Téléchargez gratuitement notre eBook "Pour une stratégie d'entreprise éco-responsable"
télécharger
French
French
Les opérations de Carve-Out en France
DÉcouvrir
Découvrez le Livre Blanc : "Intelligence artificielle : quels enjeux juridiques"
DÉcouvrir
Intelligence Artificielle : quels enjeux juridiques ?
Actualité
27/3/25

La Conformité des Systèmes d’IA au RGPD : Enjeux, Sanctions et Perspectives

Dernièrement, les éditeurs d'intelligence artificielle (IA) sont sous le feu des projecteurs pour leur gestion des données personnelles. Les systèmes d’IA, basés sur l’apprentissage automatique, dépendent souvent de volumes massifs de données, dont beaucoup sont des données personnelles. Le Règlement Général sur la Protection des Données (RGPD) impose des obligations strictes en matière de transparence, de licéité et de respect des droits des individus, obligations qui s’appliquent pleinement aux technologies d’IA génératives.

RGPD contre IA génératives : la confrontation inévitable ?

Le RGPD repose sur des principes fondamentaux qui s’appliquent aux systèmes d’IA traitant des données personnelles. Leur mise en œuvre dans ce contexte présente des défis spécifiques liés à la nature des technologies d’apprentissage automatique.

1. Transparence

L’article 5(1)(a) du RGPD exige que le traitement des données soit effectué de manière transparente. Pour les systèmes d’IA, cela implique d’informer clairement les individus sur la collecte, l’utilisation et les finalités des données. Pour les IA, cette transparence est particulièrement complexe en raison de l’opacité inhérente à certains algorithmes (comme les réseaux de neurones profonds).

Il incombe aux concepteurs d’IA génératives d’expliquer clairement la manière dont les données façonnent les décisions prises par leurs modèles, mais la transparence de ces algorithmes est complexe, tant pour le fait que les algorithmes sont très sophistiqués que pour préserver les secrets industriels et la propriété intellectuelle des éditeurs d’IA.

2. Minimisation des Données

Selon l’article 5(1)(c), seules les données nécessaires à la finalité du traitement doivent être collectées. Dans l’IA, où les modèles prospèrent sur de vastes ensembles de données, ce principe peut sembler contradictoire. Les éditeurs doivent justifier chaque donnée utilisée et envisager des alternatives comme l’apprentissage fédéré (federated learning) ou les données synthétiques pour réduire leur dépendance aux données personnelles.

 

3. Licéité du Traitement

L’article 6 du RGPD exige une base légale pour tout traitement, comme le consentement, l’exécution d’un contrat ou l’intérêt légitime. Pour les systèmes d’IA, obtenir un consentement explicite peut être difficile, notamment lors de collectes massives ou de réutilisation de données. L’intérêt légitime, souvent invoqué, nécessite un équilibre délicat avec les droits des individus, ce qui peut être contesté par les autorités de protection des données.

 

4. Droits des Utilisateurs

Les articles 15 à 22 du RGPD garantissent des droits tels que l’accès, la rectification, l’effacement (« droit à l’oubli ») et l’opposition. Dans l’IA, ces droits posent des défis techniques : par exemple, retirer des données d’un modèle entraîné peut nécessiter un réentraînement coûteux. Les éditeurs doivent concevoir des systèmes permettant de répondre à ces demandes et respectant ainsi une privacy by design. Néanmoins l’implémentation de cette privacy by design impliquerait une perte de revenue conséquente pour les éditeurs d’IA en plus de la difficulté technique de mise en place.

La CNIL dévoile ses recommandations de conformité 

La CNIL dans ses recommandations sur les systèmes d'IA du 8 avril 2024 a émis des conseils pour accompagner les éditeurs d’IA dans leur conformité au RGPD, offrant des solutions pratiques aux défis identifiés.

  • Finalité Claire : La CNIL insiste sur la définition d’une finalité explicite dès la conception, conformément à l’article 5(1)(b). Cela permet de limiter les dérives et d’informer les utilisateurs.
  • La CNIL donne comme bonne pratique pour pallier à cette problématique de déterminer les capacités prévisibles les plus à risques du système d'IA et de définir des modalités d'utilisation open source ou en mise à disposition en SaaS ou par API. 
  • Analyse d’Impact (AIPD) : Pour les systèmes à haut risque, une AIPD (article 35) est recommandée pour évaluer et atténuer les risques sur les droits des individus. 
  • Minimisation des données :  Selon les recommandations de la CNIL "Le principe de minimisation n’interdit pas d’entraîner un algorithme avec des volumes très importants de données, mais implique :
    • d’avoir une réflexion en amont afin de recourir aux seules données personnelles utiles au développement du système ; et
    • à mettre, par la suite, en œuvre les moyens techniques pour ne collecter que celles-ci.".
  • Qualité des Données : Les données doivent être exactes et pertinentes (article 5(1)(d)). La CNIL préconise des mécanismes de vérification, notamment pour les données issues de sources tierces.
  • Consentement Robuste : Lorsque le consentement est requis (article 7), il doit être libre, spécifique et révocable, ce qui peut nécessiter des interfaces utilisateur innovantes.
  • Responsabilité : La CNIL promeut le principe de « privacy by design » (article 25) et recommande des politiques de gouvernance, incluant un délégué à la protection des données (DPO).

Ces recommandations soulignent une approche proactive, essentielle pour éviter les sanctions.

Les éditeurs d’IA dans le viseur des CNILs européennes

Les récentes sanctions révèlent les risques juridiques qui pèsent sur les éditeurs d’IA et soulignent les exigences des autorités réglementaires.

1. OpenAI : Amende de 15 Millions d’Euros par l’Autorité Italienne

Le 20 décembre 2024, l’autorité italienne de protection des données (Garante) a infligé une amende de 15 millions d’euros à OpenAI pour violations du RGPD. Les griefs incluaient le traitement de données sans base légale (article 5§2 et 6 du RGPD), le défaut de transparence (article 12 et 13 du RGPD), la production de données inexactes (hallucination de l’IA) et l’absence de notification d’une violation de données survenue en mars 2023 (article 33 du RGPD). De plus, OpenAI n’avait pas mis en place de systèmes adéquats pour protéger les mineurs de contenus inappropriés générés par son IA soit une l’absence de vérification de l’âge des utilisateurs (article 24 et 25§1 du RGPD). OpenAI a été contraint de lancer une campagne d’information en Italie pour sensibiliser les utilisateurs aux pratiques de collecte de données de ChatGPT. Notons aussi qu’en France, Mistral AI la célèbre licorne française de l’IA générative fait aussi l’objet d’une plainte devant la CNIL. Les plaignants reprochent à l’entreprise de ne pas avoir obtenu le consentement des utilisateurs pour l’entrainements de ces modèles (article 7 du RGPD) et de ne pas avoir fourni d’informations claires sur les données collectées (article 12 du RGPD). 

Ces enquêtes démontrent qu’il est difficile pour les IA génératives d’absorber massivement des données en tant qu’input afin de fonctionner tout en respectant le RGPD.

2. Clearview AI : Sanctions Multiples en Europe

Clearview AI, une entreprise américaine de reconnaissance faciale, a été sanctionnée à plusieurs reprises en Europe pour avoir collecté et traité sans base légale des données biométriques. En France, la CNIL a infligé une amende de 20 millions d’euros en 2022, suivie d’une sanction supplémentaire de 5,2 millions d’euros en 2023 pour non-conformité aux injonctions. L'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) a sanctionné Clearview AI sur le même fondement pour un montant de 30 500 000 €. Des amendes ont également été prononcées en Italie, en Grèce, aux Pays-Bas et au Royaume-Uni. Ces sanctions illustrent la sévérité avec laquelle les régulateurs européens traitent les violations impliquant des données sensibles. L’entreprise Clearview AI basé à Manhattan aux Etats Unis refuse de se conformer aux sanctions européennes et même de payer les amendes et n’a pas changé son comportement depuis s’engageant dans un bras de fer avec les régulateurs européens. L’autorité néerlandaise envisage donc de sanctionner et de tenir pour responsable les dirigeants de l’entreprises imitant la justice française pour le cas de Télégram.

3. Spotify : Sanction en Suède

En juin 2023, l’autorité suédoise de protection des données (IMY) a infligé une amende de 5 millions d’euros à Spotify pour ne pas avoir fourni des informations suffisamment détaillées en réponse aux demandes d’accès des utilisateurs. Spotify utilise l’IA pour ses recommandations musicales.

Bien que Spotify ait fourni certaines informations, celles-ci manquaient de précision sur la manière dont les données étaient utilisées par ses algorithmes de recommandation.

 

Quelles solutions ? 

Les éditeurs d’IA font donc face à des risques croissants :

  • Renforcement des Sanctions : Les amendes pourraient augmenter, avec des contrôles plus fréquents.
  • Nouvelles Réglementations : L’AI Act qui complète RGPD avec des règles spécifiques à l’IA. L'Espagne a, dans sa loi de transposition de l'AI act, instauré une amende pouvant aller jusqu'à 7% du chiffre d'affaire de l'éditeur d'IA ou 35 millions d'euros.

Pour assurer leur conformité, les acteurs de l’IA doivent :

  • Réaliser des évaluations d’impact sur la protection des données pour les traitements à haut risque.
  • Intégrer le principe de privacy by design dès la phase de développement.
  • Fournir des informations claires et accessibles aux utilisateurs sur les traitements de données.
  • Mettre en place des mécanismes robustes pour garantir l’exercice des droits des utilisateurs.

En anticipant les risques juridiques et en adoptant une approche proactive, les éditeurs d’IA peuvent non seulement éviter des sanctions coûteuses, mais aussi renforcer la confiance des utilisateurs et leur position sur le marché.

Trouver un équilibre entre le respect indispensable des garanties imposées par le RGPD et la nécessité de performance des systèmes européens d'intelligence artificielle constitue aujourd'hui un enjeu majeur. Ce défi intervient dans un contexte géopolitique particulièrement tendu, où chaque contrainte normative à la performance peut significativement pénaliser les nations engagées dans la course à l’IA.

Lors de son adoption en avril 2016, le RGPD n’avait pas anticipé l’émergence rapide et massive des IA génératives accessibles aujourd’hui au grand public. Ces nouvelles technologies, qui traitent quotidiennement des volumes considérables de données personnelles, soulèvent désormais une question essentielle : le RGPD serait-il déjà en voie d'obsolescence face à cette innovation technologique majeure ?

Si vous êtes confrontés à ces enjeux, les avocats experts du cabinet Deprez Guignot et Associés, spécialisés en RGPD et intelligence artificielle pourront vous accompagner avec expertise.

Vincent FAUCHOUX / Benjamin KAHN
Découvrez l'eBook : Les opérations de Carve-Out en France
Télécharger
Découvrez le Livre Blanc : "Intelligence artificielle : quels enjeux juridiques"
Télécharger
Intelligence Artificielle : quels enjeux juridiques ?

Abonnez vous à notre Newsletter

Recevez chaque mois la lettre du DDG Lab sur l’actualité juridique du moment : retrouvez nos dernières brèves, vidéos, webinars et dossiers spéciaux.
je m'abonne
DDG utilise des cookies dans le but de vous proposer des services fonctionnels, dans le respect de notre politique de confidentialité et notre gestion des cookies (en savoir plus). Si vous acceptez les cookies, cliquer ici.