L'article 59 du Règlement (UE) 2024/1689 établit un régime spécifique pour le traitement ultérieur de données à caractère personnel dans le cadre des bacs à sable réglementaires IA, lorsque ce traitement est effectué pour le développement de systèmes d'IA dans l'intérêt public. Cette disposition reconnaît que le développement et le test de systèmes d'IA innovants nécessitent souvent l'accès à des données personnelles réelles pour évaluer les performances, identifier les biais potentiels, et valider les fonctionnalités dans des conditions représentatives d'une utilisation réelle.

L'article 59 s'inscrit dans l'articulation délicate entre l'AI Act et le Règlement Général sur la Protection des Données (RGPD). Le RGPD impose des exigences strictes pour le traitement des données personnelles, notamment le principe de limitation des finalités qui restreint l'utilisation de données collectées pour une finalité à d'autres finalités incompatibles. L'article 59 prévoit des conditions spécifiques dans lesquelles le traitement ultérieur de données personnelles à des fins de développement de systèmes d'IA dans les bacs à sable peut être considéré comme compatible avec les finalités initiales de collecte, sous réserve de garanties appropriées.

Cette disposition vise à faciliter l'innovation responsable en IA en levant certains obstacles liés à l'accès aux données, tout en maintenant un niveau élevé de protection des données personnelles à travers des garanties strictes, une supervision par les autorités de protection des données, et une limitation aux systèmes d'IA servant l'intérêt public. Elle illustre l'approche européenne cherchant à concilier protection des droits fondamentaux et innovation technologique.

Texte officiel de l'article 59 de l'AI Act

L'article 59 de l'AI Act dispose :

« 1. Dans le cadre du bac à sable réglementaire IA et sous réserve de garanties appropriées pour les droits et libertés des personnes concernées, le traitement ultérieur de données à caractère personnel, légalement collectées pour d'autres finalités, aux fins de développement et de test de certains systèmes d'IA innovants dans le bac à sable peut être considéré comme compatible avec les finalités initiales de collecte, conformément au règlement (UE) 2016/679, lorsque toutes les conditions suivantes sont remplies :

a) le traitement ultérieur de données à caractère personnel dans le cadre du bac à sable est nécessaire pour se conformer au présent règlement et est strictement nécessaire aux fins du développement et du test dans le bac à sable de systèmes d'IA qui servent l'intérêt public ;

b) des mesures techniques et organisationnelles appropriées sont mises en place pour garantir le respect des droits et libertés des personnes concernées, y compris des garanties fonctionnelles qui assurent que les données traitées dans le bac à sable ne sont pas utilisées à d'autres fins et que les résultats du test ne portent pas atteinte aux droits et libertés des personnes concernées ;

c) tout résultat du traitement qui peut avoir une incidence négative sur les personnes concernées est immédiatement exclu du traitement ultérieur et le responsable du traitement ou le sous-traitant au sein du bac à sable informe l'autorité compétente et l'autorité de contrôle ;

d) des registres des opérations de traitement de données réalisées dans le cadre du bac à sable sont conservés conformément au règlement (UE) 2016/679 ;

e) une description complète du processus et de la justification du traitement de données à caractère personnel est publiée en tant qu'élément du résumé visé à l'article 58 ;

f) l'autorité de contrôle compétente en vertu du règlement (UE) 2016/679 a été consultée, d'office ou sur demande de l'autorité compétente, avant le début du traitement. »

« 2. Les données à caractère personnel traitées légalement pour d'autres finalités par les autorités publiques ou par d'autres entités du secteur public peuvent être traitées aux fins du développement et du test de certains systèmes d'IA d'intérêt public dans le bac à sable, à condition que les participants au bac à sable soient des autorités publiques ou des entités du secteur public et que les conditions énoncées au paragraphe 1 soient remplies. »

Cet article établit donc un cadre spécifique permettant, sous conditions strictes, le traitement ultérieur de données personnelles dans les bacs à sable pour le développement de systèmes d'IA d'intérêt public.

Analyse juridique de l'article 59

Principe de compatibilité conditionnelle

L'article 59, paragraphe 1, prévoit que le traitement ultérieur de données personnelles dans le bac à sable « peut être considéré comme compatible avec les finalités initiales de collecte, conformément au règlement (UE) 2016/679 », lorsque certaines conditions cumulatives sont remplies. Cette disposition s'appuie sur l'article 6, paragraphe 4, du RGPD qui permet d'évaluer si un traitement ultérieur est compatible avec les finalités initiales en tenant compte de divers facteurs, dont l'existence de garanties appropriées.

Cette compatibilité présumée facilite significativement l'innovation en IA en évitant la nécessité de recueillir un nouveau consentement des personnes concernées ou de trouver une nouvelle base légale pour chaque utilisation de données dans le bac à sable. Toutefois, cette facilité n'est accordée que sous réserve de « garanties appropriées pour les droits et libertés des personnes concernées » et du respect de six conditions cumulatives strictes.

Nécessité et intérêt public

L'article 59, paragraphe 1, point a), impose deux conditions cumulatives. Premièrement, le traitement ultérieur doit être « nécessaire pour se conformer au présent règlement », c'est-à-dire que l'utilisation de données personnelles réelles doit être indispensable pour réaliser les objectifs du bac à sable (par exemple, évaluer les performances sur données représentatives, détecter les biais). Des données synthétiques ou anonymisées ne suffiraient pas.

Deuxièmement, le traitement doit être « strictement nécessaire aux fins du développement et du test dans le bac à sable de systèmes d'IA qui servent l'intérêt public ». Cette double exigence de nécessité stricte et d'intérêt public limite considérablement la portée de la disposition. Les systèmes d'IA commerciaux servant principalement des intérêts privés ne peuvent bénéficier de cette facilité. La notion d'intérêt public couvre notamment les systèmes utilisés pour des missions de service public (santé publique, éducation, sécurité, environnement, etc.).

Mesures de protection et garanties fonctionnelles

L'article 59, paragraphe 1, point b), impose la mise en place de « mesures techniques et organisationnelles appropriées » garantissant le respect des droits et libertés des personnes concernées. Ces mesures peuvent inclure : la pseudonymisation ou l'anonymisation partielle des données, le chiffrement, les contrôles d'accès stricts, les audits réguliers, et la minimisation des données (limitation aux données strictement nécessaires).

Le point b) exige également des « garanties fonctionnelles » assurant que « les données traitées dans le bac à sable ne sont pas utilisées à d'autres fins » (principe de limitation des finalités strictement appliqué) et que « les résultats du test ne portent pas atteinte aux droits et libertés des personnes concernées ». Cette seconde garantie implique notamment que les systèmes testés ne doivent pas produire de décisions défavorables aux personnes ou de profilages intrusifs, ou que de telles sorties doivent être strictement contrôlées et ne pas avoir d'effet juridique ou significatif sur les personnes.

Exclusion immédiate des résultats négatifs

L'article 59, paragraphe 1, point c), établit une garantie importante : « tout résultat du traitement qui peut avoir une incidence négative sur les personnes concernées est immédiatement exclu du traitement ultérieur ». Cette disposition impose une surveillance continue des sorties du système d'IA testé pour détecter tout résultat potentiellement préjudiciable (par exemple, classification erronée défavorable, biais discriminatoire, prédiction négative) et d'exclure immédiatement ces résultats pour qu'ils n'affectent pas les personnes concernées.

Le point c) impose également que « le responsable du traitement ou le sous-traitant au sein du bac à sable informe l'autorité compétente et l'autorité de contrôle » de tels résultats. Cette obligation de notification permet aux autorités de superviser les risques émergents et d'intervenir si nécessaire pour protéger les personnes ou suspendre l'expérimentation.

Documentation et transparence

L'article 59, paragraphe 1, point d), impose de conserver des « registres des opérations de traitement de données réalisées dans le cadre du bac à sable » conformément au RGPD. Ces registres, prévus à l'article 30 du RGPD, doivent documenter précisément les catégories de données traitées, les finalités, les catégories de personnes concernées, les destinataires, les durées de conservation, et les mesures de sécurité. Ils permettent aux autorités de contrôler la conformité et aux participants de démontrer leur responsabilité.

Le point e) impose de publier « une description complète du processus et de la justification du traitement de données à caractère personnel » en tant qu'élément du résumé prévu à l'article 58. Cette exigence de transparence publique permet un contrôle social et contribue à la confiance du public dans les bacs à sable. La description doit expliquer pourquoi le traitement de données personnelles est nécessaire, quelles données sont utilisées, comment elles sont protégées, et quels bénéfices sont attendus.

Consultation préalable de l'autorité de protection des données

L'article 59, paragraphe 1, point f), impose que « l'autorité de contrôle compétente en vertu du règlement (UE) 2016/679 » (l'autorité de protection des données, comme la CNIL en France) soit « consultée, d'office ou sur demande de l'autorité compétente, avant le début du traitement ». Cette consultation préalable permet à l'autorité de protection des données d'évaluer les risques pour les droits et libertés, de formuler des recommandations, et de valider (ou non) que les conditions de l'article 59 sont remplies.

La consultation peut être initiée « d'office » par l'autorité compétente gérant le bac à sable, ou « sur demande de l'autorité compétente » si l'autorité de protection des données souhaite être impliquée. En pratique, une consultation systématique est recommandée pour garantir la conformité et éviter les contentieux ultérieurs.

Régime spécifique pour le secteur public

L'article 59, paragraphe 2, prévoit un régime spécifique pour les données détenues par les autorités publiques ou entités du secteur public. Ces données « peuvent être traitées aux fins du développement et du test de certains systèmes d'IA d'intérêt public dans le bac à sable, à condition que les participants au bac à sable soient des autorités publiques ou des entités du secteur public » et que les conditions du paragraphe 1 soient remplies.

Cette disposition facilite l'innovation dans le secteur public en permettant aux administrations de réutiliser leurs données pour développer des systèmes d'IA améliorant les services publics. Par exemple, un hôpital public pourrait utiliser des données de santé anonymisées ou pseudonymisées pour développer un système d'IA de diagnostic dans un bac à sable. La limitation aux participants publics garantit que les données publiques ne sont pas détournées au profit d'acteurs privés commerciaux.

Exemples concrets d'application

Exemple concret d'application de l'article 59 de l'AI Act

Développement d'un système d'IA de détection précoce du décrochage scolaire

Une administration éducative régionale en France développe, dans le cadre d'un bac à sable réglementaire IA, un système d'intelligence artificielle visant à identifier précocement les élèves à risque de décrochage scolaire pour leur proposer un accompagnement personnalisé. Le système doit analyser diverses données éducatives (résultats scolaires, absences, comportement, participation) pour détecter des patterns prédictifs du décrochage.

Application de l'article 59 :

1. Données personnelles concernées :
L'administration dispose légalement de données personnelles sur les élèves, collectées initialement pour des finalités de gestion administrative et pédagogique (suivi de la scolarité, évaluation, etc.). Elle souhaite utiliser ces données de manière ultérieure pour développer et tester le système d'IA dans le bac à sable.

2. Vérification des conditions cumulatives (paragraphe 1) :

Condition a) - Nécessité et intérêt public :
✓ Le traitement des données personnelles réelles est nécessaire pour évaluer les performances du système sur des cas authentiques et identifier d'éventuels biais (des données synthétiques ne permettraient pas une validation réaliste)
✓ Le système sert manifestement l'intérêt public : la lutte contre le décrochage scolaire est une priorité de politique publique
✓ Le développement dans un bac à sable permet de tester le système avant déploiement large, conformant à l'AI Act

Condition b) - Mesures de protection et garanties fonctionnelles :

Mesures techniques et organisationnelles mises en place :
- Pseudonymisation des données : remplacement des identifiants directs par des codes
- Chiffrement des données en transit et au repos
- Contrôles d'accès stricts : seuls 3 membres de l'équipe projet ont accès aux données pseudonymisées
- Minimisation : seules les données strictement nécessaires sont utilisées (exclusion de données sensibles non pertinentes)
- Environnement de test isolé : les données ne peuvent sortir du bac à sable

Garanties fonctionnelles :
- Les données ne sont utilisées QUE pour développer et tester le système de détection du décrochage, pas pour d'autres finalités
- Les « prédictions » du système ne sont pas communiquées directement aux établissements pendant la phase test, elles sont uniquement utilisées pour évaluer les performances du système
- Si le système est finalement déployé après le bac à sable, les prédictions serviront uniquement à proposer du soutien, jamais à pénaliser ou discriminer les élèves

Condition c) - Exclusion immédiate des résultats négatifs :

Mécanisme de surveillance mis en place :
- Analyse hebdomadaire des sorties du système par un comité incluant éducateurs et spécialiste éthique
- Si le système identifie un élève « à risque » sur la base de critères problématiques (par exemple, origine sociale ou ethnique créant un biais discriminatoire), ce résultat est immédiatement exclu et le système est réajusté
- Notification immédiate à l'autorité compétente (autorité gérant le bac à sable) et à la CNIL en cas de détection de biais ou d'incidence négative

Exemple d'exclusion : Durant le test, le système identifie de manière disproportionnée des élèves issus de quartiers défavorisés, suggérant un biais socio-économique. Ces résultats sont immédiatement exclus, le système est recalibré, et la CNIL est informée. Le test reprend après validation des corrections.

Condition d) - Registres des opérations de traitement :

L'administration tient un registre RGPD détaillé documentant :
- Responsable du traitement : Administration éducative régionale
- Finalité : Développement et test d'un système d'IA de détection précoce du décrochage scolaire dans le bac à sable réglementaire
- Base légale : Article 59 de l'AI Act en liaison avec article 6(4) du RGPD
- Catégories de données : Résultats scolaires, absences, données de comportement, participation aux activités
- Catégories de personnes : Élèves de l'enseignement secondaire de la région (environ 50 000 élèves)
- Destinataires : Équipe projet (3 personnes) ; autorité compétente bac à sable ; CNIL (sur demande)
- Durée de conservation : Pendant la durée du bac à sable (18 mois) puis suppression ou anonymisation complète
- Mesures de sécurité : Pseudonymisation, chiffrement, contrôles d'accès, environnement isolé
- Transferts hors UE : Aucun

Condition e) - Publication de la description du traitement :

Dans le résumé public du projet de bac à sable (article 58), l'administration publie une description complète et accessible :

« Traitement de données personnelles dans le bac à sable :

Finalité : Développer et tester un système d'IA permettant d'identifier précocement les élèves à risque de décrochage scolaire pour leur proposer un accompagnement personnalisé adapté.

Nécessité : L'utilisation de données personnelles réelles est indispensable pour évaluer la pertinence et l'absence de biais du système sur des situations authentiques. Des données synthétiques ou anonymisées ne permettraient pas une validation réaliste.

Intérêt public : La lutte contre le décrochage scolaire est une priorité d'intérêt général. Le système vise à améliorer le repérage et l'accompagnement des élèves en difficulté, contribuant à leur réussite éducative.

Données utilisées : Données éducatives (résultats, absences, comportement, participation) déjà détenues légalement par l'administration. Aucune donnée sensible (santé, origine, religion) n'est utilisée.

Protection : Pseudonymisation, chiffrement, environnement isolé, accès restreint. Les prédictions du système en phase test ne sont pas communiquées aux établissements et ne créent aucune conséquence pour les élèves. Surveillance continue pour détecter et exclure tout biais ou résultat préjudiciable.

Durée : 18 mois de test, puis suppression ou anonymisation complète des données. Si le système est déployé après validation, un nouveau traitement conforme au RGPD sera mis en place avec information des familles. »

Condition f) - Consultation préalable de la CNIL :

Avant le début du traitement, l'autorité compétente gérant le bac à sable consulte formellement la CNIL. Un dossier complet est transmis incluant :
- Description détaillée du système d'IA et de son fonctionnement
- Justification de la nécessité du traitement de données personnelles
- Analyse des risques pour les droits et libertés
- Description de toutes les mesures de protection mises en place
- Plan de surveillance et de détection des biais
- Procédures d'information et de recours pour les personnes concernées

La CNIL évalue le dossier et émet un avis favorable sous réserve de recommandations complémentaires :
- Renforcer l'information des familles sur l'existence du bac à sable
- Mettre en place un droit d'opposition explicite permettant aux familles de refuser que les données de leur enfant soient utilisées dans le bac à sable
- Réaliser une analyse d'impact relative à la protection des données (AIPD) complète
- Prévoir un audit indépendant des biais à mi-parcours

L'administration met en œuvre ces recommandations avant de démarrer le traitement.

Résultat :

Grâce au cadre de l'article 59, l'administration peut développer et tester son système d'IA d'intérêt public avec des données réelles dans le bac à sable, tout en garantissant un niveau élevé de protection des données personnelles des élèves. Le système est validé après 18 mois de tests, avec des performances satisfaisantes et sans biais discriminatoire détecté. L'administration peut ensuite déployer le système en dehors du bac à sable, avec une nouvelle base légale RGPD appropriée et une information complète des familles.

Articulation avec les autres dispositions

L'article 59 s'articule directement avec les articles 57 et 58 qui établissent le cadre général et les modalités des bacs à sable réglementaires IA. Il constitue un complément essentiel pour les expérimentations nécessitant le traitement de données personnelles, situation fréquente dans la pratique puisque de nombreux systèmes d'IA (santé, éducation, emploi, etc.) traitent de telles données.

L'article 59 s'inscrit dans l'articulation entre l'AI Act et le RGPD. Il n'exonère pas du respect du RGPD, mais facilite la conformité en présumant la compatibilité du traitement ultérieur sous réserve de conditions strictes. Les participants aux bacs à sable restent soumis à l'ensemble des obligations du RGPD (transparence, sécurité, droits des personnes, etc.), mais bénéficient d'une facilité pour le principe de limitation des finalités.

La consultation obligatoire de l'autorité de protection des données (paragraphe 1, point f) crée un pont institutionnel entre les autorités compétentes gérant les bacs à sable et les autorités de protection des données. Cette coopération est essentielle pour garantir une approche cohérente et éviter les conflits entre objectifs d'innovation et protection des données.

Implications pratiques pour les organisations

Pour les participants aux bacs à sable souhaitant utiliser des données personnelles, l'article 59 offre une opportunité précieuse de tester leurs systèmes sur des données réelles, mais impose de respecter des conditions strictes et de mettre en place des garanties robustes. La préparation doit inclure : une analyse rigoureuse de la nécessité du traitement de données personnelles, la démonstration claire que le système sert l'intérêt public, la conception et la mise en œuvre de mesures de protection techniques et organisationnelles appropriées, la mise en place de mécanismes de surveillance continue pour détecter les résultats négatifs, la préparation d'une documentation complète et transparente, et l'anticipation de la consultation avec l'autorité de protection des données.

Les organisations devront également prévoir des ressources et compétences en protection des données au sein de l'équipe projet, idéalement incluant un Délégué à la Protection des Données (DPO) impliqué dès la conception. La coordination entre les experts IA, les experts métier, et les experts protection des données est essentielle pour garantir la conformité.

L'article 59 de l'AI Act établit un cadre équilibré permettant l'utilisation de données personnelles pour l'innovation en IA dans les bacs à sable réglementaires, tout en maintenant un niveau élevé de protection des droits fondamentaux. En présumant la compatibilité du traitement ultérieur sous réserve de conditions strictes, il facilite le développement de systèmes d'IA d'intérêt public basés sur des données réelles, tout en encadrant étroitement cette facilité par des garanties appropriées et une supervision renforcée.

Cette disposition illustre l'approche européenne cherchant à concilier innovation technologique et protection des droits fondamentaux. Elle démontre qu'une protection rigoureuse des données personnelles n'est pas incompatible avec l'innovation en IA, mais doit s'accompagner de mécanismes d'encadrement et de supervision appropriés garantissant que les droits des personnes restent effectivement protégés, y compris dans les environnements d'expérimentation.