Qu’est-ce que l’IA au sens de l’IA Act ? L’enjeu de la réglementation a été de définir des critères clairs ou suffisamment clairs pour distinguer l’IA des systèmes logiciels plus simples. La définition retenue est fondée sur les caractéristiques essentielles des SIA (Système d’intelligence artificielle) comme suit : le SIA est un système automatisé conçu pour fonctionner à différents niveaux d’autonomie, qui peut faire preuve d’une capacité d’adaptation après son déploiement et qui, pour des objectifs explicites ou implicites déduit, à partir de données d’entrée qu’il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations, des décisions, qui peuvent influencer les environnements physiques ou virtuels.

L’intelligence artificielle existe depuis des années. On se souvient, en 1996, du jour où l’ordinateur a battu l’Homme aux échecs avec un match opposant Garry Kasparov contre l’ordinateur Deep Blue d’IBM. Ces Intelligences Artificielles émergentes (ou génératives) et nombreuses (Gemini de Google, ChatGPT, assistants intelligents, chatbot, etc.) ont permis de mettre en exergue les besoins de conformité des systèmes d’Intelligence Artificielle en leur sein mais également en matière de protection des données personnelles. En effet, beaucoup d’entre elles doivent sans cesse apprendre pour pouvoir performer, et cela passe également par un apprentissage avec nos données personnelles. Également, d’autres risques liés au SIA existent, notamment l’opacité autour de la manière dont les SIA sont développés. Ces SIA sont souvent considérés comme des vecteurs de discrimination ou des boites noires. En effet, et il est intéressant de le souligner, les biais de l’intelligence artificielle sont directement hérités de ceux qui la créent. Il est démontré que l’utilisation de l’IA peut avoir des impacts discriminatoires et que les flux d’informations échangés mettent en exergue les extrêmes, notamment dû au manque de transparence des algorithmes, de diversité au sein des équipes travaillant sur l’IA, d’intégration en amont de la nécessité de protéger les droits humains, etc. Plusieurs années se sont donc écoulées pour trouver un accord sur un règlement européen : l’IA ACT, entré en vigueur le 1ᵉʳ août 2024, et donc officiellement adopté par le Conseil de l’Union européenne. Le besoin de réglementer débute en 2021 avec une proposition par la Commission européenne d’un règlement établissant des règles harmonisées concernant l’intelligence artificielle au Parlement européen et au Conseil de l’Union européenne. Le 8 décembre 2023, le Parlement européen et le Conseil de l’Union européenne trouvent un accord sur la proposition, devenant ainsi la 1ʳᵉ loi sur l’intelligence artificielle dans le monde. Enfin, le 13 décembre 2023, les députés européens ont approuvé le texte sur l’intelligence artificielle (523 pour, 46 contre et 49 abstentions). La CNIL s’est, en parallèle, saisie du dossier. Elle a depuis un an, lancé un plan d’action promouvant une IA respectueuse des droits des personnes sur leurs données et sécurisant les entreprises innovant en la matière dans leur application du RGPD. Cependant, intelligence artificielle ne rime pas forcément avec données personnelles. Certaines intelligences artificielles fonctionnent sans collecter ni traiter de données personnelles. Dans ces cas-là, l’IA ACT différencie plusieurs systèmes selon une approche par les risques : SIA interdits, SIA à haut risque, et autres SIA comprenant les risques spécifiques et les risques minimes. Dans le second cas, lorsqu’il existe des données personnelles, l’IA ACT s’applique ainsi que le RGPD. Il existe donc trois enjeux à prendre en compte en matière de protection des données sur les SIA.

Le 1ᵉʳ enjeu est donc de savoir quelle(s) réglementation(s) appliquer. En effet, l’IA ACT ne remplace en aucun cas le RGPD, il vient le compléter en édictant des exigences afin de développer et déployer des SIA de confiance. Le RGPD vient s’appliquer à tous les traitements de données personnelles. Dans le cadre d’un SIA avec données personnelles, le RGPD s’applique lors de la phase de développement du SIA et lors de la phase de déploiement de ce dernier. Pour une entreprise, il est donc compliqué, sans juristes spécialisé(e)s de savoir ce qu’il convient d’appliquer et à quel moment. Par exemple, pour les pratiques d’IA interdites, le RGPD va systématiquement s’appliquer puisqu’elles supposent le traitement de données personnelles ; pour les modèles d’IA à usage général, l’application du RGPD sera quasi-systématique puisque les modèles d’IA se fonde généralement sur l’utilisation des données personnelles pour leur apprentissage. Même si ces deux réglementations se complètent, elles ont de nombreuses différences, notamment : le champ d’application, les acteurs, l’approche, les sanctions et l’évaluation de la conformité. Prenons deux de ces différences : l’IA ACT a pour champ d’application le développement, la mise sur le marché ou le déploiement de systèmes et modèles d’IA alors que le RGPD a pour champ d’application tous les traitements de données personnelles. Ensuite, l’IA ACT possède une approche par les risques alors que le RGPD est fondé sur l’application de grands principes, l’évaluation des risques et la responsabilisation.

Le 2ᵉ enjeu est de savoir quels principes appliquer en fonction du rôle de l’opérateur. En effet, le développeur devra respecter le principe de privacy by design et by defaut, ce qui signifie qu’il devra, en amont du développement respecter les principes de protection des données, et ce par défaut. En cas d’utilisation de données personnelles pour entrainer le SIA, le développeur et le fournisseur devront répondre aux principes du RGPD : la licéité, la proportionnalité, la finalité et la minimisation, mais également utiliser le plus possible des données anonymisées.

Le 3ème enjeu en matière de protection des données sur les SIA est de connaître les différentes responsabilités. Si le fournisseur du SIA utilise les données saisies pour développer leurs modèles ou les performances du SIA, il sera considéré comme responsable de traitement et devra s’assurer du respect des règles en matière de protection des données. L’utilisateur final du SIA sera également considéré comme responsable de traitement s’il utilise une solution qui traite des données personnelles. Enfin, le fournisseur "lambda" sera considéré comme sous-traitant et sera soumis aux obligations de sous-traitance et aux instructions documentées du responsable de traitement. S’ajoute ensuite à cela les spécificités propres à l’IA ACT. En effet, selon la qualification du SIA, les exigences diffèrent. Il en va de même selon le rôle de l’opérateur où les obligations divergent, que l’on soit déployeur, fournisseur, distributeur ou encore importateur. Si l’on prend un SIA à haut risque, les exigences seront les suivantes : posséder un système de gestion des risques, mettre en place une gouvernance des données et une documentation technique, permettre l’enregistrement automatique d’évènements pour garantir la traçabilité, accompagner le SIA de notices d’utilisation et être transparent, permettre un contrôle humain et utiliser des solutions techniques pour assurer l’exactitude, la robustesse et la cybersécurité du SIA. Si l’opérateur est un distributeur de ce SIA à haut risque, il devra en plus, respecter les obligations suivantes : coopérer avec les autorités ; conserver la documentation de conformité ; vérifier le marquage CE, la documentation et la notice d’utilisation ; vérifier le respect des obligations par le fournisseur et l’importateur ; et mettre en place des mesures correctives pour les SIA non conformes. Prenons un exemple concret en entreprise : un service client a voulu mettre en place une solution afin d’améliorer la gestion de la relation client. Cette solution consistait en une plateforme alimentée par l’IA générative analysant les interactions clients et automatisant le flux de données exploitables pour ceux qui en auraient besoin. Dans ce cas, l’IA émettait une analyse vocale (sentiment négatif, ton) et une analyse cause profonde (intelligence conversationnelle). De ce fait, la solution était capable de déchiffrer les sentiments des clients pour faire ressortir un passage durant lequel il semblait mécontent par exemple, ou encore vérifier l’empathie des agents. L’entreprise s’est donc posée les questions suivantes : quelle est la qualification de la solution et donc du système (interdit, à haut risque, à risque minime, à risque spécifique) ? Quel est le rôle de l’entreprise quant à la solution dans la perspective d’utilisation de celle-ci ? Quel est le plan d’action de mise en conformité ? L’analyse de conformité a démontré que la solution était bien un système d’intelligence artificielle puisque les critères de définition étaient remplis mais également que la solution correspondait à un système d’IA de reconnaissance des émotions. La solution a par la suite été qualifiée de SIA interdit au regard de l’IA ACT, en ce qu’elle constitue un SIA de reconnaissance des émotions d’une personne physique (opérateurs et clients) sur un lieu de travail, non mis en œuvre à des fins de santé ou de sécurité. L’utilisation d’un SIA interdit exposait donc l’entreprise à des sanctions à compter de l’opposabilité des règles d’interdiction (a priori fin 2024). Le plan d’action était donc de limiter la solution à la reconnaissance des émotions des clients uniquement (sur la base du consentement). Pour aider les entreprises à se mettre en conformité par rapport au RGPD et l’IA Act, en cas d’utilisation d’un SIA traitant des données personnelles, la CNIL propose une grille d’analyse en 7 étapes permettant aux organismes d’évaluer eux-mêmes la maturité de leur SIA au regard des principes de protection des données personnelles, d’après les exigences du RGPD. De ce fait, le développement ou l’utilisation du SIA doit être basé sur une approche par les risques afin de s’assurer que les règles de protection des données sont respectées, notamment en rédigeant une analyse d’impact sur la protection des données (AIPD ou PIA).

Enfin, toutes les entreprises doivent se poser les questions suivantes :