RGPD et IA
Le RGPD s'applique pleinement aux projets IA qui traitent des données personnelles : consentement, minimisation, transparence et droits d'accès/effacement sont obligatoires.
Ensemble des obligations imposées par le Règlement Général sur la Protection des Données (RGPD) aux organisations qui déploient des systèmes d'intelligence artificielle traitant des données personnelles de résidents européens : licéité du traitement, minimisation des données, transparence algorithmique et droits des personnes.
- Un chatbot de support client qui accède à l'historique des commandes d'un utilisateur doit faire l'objet d'un registre de traitement, d'une base légale (contrat ou intérêt légitime) et d'une information claire dans la politique de confidentialité.
- Un système de scoring de leads basé sur un LLM constitue une décision automatisée soumise à l'article 22 du RGPD si le score impacte directement une décision contractuelle, le client a alors un droit d'explication.
- L'envoi de données clients non anonymisées à une API OpenAI (serveurs aux États-Unis) constitue un transfert hors EEE qui nécessite des garanties appropriées (clauses contractuelles types ou décision d'adéquation).
RGPD et IA : les obligations que personne ne peut ignorer
Le RGPD (Règlement Général sur la Protection des Données) s’applique à tout traitement de données personnelles de résidents européens, y compris, et surtout, quand ce traitement est réalisé par un système d’intelligence artificielle. L’IA ne crée pas d’exception : elle crée de nouvelles obligations.
Les cinq points d’attention prioritaires
Base légale du traitement : toute donnée personnelle traitée par un système IA doit reposer sur une base légale explicite, consentement, exécution d’un contrat, obligation légale, intérêt légitime. L’intérêt légitime doit être mis en balance avec les droits des personnes concernées.
Minimisation des données : seules les données strictement nécessaires à l’objectif du traitement peuvent être utilisées. Un LLM ne peut pas ingérer un profil client complet si seul l’historique de commandes des 6 derniers mois est pertinent pour la tâche.
Transferts hors EEE : l’envoi de données à des API hébergées aux États-Unis (OpenAI, Anthropic, Google) constitue un transfert international. Des garanties appropriées sont obligatoires : clauses contractuelles types (CCT), binding corporate rules ou décision d’adéquation.
Décisions automatisées : l’article 22 du RGPD encadre les décisions prises uniquement par des moyens automatisés et produisant des effets significatifs sur une personne (refus de crédit, sélection RH, scoring commercial). Un droit d’explication et d’intervention humaine doit être prévu.
Droits des personnes : droit d’accès, de rectification, d’effacement et d’opposition s’appliquent aux données traitées par les systèmes IA. Les architectures doivent permettre techniquement l’exercice de ces droits, y compris dans les bases vectorielles et les logs de conversation.