Les projets d’IA se multiplient dans les entreprises. Qu’il s’agisse d’intégrer un agent conversationnel sur son site internet, de développer un chatGPT interne ou encore d’utiliser un logiciel de recrutement boosté à l’intelligence artificielle, le succès d’un projet d’IA passe aussi par une bonne gestion de sa conformité.
La conformité d’un projet d’IA nécessite généralement de concilier le respect à la fois du RGPD (car la grande majorité des projets d’IA traitent des données personnelles) et de l’AI Act. Il faut donc analyser le projet d’IA au prisme de ces deux textes afin de prévoir un plan d’actions complet qui prend en compte tant les exigences du RGPD que celles de l’AI Act.
Pour réussir la mise en conformité d’un projet d’IA, il faut avoir des idées claires et être bien organisé. Cet article vous partage quatre bons réflexes qui vous aideront à analyser le projet et à construire une grille de lecture puis un plan d’action pertinents et respectueux du RGPD et de l’AI Act.
Bien définir le projet et ses principaux attributs
Au lancement d’un projet d’IA, il faut s’assurer que celui-ci est bien défini et que ses principaux attributs et caractéristiques sont fixés. Non seulement cela permet de mener à bien le projet, mais il fournit également des informations indispensables pour s’assurer que le projet est conforme au RGPD et à l’AI Act.
Le travail du juriste dont le rôle est d’assurer la conformité du projet d’IA consiste donc à bien connaître et comprendre le projet. Il faut également qu’il collecte l’ensemble des informations relatives à ce projet.
Les informations à collecter concernent les données utilisées, le cas d’usage du projet d’IA, les technologies utilisées, les personnes concernées, et, le cas échéant, s’il s’agit d’un achat ou d’une commercialisation, s’il permet de répondre à un cas d’usage interne ou s’il sera mis sur le marché.
Recueillir toutes ces informations permet d’avoir une vision globale du projet d’IA et, surtout, de déterminer si le RGPD et l’AI Act s’appliquent. À titre d’illustration, le RGPD s’appliquera lorsque le projet d’IA nécessitera le traitement de données personnelles. L’AI Act aura vocation à s’appliquer lorsque le cas d’usage propre au projet d’IA sera considéré comme un usage interdit, à haut risque ou nécessitant le respect de certaines exigences de transparence.
Lorsque le RGPD et l’AI Act sont simultanément applicables à un projet d’IA, il faut les concilier afin de s’assurer que les exigences de chaque texte sont respectées et ne se chevauchent pas.
Combiner les qualifications RGPD et AI Act
Le RGPD et l’AI Act fixent chacun des qualifications. En fonction de ces qualifications, les obligations à respecter varient. Les principales qualifications résultant du RGPD sont celles de responsable de traitement et de sous-traitant. Les principales qualifications résultant de l’AI Act sont celles de fournisseur et de déployeur.
Les qualifications du RGPD ne sont pas équivalentes à celles de l’AI Act. Il n’existe donc pas de concordance automatique entre, d’une part, le responsable de traitement et le sous-traitant, et, d’autre part, le fournisseur et le déployeur.
Quand le RGPD et l’AI Act s’appliquent à un projet d’IA, il faut qualifier le rôle de l’entreprise au regard du RGPD et de l’AI Act. Il faut ensuite combiner ces deux qualifications ainsi que les obligations qui en découlent.
À titre d’exemple, pour certains projets d’IA, il est possible que l’entreprise soit à la fois considérée comme fournisseur du système d’IA et comme sous-traitant des données personnelles. Cela peut notamment être le cas d’une entreprise qui commercialise un logiciel SaaS d’IA permettant à ses clients d’automatiser une partie de leur processus de recrutement.
Pour d’autres projets, l’entreprise pourrait être fournisseur de systèmes d’IA et responsable du traitement. Cela peut notamment être le cas d’une entreprise dont le projet est d’entraîner son IA afin de l’aider à rédiger ses propres messages commerciaux.
Ces qualifications reposent sur le contexte et les spécificités du projet d’IA. Elles requièrent d’abord de bien connaître le projet et ses caractéristiques.
Appréhender simultanément le RGPD et l’AI Act
Pour s’assurer que le RGPD et l’AI Act sont réellement conciliés dans le cadre d’un projet d’IA, il convient d’appréhender ces deux réglementations simultanément. Concrètement, il n’est pas judicieux de se dire quel RGPD sera traité dans un premier temps, puisque l’AI Act sera ensuite abordé.
Un tel découpage est artificiel et, surtout, entraînerait une perte de temps importante et un manque d’efficacité.
Des obligations similaires résultent du RGPD et de l’AI Act. C’est, par exemple, le cas des obligations de transparence. L’AI Act, comme le RGPD, exige, dans certains cas, d’informer les utilisateurs et les personnes concernées. Prendre en compte les exigences des deux textes permet d’y répondre par une action combinée et cohérente. Lorsque c’est possible, mieux vaut un seul message d’information respectant ces deux réglementations que deux messages distincts.
Le respect d’une obligation issue du RGPD permet, dans certains cas, de contribuer au respect d’une obligation issue de l’AI Act. Tel est, par exemple, le cas de l’obligation, résultant de l’article 27 de l’AI Act, de réaliser une analyse d’impact de certains systèmes d’IA à haut risque. Lorsqu’une analyse d’impact du RGPD a déjà été réalisée, il est possible de la réutiliser pour compléter celle requise par l’AI Act.
Disposer d’un plan d’actions unique
Les obligations résultant du RGPD et celles de l’AI Act se complètent et peuvent également se recouper.
Au moment de l’élaboration d’un plan d’actions pour assurer la conformité du projet d’IA, il convient donc de prendre en compte le RGPD et l’AI Act au sein d’un même plan d’actions plutôt que de disposer de deux plans d’actions séparés. Cela permet d’alléger la charge de travail et d’adopter un plan d’action plus cohérent.
Disposer d’un seul plan d’actions pour le RGPD et l’AI Act permet également de suivre la conformité du projet de manière plus centralisée.
En plus de suivre ces bons réflexes, il faut également penser à engager et à intégrer toutes les parties prenantes, et pas uniquement les juristes et les équipes de conformité. Faire intervenir les autres équipes est indispensable pour bien connaître le projet, déployer votre plan d’actions et assurer la conformité à l’AI Act et au RGPD du projet d’IA.
L'AI Act de l'UE
Explorez notre playbook pour comprendre les exigences du **EU AI Act** et leurs implications concrètes sur vos projets IA, notamment en matière de gouvernance, transparence et conformité réglementaire.
