Le Comité Européen de la Protection des Données (CEPD) a publié son avis 28/2024 portant sur le traitement des données personnelles dans le cadre du développement et du déploiement de modèles d’intelligence artificielle (IA).
Cet avis souligne l’importance de la conformité au Règlement Général sur la Protection des Données (RGPD) et s’articule autour de trois axes principaux : l’anonymat des modèles d’IA, l’utilisation de l’intérêt légitime comme base juridique, et les conséquences de l’entraînement illicite des modèles sur des données personnelles.
🟠 1 – L’anonymat dans les modèles d’IA : une condition indispensable
Le CEPD rappelle que l’anonymisation des données utilisées dans le cadre de l’entraînement des modèles d’IA constitue une exigence fondamentale.
Dans le domaine de l’IA, l’entraînement désigne le processus par lequel un modèle est alimenté par de grandes quantités de données afin d’apprendre à reconnaître des schémas, à effectuer des prédictions ou à prendre des décisions. Ce processus est au cœur du fonctionnement des IA, mais lorsqu’il repose sur des données personnelles collectées de manière illégale ou non conforme au RGPD, il devient problématique tant sur le plan juridique qu’éthique.
En effet, les données personnelles ne doivent être utilisées qu’après avoir été anonymisées de manière efficace, ce qui signifie qu’il doit être impossible de réidentifier une personne à partir des données.
Toutefois, le Comité met en garde contre les méthodes d’anonymisation évaluées comme insuffisantes. Par exemple, des techniques qui laissent subsister un risque de réidentification pourraient entraîner une non-conformité au RGPD et exposer les entreprises à des sanctions significatives. L’avis préconise donc une évaluation approfondie des méthodes employées pour garantir un niveau de protection optimal.
🟠 2 – L’intérêt légitime comme fondement juridique : une justification sous conditions
Le développement et le déploiement de modèles d’IA reposent fréquemment sur l’utilisation de l’intérêt légitime comme base juridique pour le traitement des données personnelles. Le CEPD insiste sur la nécessité d’une analyse rigoureuse de cette base juridique, rappelant qu’elle ne peut être invoquée que si les droits fondamentaux des personnes concernées ne priment pas sur cet intérêt.
Cet équilibre doit être établi à travers une évaluation détaillée des impacts potentiels sur la vie privée des individus. Toute utilisation abusive de ce fondement pourrait non seulement être jugée illégale mais également affaiblir la confiance du public envers les technologies d’IA.
Des exemples d’intérêts légitimes acceptables sont cités, comme le développement d’un agent conversationnelle pour améliorer l’expérience utilisateur ou l’utilisation de l’IA pour renforcer la cybersécurité.
🟠 3 – Les conséquences de l’entraînement illicite sur des données personnelles
L’entraînement de modèle d’IA sur des données personnelles obtenues de manière illicite constitue une infraction grave au RGPD. Le CEPD met en évidence les risques significatifs liés à cette pratique, notamment l’érosion de la protection des données et l’augmentation des vulnérabilités liées aux biais algorithmiques.
L’avis préconise une vigilance accrue des entreprises quant à l’origine des données utilisées et recommande la mise en place de mécanismes robustes de vérification. En outre, les régulateurs sont appelés à intensifier les contrôles pour dissuader les pratiques non conformes.
🟠 4 – Un rappel des obligations imposées par le RGPD
Le CEPD insiste sur la nécessité d’adopter une approche proactive en matière de conformité au RGPD dans le contexte de l’IA. Cela inclut notamment :
- La réalisation d’évaluations d’impact sur la protection des données pour les traitements présentant un risque élevé pour les droits et libertés des individus ;
- L’information claire et transparente des utilisateurs concernant l’utilisation de leurs données ;
- La mise en place de garanties techniques et organisationnelles pour protéger les données traitées.
🟠 Conclusion
Cet avis du CEPD marque une étape importante dans la régulation des technologies d’IA, rappelant aux entreprises l’importance de respecter les obligations du RGPD.
Le développement de l’IA présente des opportunités considérables, mais exige une vigilance accrue pour garantir une utilisation éthique et conforme aux réglementations en vigueur.
Pour en savoir plus / sources :
https://www.cnil.fr/fr/modeles-dia-et-rgpd-le-cepd-publie-son-avis-pour-une-ia-responsable
Le 23 avril 2025, la Commission européenne a en prononcé les premières sanctions au titre du Digital Markets Act (DMA). Deux géants américains du numérique, Apple et Meta, se voient infliger des amendes respectives de 500 millions d’euros et 200 millions d’euros pour manquements aux nouvelles obligations européennes de régulation des marchés numériques. Un signal fort adressé aux gatekeepers : l’ère du DMA est désormais entrée dans sa phase d’application concrète.
Dans un arrêt du 9 avril 2025, la Cour de cassation a apporté une précision importante sur le régime juridique applicable à l’exploitation des fichiers de journalisation informatiques (logs), et notamment aux adresses IP des salariés, dans le cadre d’une procédure disciplinaire. Une décision qui interpelle les employeurs : faut-il désormais obtenir le consentement du salarié pour pouvoir utiliser son adresse IP à des fins de contrôle ?
Alors que le Règlement général sur la protection des données (RGPD) fêtera bientôt ses sept ans d’application, des voix s’élèvent pour adapter le texte aux réalités économiques des très petites et moyennes entreprises (TPE – PME). L’objectif : réconcilier protection des données et compétitivité, tout en tenant compte des moyens limités de ces structures.
L’Autorité de la concurrence a récemment sanctionné Apple pour avoir abusé de sa position, en raison de la manière dont la firme californienne a mis en œuvre sa fonctionnalité « App Tracking Transparency » (ATT). Introduite en avril 2021 avec iOS 14.5, cette fonctionnalité visait à renforcer la transparence sur le suivi publicitaire, mais sa mise en œuvre a soulevé de vives critiques.