L’Artificial Intelligence Act (AI Act) permet l’encadrement de l’utilisation et le développement de l’intelligence artificielle (IA) usant de données. Le Règlement Général sur la Protection des Données (RGPD) vient, quant à lui, encadrer le traitement de telles données personnelles. Ainsi, une certaine ambigüité de ces deux textes européens peut être perçue dans l’esprit de quelques-uns et doit alors être éclaircie.
L’objectif principal de l’AI Act
Le AI Act a été approuvé par le Parlement européen le 13 mars 2024 et est entré en vigueur le 1er août 2024. Ce qui est à retenir de ce nouveau règlement est qu’il vise à encadrer uniformément l’utilisation et le développement de système d’IA. Les objectifs de ce texte sont de protéger les droits et libertés des individus, l’environnement, la santé et les valeurs attachées à l’Union européenne, tout en permettant le développement de celles-ci dans le marché économique européen par l’innovation ou la libre circulation des biens et services. Il vient catégoriser les différents systèmes d’IA selon leur niveau de risque (minimal, limité, élevé et inacceptable) leur imposant différentes règles à respecter selon leur niveau.
L’objectif principal du RGPD
Le RGPD du 27 avril 2016, qui est entré en vigueur le 25 mai 2018, vise à protéger tous les individus dès lors que leurs données personnelles sont traitées tant par le secteur privé que le secteur public, venant ainsi responsabiliser les responsables de traitement. Ainsi, il permet aux personnes concernées par un tel traitement de faire valoir leurs droits.
Par ailleurs, le RGPD n’a jamais eu pour objectif d’interdire ou de feindre aux divers traitements des données personnelles. En effet, contrairement aux idées préconçues et à l’appellation usuelle, le règlement du Parlement européen et du Conseil s’intitule bien « Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Son intitulé l’énonce clairement, le RGPD permet bien la circulation des données, mêmes celles personnelles, mais vient encadrer leur traitement. Un système d’IA peut donc valablement user de telles données.
Ainsi, il existe une complémentarité des textes européens
En effet, le RGPD trouve à s’appliquer dès lors qu’il y a un traitement de données à caractère personnel pour tous les ressortissants de l’Union européenne. L’AI Act trouve à s’appliquer également aux systèmes d’IA pouvant user de telles données.
Ainsi, un système d’IA usant des données personnelles relatives à la santé devra à la fois permettre aux individus concernés de faire valoir ses droits, comme le droit à l’effacement (article 17 du RGPD) ou encore le droit à la portabilité de ses données (article 20 RGPD) ; mais aussi de respecter des principes, tels que la minimisation des données personnelles ou encore leur limitation dans le temps et des finalités précises au traitement, soit d’honorer le RGPD. Ce même système d’IA devra également se soumettre à l’AI Act en réalisant des évaluations des risques et des audits, assurant la transparence sur le fonctionnement des algorithmes pour ce système d’IA à haut risque.
A contrario, un système d’IA n’usant pas de données personnelles dans sa base pour son fonctionnement ne sera pas soumis à la réglementation du RGPD. Toutefois, ce dernier ne sera pas exempté de respecter l’AI Act puisque cette réglementation vise précisément ce genre de système précisément.
En résumé
Le RGPD et le AI Act forment en réalité un cadre règlementaire tout à fait cohérent ayant pour vocation de protéger efficacement les individus contre toutes formes d’abus lors du traitement de leurs données personnelles par un système d’IA. Le RGPD ne s’efface donc pas au profit de l’AI Act. Chaque texte a un périmètre d’action délimité pouvant amener l’un et l’autre à se rencontrer dans certaines situations.
Clara Bonnard
M2 Cyberjustice – Promotion 2024/2025
Sources :
AI Act – https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32024R1689