RGPD et AI Act : une interaction synergique pour une gouvernance éthique de l’IA.
L’émergence rapide de l’intelligence artificielle a transformé de nombreux secteurs, de la santé à la finance en passant par l’éducation et le transport. Cependant, cette transformation s’accompagne de défis en matière de protection des données et de respect des droits des personnes, les systèmes d’IA collectant le plus souvent un grand nombre de données personnelles et appliquant des techniques pouvant porter atteinte à la vie privée, entraîner des discriminations ou des biais algorithmiques, et menacer la sécurité des données.
Face à ces enjeux, les législations européennes ont évolué pour mieux encadrer l’usage de l’IA. Le RGPD, entré en application en 2018, a établi des normes strictes pour la protection des données personnelles en Europe. Plus récemment, l’AI Act propose un cadre juridique pour réguler l’IA afin de garantir sa sûreté et son éthique. Bien que les règles du RGPD et de l’AI Act se complètent, des divergences peuvent exister sur certains points.
RGPD et AI Act : Des objectifs communs
Le RGPD et l’AI Act partagent des objectifs fondamentaux convergeant vers une protection accrue des droits et des libertés individuelles. Cette convergence vise à instaurer un environnement propice à une intelligence artificielle (IA) responsable et éthique, tout en assurant la confidentialité des données personnelles et la transparence des processus décisionnels.
Ces cadres réglementaires établissent des normes rigoureuses pour garantir la sécurité des données et promouvoir une culture de confiance dans l’utilisation de l’IA. Ils encouragent également l’innovation technologique tout en insistant sur le respect des principes juridiques et éthiques fondamentaux.
Voici une version des phrases liées ensemble :
« De plus, l’harmonisation des deux réglementations à travers l’Europe facilite la conformité des entreprises opérant dans plusieurs pays en simplifiant leurs démarches de conformité et en réduisant les coûts associés à l’adaptation à des régulations différentes dans chaque pays, tout en offrant aux individus des mécanismes de recours harmonisés en cas de non-conformité, ce qui renforce la protection de leurs droits et facilite la résolution des litiges à travers les frontières. »
Une complémentarité harmonieuse
Le RGPD et l’AI Act se complètent pour créer un cadre réglementaire exhaustif. Tandis que le RGPD assure la protection des données personnelles et le respect des droits à la vie privée, l’AI Act introduit des règles spécifiques pour une utilisation éthique des systèmes d’IA, mettant l’accent sur la gestion des risques, la transparence, l’explicabilité et la responsabilité.
Cette synergie garantit que les systèmes d’IA fonctionnent de manière sûre et équitable, contribuant à un environnement réglementaire cohérent qui encourage l’innovation tout en protégeant les droits des individus. L’AI Act fait d’ailleurs à plusieurs reprises référence au RGPD, notamment pour l’analyse d’impact et les exigences relatives aux données sensibles, soulignant ainsi leur complémentarité.
Des divergences dans le périmètre d’application
Le champ d’application de l’AI Act et du RGPD présente des divergences clés. L’AI Act s’applique à tous les acteurs de la chaîne d’approvisionnement de l’IA, couvrant toutes les phases de développement et de production, qu’ils se trouvent au sein de l’UE ou à l’étranger, dès lors que les systèmes sont utilisés ou commercialisés dans l’Union. Le RGPD, quant à lui, vise les acteurs situés dans l’UE ou proposant des services à des citoyens européens. Ainsi, un système d’IA sans données personnelles peut relever de l’AI Act, mais pas du RGPD, bien que la notion de données personnelles soit large et qu’il soit souvent difficile de dissocier les données personnelles des données non personnelles.
Une autre différence réside dans les acteurs visés. L’AI Act introduit plusieurs opérateurs chargés de respecter un ensemble d’obligations et d’assurer la conformité du système, notamment le fournisseur, le déployeur, le mandataire, l’importateur et le distributeur d’un système d’IA. Toutefois, la majorité de la charge réglementaire incombe aux fournisseurs, surtout dans le contexte des systèmes d’IA à haut risque. En revanche, le RGPD introduit diverses obligations à tous les organismes collectant et traitant des données personnelles, qu’ils agissent en tant que responsables de traitement, sous-traitants ou coresponsables.
Des similitudes dans la gouvernance
Le RGPD et l’AI Act partagent une approche commune en matière de gouvernance, mettant l’accent sur la mise en place de processus internes et d’une documentation adéquate.
Évaluation des risques
Le RGPD exige une analyse d’impact sur la protection des données (AIPD) pour identifier et évaluer les risques liés au traitement des données personnelles. De même, l’AI Act impose une telle analyse pour les systèmes d’IA « à haut risque », afin d’identifier et analyser les risques potentiels pour les droits et libertés des personnes.
Mise en place de mesures de protection
En fonction des risques pouvant être engendrés, le RGPD et l’AI Act exigent la mise en place de mesures de protection adéquates pour les atténuer. Cela peut inclure des mesures techniques et organisationnelles, telles que la pseudonymisation, le chiffrement, le contrôle d’accès et la formation du personnel.
Gestion des incidents
Le RGPD et l’AI Act imposent des obligations de notification en cas d’incident de sécurité susceptible d’entraîner un risque pour les droits et libertés des personnes ou leur santé. Des procédures de gestion des incidents doivent également être mises en place pour identifier, analyser et répondre rapidement aux incidents.
Mise en place d’un registre
Le RGPD impose la tenue d’un registre des activités de traitement, mentionnant des informations telles que les finalités du traitement, les catégories de données concernées, et les destinataires des données. L’utilisation de systèmes d’IA nécessite également de réaliser un inventaire exhaustif incluant des informations sur le fonctionnement du système (données, méthodes, algorithmes, etc.), ses résultats et son objectif. Ce registre permet de centraliser les informations et de faciliter le suivi de la conformité.
Accountability
Le RGPD et l’AI Act recommandent la mise en place de politiques et procédures écrites pour formaliser les exigences en matière de protection des données et d’IA. L’objectif est de renforcer la responsabilisation des acteurs et de les inciter à démontrer qu’ils prennent des mesures concrètes pour protéger les droits et libertés des personnes. Cela garantit également la cohérence et la transparence des pratiques au sein de l’organisation.
Il est important de veiller au bon respect de l’ensemble de ces exigences non seulement au début du développement ou du déploiement des systèmes d’IA, mais tout au long de leur cycle de vie, afin de garantir une IA fiable, éthique et sécurisée.