Vue d'ensemble
La transparence est l'un des principes centraux du RGPD. Les art. 13 et 14 obligent les responsables du traitement à informer de manière exhaustive les personnes concernées sur le traitement de leurs données à caractère personnel.
Lors du déploiement de systèmes d'IA, cette obligation devient particulièrement exigeante. Les personnes concernées doivent être informées non seulement de la collecte de données, mais aussi -- en cas de décisions automatisées -- de la « logique sous-jacente » et des conséquences possibles.
Cet article explique :
- La différence entre l'art. 13 et l'art. 14
- Les informations obligatoires requises
- Les exigences spécifiques pour l'IA et les décisions automatisées
- Comment la transparence peut être mise en oeuvre avec des modèles complexes
- Des exemples de formulations types
Art. 13 vs. art. 14 RGPD
| Norme | Quand applicable | Exemple |
|---|---|---|
| Art. 13 | Données collectées directement auprès de la personne | Formulaire en ligne |
| Art. 14 | Données provenant d'une source tierce | Achat de données, scraping, bases de données externes |
Pour les systèmes d'IA, l'art. 14 est fréquemment pertinent, notamment lors de :
- L'enrichissement de données clients
- L'utilisation de jeux de données externes
- L'utilisation de données d'entraînement provenant de sources tierces
Information en temps utile
L'information doit en principe être fournie au moment de la collecte des données -- ou au plus tard dans un délai d'un mois pour les sources tierces.
Informations obligatoires selon les art. 13/14 RGPD
L'avis de confidentialité doit contenir, entre autres :
- Nom et coordonnées du responsable du traitement
- Coordonnées du délégué à la protection des données
- Finalités du traitement
- Base juridique
- Destinataires ou catégories de destinataires
- Transferts vers des pays tiers
- Durée de conservation
- Droits des personnes concernées
- Droit d'introduire une réclamation auprès d'une autorité de contrôle
En plus, pour les décisions automatisées :
- Informations significatives sur la logique sous-jacente
- Portée et conséquences envisagées
Décisions automatisées et profilage (art. 22 RGPD)
Lorsqu'un système d'IA :
- prend une décision
- produit des effets juridiques
- ou affecte la personne de manière significative
des exigences de transparence supplémentaires doivent être remplies.
Exemples :
- Refus de crédit
- Refus de candidature
- Calcul de prime d'assurance
Droit à l'intervention humaine
Les personnes concernées ont, sous certaines conditions, le droit de demander un réexamen humain.
Que signifie « informations significatives sur la logique sous-jacente » ?
Le RGPD n'exige pas la divulgation :
- Du code source
- Des modèles mathématiques
- Des données d'entraînement complètes
Ce qui est cependant requis :
- Une description du fonctionnement à un niveau compréhensible
- Une explication des principaux facteurs
- Une présentation des effets possibles
Exemple : scoring de crédit assisté par l'IA
Une description transparente pourrait inclure :
- Quelles catégories de données sont prises en compte (par ex. revenus, solvabilité, comportement de paiement)
- Qu'un modèle d'évaluation algorithmique est utilisé
- Que certains seuils conduisent à la décision
- Quelles sont les conséquences d'un refus
Transparence pour l'IA générative
Défis particuliers :
- Données d'entraînement pas entièrement connues
- Adaptations dynamiques du modèle
- Structures complexes de type boîte noire
Solution possible :
- Description de la fonction générale du modèle
- Mention de la susceptibilité aux erreurs
- Explication des possibilités d'intervention et de correction
Formulation type (exemple)
Utilisation de systèmes d'IA
« Nous utilisons un système d'évaluation algorithmique pour analyser vos informations. Celui-ci traite notamment les catégories de données suivantes : [...]. L'analyse sert la finalité de [...]. La décision est prise sur la base de logiques d'évaluation prédéfinies. Vous avez le droit de demander un réexamen par une personne physique. »
Ce texte est uniquement un exemple et doit être adapté au cas d'utilisation spécifique.
Évaluation au cas par cas requise
La formulation concrète dépend du système d'IA concerné et de sa fonction.
Art. 14 pour les données d'entraînement
Lorsque des données à caractère personnel :
- proviennent de sources tierces
- ont été collectées à partir de sources publiques
- ont été agrégées automatiquement
il convient d'examiner :
- Une information individuelle est-elle possible ?
- Une exception s'applique-t-elle (par ex. effort disproportionné) ?
Effort disproportionné (art. 14, paragraphe 5)
L'information peut être omise si :
- elle est impossible
- ou nécessiterait un effort disproportionné
Cela doit toutefois être interprété de manière restrictive et requiert une justification documentée.
Lien avec la Loi sur l'IA de l'UE
La Loi sur l'IA exige en outre :
- Des obligations de transparence pour les systèmes à haut risque
- Des obligations d'étiquetage pour les interactions IA
- Une information en cas de deepfakes
Les deux cadres réglementaires se complètent.
Mise en oeuvre pratique
Étape 1 -- Vérification de la transparence
- Toutes les informations obligatoires sont-elles incluses ?
- Des mentions spécifiques à l'IA sont-elles intégrées ?
Étape 2 -- Vérification de l'automatisation
- Existe-t-il une décision individuelle automatisée ?
- Des personnes sont-elles significativement affectées ?
Étape 3 -- Vérification de la compréhensibilité
- La description est-elle compréhensible pour les non-experts ?
- Les termes techniques sont-ils expliqués ?
Étape 4 -- Documentation
- Versionnage des avis de confidentialité
- Preuve de publication
- Archivage des versions antérieures
Erreurs courantes
| Erreur | Risque |
|---|---|
| Formulation générique « l'IA est utilisée » | Transparence insuffisante |
| Pas d'explication de la logique pour le scoring | Violation de l'art. 22 |
| Information manquante pour les sources tierces | Violation de l'art. 14 |
| Description technique trop complexe | Manque de compréhensibilité |
Recommandation de gouvernance
La transparence en matière d'IA devrait :
- être intégrée tôt dans le développement des produits
- être coordonnée avec les équipes de protection des données et de conformité
- être régulièrement révisée et mise à jour
Besoin d'aide pour la mise en œuvre ?
Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.
Besoin de clarté juridique ?
Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.
Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.
Prochaines étapes
- Vérifiez votre politique de confidentialité pour les références à l'IA.
- Évaluez la pertinence de l'art. 22 pour vos systèmes.
- Ajoutez des explications claires de la logique.
- Documentez les exceptions selon l'art. 14, paragraphe 5.
- Réalisez une AIPD pour les systèmes complexes.
Besoin d'aide pour la mise en œuvre ?
Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.
Besoin de clarté juridique ?
Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.
Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.