner un modèle — la réutilisation doit être compatible avec la finalité d’origine ou reposer sur une nouvelle base. La minimisation des données signifie que vous ne collectez et ne conservez que ce dont le modèle a réellement besoin. Des techniques telles que l’anonymisation, la pseudonymisation, les données synthétiques et l’agrégation ne sont pas seulement de bonnes pratiques — elles constituent le moyen de concilier un modèle gourmand en données avec une obligation de minimisation.
Décision automatisée (Art. 22)
C’est là que l’IA et le RGPD se heurtent le plus frontalement. L’Art. 22 confère aux individus le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé — y compris le profilage — qui produit des effets juridiques ou les affecte de manière significativement similaire (refus de crédit, rejet automatisé à l’embauche, tarification d’assurance). De telles décisions entièrement automatisées ne sont autorisées que lorsqu’elles sont nécessaires à l’exécution d’un contrat, autorisées par la loi, ou fondées sur le consentement explicite — et même dans ce cas, des garanties s’imposent : révision humaine significative, possibilité de contestation et explication de la logique utilisée. Concevoir un véritable contrôle humain dans la boucle est souvent la voie la plus propre pour sortir du piège de l’Art. 22, et s’articule avec l’obligation de supervision humaine de l’AI Act pour les systèmes à haut risque.
L’AIPD : généralement obligatoire pour l’IA
Une Analyse d’Impact relative à la Protection des Données (Art. 35) est requise lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits des personnes — ce qui décrit la plupart des IA qui profilent, notent ou prennent des décisions lourdes de conséquences, notamment à grande échelle. L’Autorité de protection des données belge publie une liste d’opérations de traitement exigeant une AIPD, dans laquelle le profilage systématique ou à grande échelle figure en bonne place. Une AIPD bien réalisée pour l’IA documente les flux de données, la base légale, la nécessité et la proportionnalité, les risques de biais et d’erreur, ainsi que les mesures d’atténuation. Menée sérieusement, elle vaut en grande partie pour les éléments de preuve qu’attend l’AI Act pour un système à haut risque — une évaluation, deux régimes.
Transparence, exactitude et droit à l’effacement
Les personnes concernées doivent être informées, en termes clairs, que leurs données alimentent un système d’IA et avec quelles conséquences (Art. 13–14). Le principe d’exactitudeest encore plus rigoureux pour l’IA : un modèle qui produit des inférences erronées sur une personne peut le violer. Et les droits ne s’arrêtent pas à la frontière du modèle — une demande valide d’effacement ou d’opposition doit être honorée même lorsque les données ont été utilisées pour l’entraînement, ce qui explique pourquoi la conception de la rétention et la capacité à ré-entraîner ou filtrer comptent dès le premier jour.
Là où le RGPD rencontre l’AI Act
Les régimes sont complémentaires, non redondants. Le tableau montre comment une même mesure de contrôle satisfait souvent aux deux.
| Mesure de contrôle | RGPD | AI Act |
|---|---|---|
| Supervision humaine des décisions | Garanties Art. 22 | Obligation de supervision humaine pour les systèmes à haut risque |
| Évaluation des risques et impacts | AIPD (Art. 35) | Évaluation de l’impact sur les droits fondamentaux ; gestion des risques |
| Qualité et gouvernance des données | Exactitude, minimisation | Gouvernance des données d’entraînement et de test |
| Transparence envers les personnes | Notices Art. 13–14 | Obligations de transparence Art. 50 |
| Documentation et journalisation | Registre des traitements | Documentation technique, journaux automatiques |
Une liste de contrôle pragmatique
- Cartographiez les données personnelles dans votre IA — jeux d’entraînement, invites, sorties, journaux.
- Établissez une base légale pour l’entraînement et pour l’inférence séparément ; documentez tout test d’intérêt légitime.
- Vérifiez la présence de catégories particulières de données et obtenez une condition Art. 9 le cas échéant.
- Identifiez les décisions entièrement automatisées ayant des effets significatifs ; concevez une révision humaine et des voies de contestation.
- Réalisez une AIPD pour les cas d’usage de profilage ou de notation — et réutilisez-la comme élément de preuve au titre de l’AI Act.
- Intégrez les droits des personnes, les limites de conservation et les notices de transparence avant le lancement.
Information générale, pas un conseil juridique. ICTLAB aide les organisations belges à gérer la conformité RGPD et la gouvernance de l’IA comme un programme unique — consultez nos services de conformité RGPD, lisez la liste de contrôle pour le déploiement de l’IA dans l’UE, ou parlez à notre équipe.