Vers une régulation intégrée de l’IA : disparités et convergences entre RGPD et IA Act

RGPD et IA Act : des logiques complémentaires ?

• RGPD et principe de responsabilité

Le RGPD a introduit une régulation fondée sur le principe d’accountability, selon lequel chaque acteur doit démontrer sa capacité à respecter les droits des personnes, à toutes les étapes du traitement des données. Plutôt que de prescrire des solutions uniformes, le RGPD impose une responsabilité continue, structurée autour de principes tels que la minimisation des données, la transparence, la collecte du consentement, la limitation des finalités.

Le RGPD requiert la mise en place d’outils de conformité tels que l’analyse d’impact (AIPD) ou le registre des traitements. Il s’agit d’une logique centrée sur la protection des données personnelles, dans une démarche encadrée du responsable de traitement.

• IA Act et principe de conformité ex ante

L’IA Act, adopté le 13 mars 2024 par le Parlement européen, constitue une première réponse aux enjeux éthiques, sociaux et juridiques que soulève l’essor rapide de l’intelligence artificielle. Il repose sur une logique issue du droit des produits : il s’agit d’un dispositif fondé sur le principe de conformité démontrable ex ante ainsi les fournisseurs doivent prouver que leur système d’IA respecte les exigences avant sa mise en service.

Le texte classe les systèmes d’IA selon leur niveau de risque (inacceptable, élevé, limité ou minimal). Et il impose aux systèmes à haut risque des obligations strictes dès la conception :

• • Gestion des données d’entraînement,
  • Documentation technique,
  • Supervision humaine et exigence de transparence.

Ici, l’enjeu consiste à prouver la conformité avant la mise sur le marché et l’utilisation du système d’IA, dans une logique structurée, sectorielle et préventive.

Ces deux règlements, dont les objectifs sont en apparence distincts, posent les bases du cadre intégré de régulation de l’IA, alliant protection des droits et maîtrise des risques algorithmiques.

Découvrez nos expertises en Risques & Conformité

RGPD et IA Act : des enjeux d’articulation

La coexistence du RGPD et de l’IA Act soulève un ensemble de tensions juridiques et opérationnelles, qui compliquent leur articulation pratique. Ces difficultés tiennent autant aux spécificités de chaque texte qu’au contexte de leur mise en œuvre.

1/ Le traitement des données

Premier point de friction : le traitement des données personnelles. Le RGPD impose un cadre exigeant, fondé sur la limitation des finalités, la minimisation des données et la transparence. À l’inverse, les systèmes d’intelligence artificielle, en particulier ceux reposant sur l’apprentissage automatique, nécessitent souvent de vastes ensembles de données, parfois utilisés dans des contextes nouveaux ou non prévus initialement. Cela rend difficile le respect strict des principes du RGPD, notamment en matière de consentement et de finalité.

2/ La transparence des systèmes d’IA

La question de la transparence renforce cette complexité. Si le RGPD oblige les responsables de traitement à informer les individus de façon claire sur l’usage de leurs données, les systèmes d’IA, surtout les plus avancés, peuvent présenter une opacité technique qui rend cette exigence difficile à satisfaire. L’explicabilité et l’auditabilité des modèles deviennent alors des objectifs difficilement atteignables, en particulier pour les systèmes perçus comme peu interprétables.

3/ Le « calendrier » réglementaire

Enfin, un déséquilibre temporel complique davantage l’articulation des deux régimes. Le RGPD, pleinement applicable depuis 2018, est déjà intégré dans les processus des organisations. À l’inverse, l’IA Act n’en est encore qu’à ses débuts, avec des mécanismes de gouvernance et de contrôle en cours d’instauration. Cette asymétrie crée une incertitude à court terme pour les acteurs tenus de s’aligner progressivement sur deux cadres aux logiques distinctes.

4/ La « discrimination algorithmique »

L’un des enjeux majeurs de l’articulation entre RGPD et IA Act concerne la discrimination algorithmique, c’est-à-dire la reproduction ou l’amplification de biais sociaux à travers les décisions automatisées. Si le RGPD offre des protections générales, il ne traite pas directement ce risque. L’IA Act comble cette lacune en imposant, pour les systèmes à haut risque, des exigences spécifiques sur la qualité des données, la détection des biais et la supervision humaine. Cette approche permet de mieux prévenir les décisions automatisées discriminatoires et de renforcer l’équité dans l’usage des algorithmes.

Une question essentielle reste en suspens : en cas de contradiction entre les exigences du RGPD et celles de l’IA Act, quelle réglementation doit prévaloir ? Selon la CNIL, aucune disposition du IA Act ne permet d’ignorer ou d’écarter le RGPD : en cas d’incompatibilité, il convient de respecter les exigences cumulées, en retenant les plus protectrices pour les droits et libertés des personnes concernées.

Malgré ces divergences, certains fondements restent partagés. Et c’est sur ces points d’ancrage que pourra se construire une articulation plus harmonieuse.

Vers une convergence progressive des cadres de conformité

Pour les organisations, la mise en conformité à l’IA Act peut s’appuyer sur les enseignements tirés de l’application du RGPD. Bien que reposant sur des logiques réglementaires distinctes, les deux textes poursuivent un objectif commun : garantir la protection des droits fondamentaux dans l’usage des technologies numériques.

Après sept années d’application du RGPD, les organisations ont développé une véritable culture de la conformité. Comment capitaliser sur cette expérience pour anticiper la mise en conformité avec l’IA Act ?

Plusieurs leviers sont mobilisables. Les analyses d’impact (AIPD), les registres de traitement, la désignation de délégués à la protection des données (DPO) ou encore les procédures internes de gouvernance sont autant d’outils éprouvés qui peuvent être adaptés au nouveau cadre de l’IA. Ces acquis permettent d’ajuster les dispositifs existants aux exigences spécifiques des systèmes à haut risque définis par l’IA Act.

Ce nouveau règlement introduit une approche ex ante, fondée sur la classification des systèmes d’IA par niveaux de risque et l’exigence de conformité dès la conception. Il implique également une clarification des responsabilités internes :

• Identification d’un référent IA ou « Chief IA Officer »,
• Mobilisation des équipes métiers, IT, juridiques et conformité,
• Mise en place de processus de documentation et de traçabilité des décisions algorithmiques.

En mobilisant les réflexes acquis avec le RGPD – cartographie, registre, AIPD, accountability –, les organisations peuvent anticiper plus sereinement la conformité à l’IA Act. Il ne s’agit pas de repartir de zéro, mais de capitaliser sur l’existant pour intégrer progressivement cette nouvelle exigence réglementaire.

Avec l’IA Act, des opportunités pour une meilleure protection des données personnelles ?

L’IA Act peut aussi constituer une opportunité d’approfondissement des protections offertes par le RGPD. En imposant une traçabilité technique, une supervision humaine renforcée et une documentation rigoureuse dès la conception des systèmes d’IA, il peut pallier certaines limites du RGPD dans des environnements algorithmiques opaques.

L’intersection des deux approches – protection des données, prévention des risques – permettra ainsi de dessiner un cadre cohérent et opérationnel pour les entreprises et administrations européennes, en capitalisant sur l’expérience RGPD afin d’alléger la mise en conformité avec l’IA Act… et de renforcer la confiance du public.