IA et protection des données : les dernières recommandations du CEPD

Le Comité Européen de la Protection des Données (CEPD) a publié son avis 28/2024 portant sur le traitement des données personnelles dans le cadre du développement et du déploiement de modèles d’intelligence artificielle (IA).

Cet avis souligne l’importance de la conformité au Règlement Général sur la Protection des Données (RGPD) et s’articule autour de trois axes principaux : l’anonymat des modèles d’IA, l’utilisation de l’intérêt légitime comme base juridique, et les conséquences de l’entraînement illicite des modèles sur des données personnelles.

🟠 1 – L’anonymat dans les modèles d’IA : une condition indispensable

Le CEPD rappelle que l’anonymisation des données utilisées dans le cadre de l’entraînement des modèles d’IA constitue une exigence fondamentale.

Dans le domaine de l’IA, l’entraînement désigne le processus par lequel un modèle est alimenté par de grandes quantités de données afin d’apprendre à reconnaître des schémas, à effectuer des prédictions ou à prendre des décisions. Ce processus est au cœur du fonctionnement des IA, mais lorsqu’il repose sur des données personnelles collectées de manière illégale ou non conforme au RGPD, il devient problématique tant sur le plan juridique qu’éthique.

En effet, les données personnelles ne doivent être utilisées qu’après avoir été anonymisées de manière efficace, ce qui signifie qu’il doit être impossible de réidentifier une personne à partir des données.

Toutefois, le Comité met en garde contre les méthodes d’anonymisation évaluées comme insuffisantes. Par exemple, des techniques qui laissent subsister un risque de réidentification pourraient entraîner une non-conformité au RGPD et exposer les entreprises à des sanctions significatives. L’avis préconise donc une évaluation approfondie des méthodes employées pour garantir un niveau de protection optimal.

🟠 2 – L’intérêt légitime comme fondement juridique : une justification sous conditions

Le développement et le déploiement de modèles d’IA reposent fréquemment sur l’utilisation de l’intérêt légitime comme base juridique pour le traitement des données personnelles. Le CEPD insiste sur la nécessité d’une analyse rigoureuse de cette base juridique, rappelant qu’elle ne peut être invoquée que si les droits fondamentaux des personnes concernées ne priment pas sur cet intérêt.

Cet équilibre doit être établi à travers une évaluation détaillée des impacts potentiels sur la vie privée des individus. Toute utilisation abusive de ce fondement pourrait non seulement être jugée illégale mais également affaiblir la confiance du public envers les technologies d’IA.

Des exemples d’intérêts légitimes acceptables sont cités, comme le développement d’un agent conversationnelle pour améliorer l’expérience utilisateur ou l’utilisation de l’IA pour renforcer la cybersécurité.

🟠 3 – Les conséquences de l’entraînement illicite sur des données personnelles

L’entraînement de modèle d’IA sur des données personnelles obtenues de manière illicite constitue une infraction grave au RGPD. Le CEPD met en évidence les risques significatifs liés à cette pratique, notamment l’érosion de la protection des données et l’augmentation des vulnérabilités liées aux biais algorithmiques.

L’avis préconise une vigilance accrue des entreprises quant à l’origine des données utilisées et recommande la mise en place de mécanismes robustes de vérification. En outre, les régulateurs sont appelés à intensifier les contrôles pour dissuader les pratiques non conformes.

🟠 4 – Un rappel des obligations imposées par le RGPD 

Le CEPD insiste sur la nécessité d’adopter une approche proactive en matière de conformité au RGPD dans le contexte de l’IA. Cela inclut notamment :

  • La réalisation d’évaluations d’impact sur la protection des données pour les traitements présentant un risque élevé pour les droits et libertés des individus ;
  • L’information claire et transparente des utilisateurs concernant l’utilisation de leurs données ;
  • La mise en place de garanties techniques et organisationnelles pour protéger les données traitées.

🟠 Conclusion

Cet avis du CEPD marque une étape importante dans la régulation des technologies d’IA, rappelant aux entreprises l’importance de respecter les obligations du RGPD.

Le développement de l’IA présente des opportunités considérables, mais exige une vigilance accrue pour garantir une utilisation éthique et conforme aux réglementations en vigueur.

 

Pour en savoir plus / sources :

https://www.cnil.fr/fr/modeles-dia-et-rgpd-le-cepd-publie-son-avis-pour-une-ia-responsable

https://www.edpb.europa.eu/news/news/2024/edpb-opinion-ai-models-gdpr-principles-support-responsible-ai_fr

Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.

Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.

Dans un arrêt du 22 mai 2025, la deuxième chambre civile de la Cour de cassation s’est exprimée sur une question qu’elle n’avait encore jamais tranché, et qui divisait les Cours d’appel, celle de savoir si le délai de huit jours visé à l’article 857 du Code de procédure civile s’appliquait aux procédures introduites devant le Président du Tribunal de commerce en matière de rétractation d’ordonnance sur requête. Dans cette affaire, afin de tenter de justifier l’existence d’actes de concurrence déloyale, une requête sur le fondement de l’article 145 du Code de procédure civile avait été déposée devant le président du Tribunal de commerce, ce dernier ayant ensuite été saisi d’une demande de rétractation de l’ordonnance prononcée.

Le 23 avril 2025, la Commission européenne a en prononcé les premières sanctions au titre du Digital Markets Act (DMA). Deux géants américains du numérique, Apple et Meta, se voient infliger des amendes respectives de 500 millions d’euros et 200 millions d’euros pour manquements aux nouvelles obligations européennes de régulation des marchés numériques. Un signal fort adressé aux gatekeepers : l’ère du DMA est désormais entrée dans sa phase d’application concrète.