Une adoption rapide de l'IA generative sans cadre juridique clair
L’essor des outils d’intelligence artificielle generative a profondement transforme les pratiques professionnelles. De plus en plus d’organisations y recourent pour rediger des contenus, analyser des documents, automatiser des reponses client ou assister les processus de recrutement. Cette adoption massive s’est souvent operee sans que les implications juridiques soient pleinement integrees aux projets, l’outil etant percu comme une simple aide technique et non comme un dispositif de traitement de donnees personnelles.
Or, des lors qu’un systeme d’IA traite des donnees a caractere personnel, il entre dans le champ d’application du Reglement general sur la protection des donnees (RGPD), conformement a son article 2. L’organisation qui decide d’utiliser un tel outil demeure responsable du traitement au sens de l’article 4, point 7, meme lorsque le systeme est fourni par un prestataire externe.
L'illusion de l'outil neutre et ses consequences juridiques
Assimiler l’IA generative a un logiciel bureautique ordinaire constitue une erreur juridique. Lorsqu’un salarie transmet a un systeme d’IA des courriels, des dossiers clients, des CV ou des comptes rendus d’entretien, ces informations sont collectees, analysees et parfois conservees. Il s’agit d’un traitement automatise de donnees personnelles au sens de l’article 4, point 2, du RGPD.
Cette qualification emporte plusieurs obligations. Les personnes concernees doivent etre informees du traitement, conformement aux articles 12 a 14. Une base legale doit etre identifiee au titre de l’article 6. Les principes de minimisation, de limitation des finalites et de limitation de la duree de conservation poses a l’article 5 doivent etre respectes. Lorsque les donnees sont transferees hors de l’Union europeenne, les garanties prevues au chapitre V du RGPD doivent etre mises en oeuvre.
La question sensible de la reutilisation des donnees par les fournisseurs d'IA
Certains fournisseurs de systemes d’IA se reservent la faculte d’utiliser les donnees saisies par les utilisateurs a des fins d’amelioration ou d’entrainement du modele. Une telle pratique constitue un traitement ulterieur des donnees personnelles. Conformement a l’article 5, paragraphe 1, point b), ce traitement doit etre compatible avec la finalite initiale et reposer sur une base juridique distincte si necessaire.
Dans de nombreuses organisations, cette dimension contractuelle et technique est mal apprehendee. Les parametres de confidentialite sont rarement verifies et les conditions generales d’utilisation ne sont pas analysees sous l’angle du droit des donnees personnelles, ce qui expose les responsables de traitement a un risque juridique accru.
L'oubli frequent de l'analyse d'impact relative a la protection des donnees
L’article 35 du RGPD impose la realisation d’une analyse d’impact (AIPD) lorsque le traitement est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes. Tel est notamment le cas lorsque des systemes d’IA sont utilises pour evaluer des individus, automatiser des decisions ou traiter des donnees sensibles.
Or, l’IA generative est souvent introduite comme un simple outil d’assistance, ce qui conduit a negliger cette obligation. Cette omission prive l’organisation d’un outil essentiel d’identification et de reduction des risques juridiques et operationnels.
Une coexistence necessaire entre RGPD et AI Act
L’entree en vigueur du reglement (UE) 2024/1689 sur l’intelligence artificielle, dit AI Act, n’a pas pour effet d’ecarter l’application du RGPD. Les deux textes poursuivent des finalites complementaires et s’appliquent de maniere cumulative. Le respect des obligations issues de l’AI Act n’exonere pas les responsables de traitement de leurs obligations en matiere de protection des donnees personnelles.
Un systeme d’IA peut ainsi satisfaire aux exigences techniques du reglement sur l’intelligence artificielle tout en restant non conforme au RGPD si l’information des personnes est insuffisante, si la base legale est inexistante ou si les flux internationaux de donnees ne sont pas juridiquement encadres.
Exemple concret d'une non-conformite courante
Une entreprise de recrutement utilise un outil d'IA generative pour analyser automatiquement les CV recus et produire des syntheses destinees aux recruteurs. Les CV contiennent des donnees personnelles, parfois sensibles, telles que l'age, la photographie ou des informations relatives a la situation personnelle. Ces donnees sont transmises a un prestataire d'IA situe hors de l'Union europeenne sans information prealable des candidats et sans analyse des transferts de donnees.
Ce dispositif constitue un traitement automatise de donnees personnelles, un possible profilage et un transfert international de donnees. En l’absence d’information conforme aux articles 12 a 14, de base legale clairement identifiee au titre de l’article 6 et d’analyse d’impact prevue a l’article 35, l’entreprise se place en situation de non-conformite manifeste au RGPD.
La responsabilite accrue des organisations utilisatrices
Les autorites de controle rappellent que la responsabilite juridique pese sur l’organisation qui choisit d’utiliser un systeme d’IA. Le comportement individuel des salaries ne saurait exonerer l’employeur de ses obligations. L’absence de politique interne encadrant l’usage de l’IA peut etre analysee comme un manquement a l’obligation de responsabilite prevue a l’article 24 du RGPD.
Encadrer juridiquement l’IA generative implique donc d’identifier les usages, de controler les donnees transmises, d’analyser les relations contractuelles avec les fournisseurs et d’integrer la protection des donnees des la conception des projets.
L'intelligence artificielle generative modifie en profondeur les pratiques professionnelles, mais elle ne suspend pas l'application du droit de la protection des donnees. Le RGPD demeure le cadre juridique central de tout traitement de donnees personnelles, y compris lorsqu'il est realise par un systeme d'IA. L'enjeu pour les organisations n'est pas seulement de deployer des outils performants, mais de garantir que leur utilisation respecte les droits et libertes fondamentaux des personnes concernees.