Vue d'ensemble
L'art. 9 RGPD protège les catégories particulières de données à caractère personnel. Le traitement de ces données est en principe interdit -- sauf si l'une des exceptions strictement définies s'applique.
Dans le contexte des systèmes d'IA, l'art. 9 est particulièrement pertinent car les modèles modernes traitent, déduisent ou reconstituent fréquemment des informations sensibles de manière involontaire.
Cet article explique :
- Quelles données relèvent de l'art. 9
- Quelles exceptions sont admissibles
- Pourquoi les systèmes d'IA présentent des risques particuliers
- La différence entre pseudonymisation et anonymisation
- Les étapes pratiques de mise en oeuvre
Quelles données sont des « catégories particulières » ?
L'art. 9, paragraphe 1 RGPD énumère :
- Les données révélant l'origine raciale ou ethnique
- Les opinions politiques
- Les convictions religieuses ou philosophiques
- L'appartenance syndicale
- Les données génétiques
- Les données biométriques aux fins d'identification unique d'une personne
- Les données de santé
- Les données relatives à la vie sexuelle ou l'orientation sexuelle
Principe
Le traitement de ces données est en principe interdit.
Que signifie « en principe interdit » ?
Contrairement à l'art. 6, ce qui s'applique ici :
- L'art. 6 seul ne suffit pas
- Une exception selon l'art. 9, paragraphe 2 doit en plus s'appliquer
Sans exception, le traitement est illicite.
Les exceptions les plus importantes selon l'art. 9, paragraphe 2
Il existe dix motifs d'exception. Les plus pertinents en pratique sont :
| Exception | Contexte typique |
|---|---|
| a) Consentement explicite | Applications de santé |
| b) Obligations en droit du travail | Systèmes RH |
| g) Intérêt public important | Autorités publiques |
| h) Soins de santé | IA médicale |
| j) Recherche scientifique | Recherche en IA |
Chaque exception doit être interprétée de manière restrictive.
Défis spécifiques à l'IA
Inférence involontaire de données sensibles
Les systèmes d'IA peuvent :
- déduire des caractéristiques sensibles à partir de données apparemment neutres
- par ex. l'orientation politique à partir de comportements sur les réseaux sociaux
- des états de santé à partir de données comportementales
Ces inférences indirectes peuvent également relever de l'art. 9.
Problème d'inférence
Même si les données sensibles ne sont pas directement collectées, une inférence basée sur un modèle peut déclencher l'application de l'art. 9.
Discrimination par proxy
Un système n'utilise pas directement de données sensibles, mais :
- Code postal -- attribution ethnique indirecte
- Comportement d'achat -- déductions religieuses
- Schémas linguistiques -- suppositions sur l'origine
Cela peut effectivement conduire à une discrimination, même sans collecte explicite de caractéristiques sensibles.
Données biométriques
Particulièrement pertinent dans le contexte de l'IA :
- Reconnaissance faciale
- Analyse d'empreintes digitales
- Reconnaissance vocale
Tout traitement biométrique ne relève pas de l'art. 9 -- uniquement lorsqu'il sert à l'identification unique.
Pseudonymisation vs. anonymisation
| Caractéristique | Pseudonymisation | Anonymisation |
|---|---|---|
| Réidentification | Possible avec des connaissances complémentaires | Impossible |
| RGPD applicable | Oui | Non |
| Adapté à l'entraînement IA | Oui | Limité |
De nombreux projets d'IA travaillent avec des données pseudonymisées -- celles-ci restent cependant soumises au RGPD.
Idée reçue
Les données pseudonymisées ne sont pas des données anonymes.
Données de santé dans le contexte de l'IA
Les données de santé comprennent :
- Les diagnostics
- Les valeurs de laboratoire
- Les plans de médication
- Les informations génétiques
Les systèmes d'IA médicaux sont donc particulièrement réglementés -- également en lien avec la Loi sur l'IA de l'UE (catégorie à haut risque).
Rapport avec l'art. 22 RGPD
Les décisions automatisées impliquant des données sensibles :
- présentent un risque particulièrement élevé
- peuvent nécessiter des mesures de protection supplémentaires
- déclenchent fréquemment une analyse d'impact relative à la protection des données
Mise en oeuvre pratique
Étape 1 -- Classification des données
- Les données d'entraînement contiennent-elles des catégories sensibles ?
- Les modèles peuvent-ils déduire de telles données ?
Étape 2 -- Vérification des exceptions
- L'art. 9, paragraphe 2 s'applique-t-il ?
- Un consentement explicite existe-t-il ?
- Existe-t-il une base juridique ?
Étape 3 -- Mise en place de mesures de protection
- Restrictions d'accès
- Chiffrement
- Minimisation
- Tests de biais
Étape 4 -- Documentation
- Documenter le motif d'exception
- Réaliser une analyse des risques
- Préparer une AIPD le cas échéant
Lien avec la Loi sur l'IA de l'UE
Plusieurs pratiques interdites selon l'art. 5 de la Loi sur l'IA concernent :
- La catégorisation biométrique
- Le profilage sensible
Les systèmes d'IA à haut risque dans le secteur de la santé sont également soumis à des obligations parallèles.
Idées reçues courantes
| Supposition | Réalité |
|---|---|
| « Nous ne stockons pas de données sensibles » | Les modèles peuvent les déduire |
| « La pseudonymisation suffit » | Le RGPD reste applicable |
| « Seul le secteur de la santé est concerné » | L'IA RH ou marketing peut aussi déclencher l'art. 9 |
Recommandation de gouvernance
Pour les projets d'IA, il convient d'examiner systématiquement :
- Des catégories sensibles peuvent-elles être affectées directement ou indirectement ?
- Des tests de biais sont-ils mis en oeuvre ?
- Des risques de discrimination existent-ils ?
Une approche structurée des risques réduit considérablement les risques de responsabilité.
Besoin d'aide pour la mise en œuvre ?
Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.
Besoin de clarté juridique ?
Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.
Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.
Prochaines étapes
- Classifiez vos données d'entraînement et d'inférence.
- Évaluez les inférences indirectes possibles de caractéristiques sensibles.
- Déterminez si une exception selon l'art. 9, paragraphe 2 s'applique.
- Mettez en place des mesures de protection techniques.
- Réalisez une AIPD en cas de risque élevé.
Besoin d'aide pour la mise en œuvre ?
Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.
Besoin de clarté juridique ?
Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.
Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.