AI PlaybookEU

Art. 35 RGPD – Analyse d'impact relative à la protection des données (AIPD) pour les systèmes d'IA

Quand une analyse d'impact relative à la protection des données est-elle requise en vertu de l'art. 35 RGPD pour les systèmes d'IA ? Structure, processus, risques spécifiques à l'IA et lien avec la Loi sur l'IA de l'UE.

11 février 20265 min de lecture
RGPDArt. 35AIPDAnalyse d'impactProfilageConformité IA

Vue d'ensemble

L'analyse d'impact relative à la protection des données (AIPD) est l'un des instruments centraux de gestion des risques du RGPD. Elle devient nécessaire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

Dans le contexte des systèmes d'IA, l'AIPD est particulièrement pertinente. Le profilage, les décisions automatisées, le traitement de données à grande échelle ou l'utilisation de données sensibles déclenchent fréquemment une obligation d'évaluation.

Cet article explique :

  • Quand une AIPD est obligatoire
  • Le processus structuré en 4 phases
  • Les risques spécifiques à l'IA
  • Le lien avec la Loi sur l'IA de l'UE
  • Un exemple pratique pour un chatbot IA

Quand une AIPD est-elle requise ?

Selon l'art. 35 RGPD, une AIPD est requise lorsque :

  • de nouvelles technologies sont déployées
  • une évaluation systématique et approfondie d'aspects personnels a lieu
  • des décisions automatisées ayant des effets significatifs sont prises
  • des données sensibles sont traitées à grande échelle
  • une surveillance systématique a lieu

De nombreuses autorités de contrôle ont publié des listes positives précisant les cas typiques d'AIPD.

IA = obligation d'évaluation accrue

L'utilisation de l'IA est régulièrement considérée comme une « nouvelle technologie » et devrait toujours faire l'objet d'une évaluation de la nécessité d'une AIPD.

Cas IA typiques nécessitant une AIPD

ScénarioAIPD probable ?
Scoring de créditOui
IA de recrutementOui
IA de diagnostic médicalOui
Analyse interne de productivitéÉvaluation au cas par cas
Chatbot marketingDépend de l'ampleur

Le processus d'AIPD en 4 phases

L'art. 35, paragraphe 7 RGPD décrit quatre éléments fondamentaux :

Description systématique du traitement

  • Finalité
  • Processus
  • Catégories de données
  • Groupes de personnes concernées
  • Destinataires
  • Durée de conservation

En outre, dans le contexte de l'IA :

  • Type de modèle
  • Données d'entraînement
  • Processus d'inférence
  • Degré d'automatisation

Évaluation de la nécessité et de la proportionnalité

Il convient d'évaluer :

  • Le traitement est-il nécessaire ?
  • Existe-t-il des moyens moins intrusifs ?
  • La finalité est-elle légitime ?

Ici, la limitation des finalités de l'art. 5 est concrétisée.

Évaluation des risques

Sont évalués :

  • La probabilité de survenance
  • La gravité des dommages potentiels
  • L'impact sur les droits fondamentaux

Risques spécifiques à l'IA :

  • Biais et discrimination
  • Décisions erronées
  • Manque de transparence
  • Perte de contrôle
  • Manipulation du modèle

Risques de biais

Le potentiel de discrimination est un critère d'évaluation central pour les systèmes d'IA.

Mesures correctives

Les mesures peuvent comprendre :

  • Minimisation des données
  • Pseudonymisation
  • Réexamen humain
  • Mesures de transparence
  • Journalisation
  • Restrictions d'accès

L'objectif est de réduire le risque à un niveau acceptable.

Exemple : AIPD pour un chatbot IA

Description du système

  • Chatbot pour répondre aux demandes des clients
  • Traitement de données clients
  • Déploiement d'un modèle de langage

Risques

  • Informations incorrectes
  • Divulgation de données sensibles
  • Base de données d'entraînement peu claire

Mesures

  • Journalisation
  • Filtres de contenu
  • Possibilité d'escalade humaine
  • Stockage limité des données

Lien avec la Loi sur l'IA de l'UE

L'AIPD recoupe :

  • Les obligations de gestion des risques
  • L'évaluation de l'impact sur les droits fondamentaux (FRIA)
  • Les exigences de documentation

Alors que l'AIPD se concentre sur la protection des données, la Loi sur l'IA traite des risques plus larges pour les droits fondamentaux.

Les deux évaluations devraient être menées de manière intégrée.

Quand l'autorité de contrôle doit-elle être consultée ?

Si malgré les mesures de protection :

  • un risque résiduel élevé subsiste

l'autorité de contrôle compétente en matière de protection des données doit être consultée conformément à l'art. 36 RGPD.

Exigences de documentation

L'AIPD doit être :

  • documentée par écrit
  • réexaminée régulièrement
  • mise à jour en cas de modification du système

Erreurs courantes

ErreurRisque
Pas d'AIPD pour l'IA à haut risqueAmende
Analyse des risques génériqueÉvaluation insuffisante
Pas de mise à jour lors de modifications du modèleViolation de la responsabilité
Défaut d'implication du délégué à la protection des donnéesDéficit organisationnel

Mise en oeuvre pratique

Étape 1 -- Présélection

  • Le projet relève-t-il des critères typiques d'AIPD ?

Étape 2 -- Équipe interdisciplinaire

  • Juridique
  • IT
  • Conformité
  • Département métier

Étape 3 -- Documentation structurée

  • Utiliser un modèle standardisé
  • Créer une matrice de risques

Étape 4 -- Mises à jour régulières

  • Lors de la mise à jour du modèle
  • Lors d'un changement de finalité
  • Lors d'un changement de source de données

Recommandation stratégique

L'AIPD ne devrait pas être comprise comme une simple obligation, mais comme :

  • Un instrument de gouvernance
  • Un mécanisme de réduction des risques
  • Un élément de construction de la confiance

En particulier pour les projets d'IA, une AIPD structurée peut réduire considérablement les risques de responsabilité.

Besoin d'aide pour la mise en œuvre ?

Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.

Parler à un architecte IADiscuter de la stratégie IA

Besoin de clarté juridique ?

Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.

Demander un conseil juridiqueClarifier les questions Loi sur l'IA et RGPD

Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.

Prochaines étapes

  1. Évaluez la pertinence d'une AIPD pour votre projet d'IA.
  2. Utilisez un modèle d'AIPD structuré.
  3. Évaluez en particulier les risques de discrimination et de manque de transparence.
  4. Intégrez l'AIPD dans votre système de gouvernance de l'IA.
  5. Documentez et mettez à jour régulièrement.

Besoin d'aide pour la mise en œuvre ?

Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.

Parler à un architecte IADiscuter de la stratégie IA

Besoin de clarté juridique ?

Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.

Demander un conseil juridiqueClarifier les questions Loi sur l'IA et RGPD

Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.

Articles connexes

RGPD et IA

Art. 5 RGPD – Principes du traitement des données à caractère personnel

Les sept principes du traitement des données selon l'art. 5 RGPD – avec des orientations spécifiques à l'IA sur la minimisation des données, la limitation des finalités, la responsabilité et les systèmes automatisés.

Lire la suite

RGPD et IA

Art. 25 RGPD – Protection des données dès la conception et par défaut

Que signifient la protection des données dès la conception et par défaut selon l'art. 25 RGPD ? Exigences techniques et organisationnelles pour les systèmes d'IA, principes d'architecture et liste de contrôle pratique pour les développeurs.

Lire la suite

Loi sur l'IA de l'UE

Systèmes d'IA à haut risque selon l'annexe III de la Loi sur l'IA de l'UE

Quels systèmes d'IA sont considérés comme à haut risque selon la Loi sur l'IA ? Aperçu complet des domaines de l'annexe III, exceptions selon l'art. 6(3) et toutes les obligations de conformité pour les fournisseurs et les déployeurs.

Lire la suite