Articulation RGPD et AI Act
Le RGPD et l'AI Act s'appliquent désormais conjointement pour la plupart des traitements automatisés impliquant des données personnelles. L'article 22 du RGPD encadre spécifiquement les décisions individuelles automatisées, garantissant aux personnes le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques.
L'AI Act (Règlement UE 2024/1689) ajoute une couche complémentaire de régulation avec sa classification par niveaux de risque. Les règles de transparence entreront pleinement en vigueur en août 2026, imposant aux fournisseurs de révéler l'utilisation d'IA et d'identifier le contenu généré.
Obligations d'explicabilité
Pour les systèmes IA à haut risque (recrutement, crédit, santé, justice), les organisations doivent désormais :
- Documenter les décisions automatisées avec traçabilité automatique (article 12 AI Act)
- Informer les personnes de l'utilisation d'une IA et de leurs droits
- Garantir une supervision humaine effective permettant une intervention significative
- Assurer l'auditabilité externe des mécanismes décisionnels
L'explicabilité des algorithmes "boîte noire" reste un défi technique, la CNIL reconnaissant la difficulté d'expliquer certains traitements complexes tout en maintenant l'obligation d'information.
Lutte contre les discriminations algorithmiques
Les algorithmes peuvent reproduire les discriminations présentes dans leurs données d'entraînement via trois mécanismes : biais de représentation (groupes sous-représentés), biais de mesure (variables défavorisantes), et biais temporel (perpétuation de schémas historiques).
L'exemple d'Amazon illustre ce risque : son outil de recrutement défavorisait systématiquement les femmes car entraîné sur une décennie de candidatures reflétant la domination masculine du secteur tech. Le cadre réglementaire impose désormais l'éthique dès la conception avec audits des données d'entraînement.
Digital Omnibus Package : assouplissements proposés
La Commission européenne a proposé en novembre 2025 le Digital Omnibus Package, visant à simplifier cinq réglementations numériques. Pour l'AI Act, un report de 16 mois est envisagé pour la conformité des systèmes à haut risque (d'août 2026 à décembre 2027).
Pour le RGPD, l'article 88c proposé autoriserait l'utilisation de données personnelles pour entraîner les IA sans consentement si "nécessaire et proportionné". Les exemptions aux décisions automatisées seraient élargies si un analyste humain aboutirait au même résultat. Ces propositions suscitent des critiques des défenseurs de la vie privée.
Actions prioritaires pour les entreprises
Les DPO deviennent facilitateurs d'une gouvernance intégrée RGPD/AI Act. Les entreprises doivent :
- Cartographier les traitements existants impliquant l'IA
- Enrichir les AIPD avec évaluation des droits fondamentaux
- Documenter supervision humaine et traçabilité
- Adapter les contrats avec fournisseurs IA
- Former les métiers aux obligations croisées
La CNIL et le Défenseur des droits jouent un rôle clé dans le contrôle de ces obligations, tandis qu'une jurisprudence émerge autour de la supervision humaine et du droit de contestation.