Introduction
Lors de l'utilisation de services cloud d'IA (par ex. OpenAI API, Google Vertex AI, AWS Bedrock), des données à caractère personnel sont fréquemment transmises à des prestataires tiers. Dans ces cas, l'art. 28 RGPD s'applique -- les dispositions relatives à la sous-traitance.
Qu'est-ce que la sous-traitance ?
La sous-traitance existe lorsqu'un prestataire de services traite des données à caractère personnel pour le compte du responsable du traitement. Le responsable du traitement détermine les finalités et les moyens du traitement.
Quand la sous-traitance s'applique-t-elle ?
Le facteur déterminant est de savoir si le fournisseur d'IA traite les données uniquement sur instruction du responsable du traitement ou poursuit ses propres finalités :
- Sous-traitance (art. 28) : l'API d'IA traite les données des utilisateurs exclusivement pour la fourniture du service convenu
- Responsabilité conjointe (art. 26) : le fournisseur d'IA utilise également les données pour ses propres finalités (par ex. entraînement du modèle)
- Responsabilité distincte : finalités entièrement séparées
Obligations du responsable du traitement
En tant que responsable du traitement, vous devez :
- Conclure un contrat de sous-traitance
- Vérifier les mesures techniques et organisationnelles
- Approuver ou refuser les sous-traitants ultérieurs
- Sécuriser les transferts vers des pays tiers (CCT, décision d'adéquation)
- Effectuer des contrôles réguliers
Liste de contrôle du contrat de sous-traitance pour les services d'IA
| Point de contrôle | Statut |
|---|---|
| Objet et durée du traitement définis | ☐ |
| Nature et finalité du traitement décrits | ☐ |
| Types de données à caractère personnel répertoriés | ☐ |
| Catégories de personnes concernées désignées | ☐ |
| TOM du sous-traitant vérifiées | ☐ |
| Liste des sous-traitants ultérieurs obtenue | ☐ |
| Concept de suppression convenu | ☐ |
| Droits d'audit sécurisés | ☐ |
Attention avec les fournisseurs américains
Pour les fournisseurs basés aux États-Unis, vous devez vérifier si une décision d'adéquation (EU-US Data Privacy Framework) s'applique ou si des clauses contractuelles types (CCT) sont nécessaires. Réalisez une évaluation d'impact du transfert le cas échéant.
Conseils pratiques
- Vérifiez les options de désactivation du fournisseur concernant l'entraînement du modèle
- Documentez votre vérification des TOM de manière vérifiable
- Privilégiez les centres de données européens dans la mesure du possible
- Créez un registre des activités de traitement (art. 30 RGPD)
Articles complémentaires
- Droits des personnes concernées lors du déploiement de l'IA
- Analyse d'impact relative à la protection des données pour les systèmes d'IA
Protection juridique pour les services cloud d'IA ?
Pour des contrats de sous-traitance conformes au RGPD et des transferts vers des pays tiers avec des fournisseurs d'IA, un conseil juridique spécialisé est disponible — indépendant et axé sur la réglementation de l'IA.
Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.
Mise en oeuvre technique des exigences de protection des données ?
Creativate AI Studio vous accompagne dans la sélection d'architectures d'IA conformes à la protection des données, la mise en place de mécanismes de désactivation et la construction de pipelines de traitement de données sécurisés.