Les systèmes d'IA traitent massivement des données personnelles -- mais quand une analyse d'impact sur la protection des données au titre de l'art. 35 RGPD devient-elle obligatoire ? Découvrez quels scénarios à haut risque déclenchent une AIPD, comment appliquer la liste noire des autorités allemandes et comment mener le processus de manière méthodique.
L'IA en entreprise : quand l'analyse d'impact sur la protection des données devient obligatoire
L'intelligence artificielle imprègne le quotidien des entreprises : chatbots au service client, recrutement assisté par IA, décisions de crédit automatisées, maintenance prédictive ou marketing personnalisé. Toutes ces applications ont un point commun -- elles traitent généralement des données personnelles, souvent à grande échelle et en utilisant de nouvelles technologies. C'est précisément ici qu'intervient l'art. 35 du Règlement général sur la protection des données (RGPD) : lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, une Analyse d'Impact relative à la Protection des Données (AIPD) doit être réalisée avant le traitement. Cet article explique dans quels cas le déploiement de l'IA déclenche l'obligation d'AIPD et comment structurer le processus de manière juridiquement sûre.
Art. 35 RGPD : le déclencheur en bref
Quand l'AIPD devient-elle obligatoire ?
L'art. 35, paragraphe 1, RGPD exige une AIPD lorsqu'un type de traitement -- en particulier en recourant à de nouvelles technologies -- est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Trois cas de figure de l'art. 35, paragraphe 3, RGPD
Le législateur désigne trois situations dans lesquelles une AIPD est en particulier requise :
- Évaluation systématique et approfondie d'aspects personnels de personnes physiques fondée sur un traitement automatisé, y compris le profilage, servant de base à des décisions produisant des effets juridiques ou affectant de manière significative la personne
- Traitement à grande échelle de catégories particulières de données (art. 9, paragraphe 1, RGPD) ou de données relatives à des condamnations pénales
- Surveillance systématique à grande échelle d'une zone accessible au public
Ces trois situations peuvent être pertinentes lors du déploiement de systèmes d'IA -- en particulier la première, qui décrit exactement ce que font de nombreuses applications d'IA.
La liste noire de la DSK : quand l'IA rend l'AIPD impérative
L'art. 35, paragraphe 4, RGPD oblige les autorités de contrôle à publier une liste des opérations de traitement nécessitant une AIPD. En Allemagne, la Conférence des autorités indépendantes de protection des données (DSK) a publié une liste noire (Muss-Liste) contraignante pour le secteur non public.
La liste noire de la DSK comprend notamment :
- Utilisation de l'IA pour traiter des données personnelles afin de contrôler l'interaction avec les personnes concernées ou d'évaluer des aspects personnels
- Profilage évaluant les performances professionnelles, la situation économique, la santé, les préférences ou le comportement
- Scoring et évaluation de personnes physiques, notamment en matière de solvabilité
- Combinaison de données provenant de sources différentes (data matching)
- Traitement de données biométriques pour l'identification unique de personnes
Dans la plupart des cas où des systèmes d'IA traitent des données personnelles, l'AIPD est donc la règle, non l'exception.
Scénarios à haut risque : les applications d'IA sous la loupe
Profilage et prise de décision automatisée (art. 22 RGPD)
L'art. 22 RGPD confère aux personnes concernées le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques. Cas typiques :
- Décisions de crédit automatisées
- Recrutement assisté par IA
- Tarification automatisée (dynamic pricing)
- Scoring d'assurance
Traitement de données biométriques
Les systèmes d'IA de reconnaissance faciale, d'analyse vocale ou de détection d'émotions traitent des données biométriques au sens de l'art. 9, paragraphe 1, RGPD. Une AIPD est toujours requise.
IA générative et grands modèles de langage
L'utilisation de ChatGPT, Copilot et systèmes comparables peut déclencher une AIPD lorsque des données personnelles sont saisies, traitées ou utilisées pour la prise de décision.
Les neuf critères du Groupe de travail Article 29
Les lignes directrices WP 248, approuvées par le CEPD, définissent neuf critères pour l'évaluation des risques :
- Évaluation ou scoring, y compris le profilage
- Prise de décision automatisée avec effets juridiques
- Surveillance systématique de personnes
- Traitement de données confidentielles ou particulièrement sensibles
- Traitement de données à grande échelle
- Croisement ou combinaison d'ensembles de données
- Traitement de données de personnes vulnérables
- Utilisation innovante ou application de nouvelles technologies
- Traitement empêchant l'exercice d'un droit ou l'utilisation d'un service
Règle des deux critères : Si au moins deux critères sont remplis, une AIPD est généralement requise. Les applications d'IA remplissent typiquement plusieurs critères simultanément.
Méthodologie AIPD : étape par étape
Contenu minimal selon l'art. 35, paragraphe 7, RGPD
- Description systématique des opérations de traitement et des finalités
- Évaluation de la nécessité et de la proportionnalité du traitement
- Évaluation des risques pour les droits et libertés des personnes
- Mesures correctives envisagées, y compris les garanties et mécanismes de protection
Approche recommandée pour les systèmes d'IA
Phase 1 : Description du système d'IA, des flux de données et des bases juridiques Phase 2 : Analyse de nécessité et de proportionnalité Phase 3 : Évaluation des risques, en tenant compte de l'opacité algorithmique, des biais et de la minimisation des données Phase 4 : Définition des mesures correctives et documentation des risques résiduels
Documentation et rôle du DPD
L'AIPD doit être documentée par écrit et disponible pour l'autorité de contrôle. L'art. 35, paragraphe 2, RGPD exige que le délégué à la protection des données (DPD) soit consulté. Le DPD doit être impliqué dès la décision de déployer un système d'IA.
L'orientation de la DSK sur l'IA et la protection des données
L'orientation de la DSK « Intelligence artificielle et protection des données » de mai 2024 sert de guide pratique. Le LfDI Bade-Wurtemberg a publié un document de travail sur les bases juridiques de l'IA comme aide pratique complémentaire.
Conséquences du non-respect
- Amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (art. 83, paragraphe 4, RGPD)
- Interdiction du traitement par l'autorité de contrôle
- Dommages et intérêts selon l'art. 82 RGPD
- Atteinte à la réputation par communication publique de l'autorité
Recommandations pratiques
- Utilisez un modèle structuré couvrant toutes les exigences de l'art. 35, paragraphe 7
- Effectuez une analyse de seuil pour chaque nouveau projet d'IA
- Révisez régulièrement l'AIPD, au moins annuellement pour les systèmes d'IA adaptatifs
Conclusion
Le déploiement de l'IA en entreprise nécessitera dans la grande majorité des cas une AIPD selon l'art. 35 RGPD. Les systèmes d'IA qui traitent des données personnelles sont par nature des traitements à haut risque. Les entreprises qui déploient l'IA sans réaliser d'AIPD s'exposent non seulement à des amendes, mais aussi à l'interdiction du traitement. La bonne nouvelle : une AIPD soigneusement réalisée n'est pas un obstacle à l'innovation, mais un instrument qui crée la confiance et rend les risques maîtrisables.
Chez compleneo, nous vous accompagnons dans la réalisation d'AIPD pour les systèmes d'IA, l'évaluation de votre conformité IA et l'accompagnement juridique de vos projets de digitalisation. Contactez-nous.
